Estandarice y agilice la administración de privilegios.
Al crear o administrar identidades, a muchos administradores de TI les preocupa asignar permisos excesivos a los usuarios y grupos que puedan conllevar consecuencias graves, como los ataques internos o la filtración de información. Estos riesgos de seguridad podrían ser más preocupantes si no se asignan conjuntos de permisos predefinidos a cada función.
Una solución sencilla consiste en diseñar plantillas estandarizadas
con los permisos y membresías requeridos de grupo para todas las funciones, especialmente las funciones privilegiadas. Puede utilizar esa plantilla cada vez que cree o modifique una cuenta de usuario.
Asigne los permisos que necesite, solo cuando sea necesario.
Cuando de administrar permisos y derechos se trata, muchos administradores de TI se ven en el dilema de decidir “cuándo es demasiado” y esta situación no puede ser ignorada. Asignar permisos de forma incorrecta podría generar consecuencias desastrosas si la información confidencial llega a las manos equivocadas.
Para evitar esta situación, siga esta regla general: asigne permisos mínimos y revoque los privilegios adicionales cuando ya no se necesiten o luego de un plazo específico. Para decidir cuáles son los permisos mínimos y por cuánto tiempo se necesitan los permisos especiales, consulte a los propietarios de los procesos comerciales o al departamento de Recursos Humanos. Administrar los permisos será mucho más fácil si adopta una solución que lo permita asignar permisos y revocarlos después de cierto tiempo de manera automática.
Automatice la limpieza de cuentas obsoletas.
Si no aplica el proceso de desvinculación laboral de manera estricta, los antiguos empleados podrían seguir teniendo acceso a cuentas de usuario y recursos cruciales. Si el desaprovisionamiento es poco frecuente e irregular, esto podría conducir a la acumulación excesiva de cuentas obsoletas que podrían poner en peligro la seguridad de su organización.
Programe el desaprovisionamiento de cuentas para que se realice de manera automática en ciertos intervalos y así mantener su entorno de AD libre de cuentas obsoletas. También debería sincronizar su AD con el software o base de datos de recursos humanos, ya que de esta forma si una cuenta de usuario es borrada en alguna de estas herramientas, también será borrada de AD.
Identifique y ponga en cuarentena a los usuarios inactivos periódicamente.
Un usuario podría estar inactivo si el empleado se ausenta por un largo tiempo o si el administrador de TI olvida deshabilitar la cuenta de un antiguo empleado. Para agilizar el proceso de vinculación laboral, algunas organizaciones crean cuentas de usuario con la misma contraseña antes de que los empleados se incorporen a la empresa. Esto puede causar que las cuentas inactivas sean usadas indebidamente por los empleados actuales. Es importante hacer un seguimiento a la inactividad de los usuarios y deshabilitar sus respectivas cuentas para evitar ataques internos; se pueden deshabilitar las cuentas de usuario o se pueden revocar los privilegios innecesarios para evitar el uso indebido.
Descentralice la IAM de manera segura
Si sobrecarga al administrador de TI con tareas de IAM, esto podría delegar demasiada responsabilidad de seguridad a una sola persona. Además, podría conllevar errores debido a la fatiga (errores tipográficos), y podría resultar en modificaciones a las cuentas incorrectas o asignaciones incorrectas de permisos, entre otras cosas.
Por lo tanto, sugerimos delegar las tareas de IAM a varios técnicos de TI para distintos departamentos. Mejor aún, puede monitorear las actividades diarias de un técnico de TI y corregir las que sean inapropiadas.
