¿Qué es el desaprovisionamiento?

El desaprovisionamiento es el proceso de retirar los derechos de acceso que posee un empleado de los sistemas, las aplicaciones y los recursos de red de una organización cuando ya no son necesarios. El desaprovisionamiento no solo ocurre cuando los empleados dejan una organización, sino también cuando cambian los roles o cuando expira el acceso temporal. El desaprovisionamiento es un componente clave de la gestión de identidad y acceso (IAM), que garantiza que los usuarios solo tengan los permisos necesarios para realizar sus trabajos. La falta de un desaprovisionamiento adecuado puede dejar brechas de seguridad peligrosas.

Aprovisionamiento vs. desaprovisionamiento: ¿cuál es la diferencia?

El aprovisionamiento es el proceso opuesto al desaprovisionamiento. Implica crear la identidad digital de un usuario y poner a disposición de empleados y contratistas los datos, los sistemas y las aplicaciones de la organización. El aprovisionamiento ocurre cuando un empleado se incorpora, cambia de puesto de trabajo o es ascendido.

Por ejemplo, si se contrata a un nuevo director de marketing en su organización, el aprovisionamiento se realiza como parte de su incorporación. El departamento de TI crea sus cuentas de usuario y les concede acceso a las bases de datos de marketing necesarias. Una vez completado esto, podrán hacer una transición efectiva a su rol.

Cómo funciona el desaprovisionamiento

Cuando un usuario es dado de baja o cambia de rol, el equipo de recursos humanos generalmente transmite el mensaje al departamento de TI, que luego informa a los administradores del sistema para que restrinjan o revoquen los accesos. Los administradores del sistema revisan los permisos del usuario en todos los sistemas, las aplicaciones y los recursos de red para asegurarse de que todo esté desactivado. Sin embargo, gracias a las soluciones de IAM, el uso del aprovisionamiento y desaprovisionamiento automatizado se han estandarizado en muchas organizaciones. Las soluciones modernas de IAM han hecho que el proceso sea más automatizado, centralizado y completo.

¿Qué es el desaprovisionamiento automatizado?

El desaprovisionamiento automatizado garantiza que la cuenta de usuario y los privilegios de acceso de un empleado se revoquen automáticamente cuando se da de baja. Una organización puede tener cientos de sistemas integrados con una cuenta de usuario, lo que puede ser una carga para los administradores al gestionarlos manualmente. El uso de tecnología automatizada alivia esa carga al mismo tiempo que agiliza este proceso tedioso.

Prácticas recomendadas de desaprovisionamiento

A continuación se presentan siete prácticas recomendadas para el desaprovisionamiento.

Aplicar el principio de privilegio mínimo

El principio de privilegio mínimo (PoLP) es un concepto de ciberseguridad en el que a los usuarios se les otorgan solo los derechos de acceso necesarios para realizar sus funciones laborales. Limitar el acceso ayuda a reducir el riesgo de amenazas internas, protege los datos confidenciales y minimiza la posibilidad de movimiento lateral si se compromete una cuenta.

Utilizar una solución de IAM

La implementación de una solución IAM puede agilizar el proceso de desaprovisionamiento porque automatiza la restricción o eliminación del acceso de los usuarios. Mantener manualmente las cuentas de usuario de forma individual puede llevar mucho tiempo y ser propenso a errores humanos, lo que aumenta el riesgo de brechas de seguridad. Una solución automatizada ayuda a minimizar los errores posibles y fortalece la seguridad general.

Adopte un modelo de confianza cero

Un marco de confianza cero requiere que todos los usuarios verifiquen su identidad antes de acceder a cualquier sistema o dato de red. La confianza cero, al centrarse en la autenticación continua, proporciona una mayor visibilidad de todos los usuarios y sistemas en todo el entorno, lo que permite a los administradores identificar cualquier actividad inusual y responder a ella de manera más efectiva.

Fortalecer los métodos de autenticación

La autenticación es el proceso de verificación de identidad al que se somete un usuario, una aplicación o un sistema antes de obtener acceso a cualquiera de los recursos de la organización. Asegurarse de que su organización tenga métodos de autenticación seguros permite una supervisión continua del acceso de los usuarios y reduce las amenazas internas.

Tener una lista de verificación de salida

Una lista de verificación de salida es una lista detallada de tareas que guían el proceso de desvinculación cuando un empleado abandona una organización. Incluye todas las acciones que una organización debe tomar para garantizar que el proceso de salida esté organizado y que no se pasen por alto tareas fundamentales. Si bien las listas de verificación difieren según la organización, generalmente incluyen acciones como revocar el acceso a los sistemas, recopilar dispositivos de la empresa, facilitar la transferencia de conocimientos y hacer copias de seguridad de los datos.

Supervisar el cumplimiento

Hacer un seguimiento del cumplimiento implica garantizar que una organización cumpla con todos los requisitos legales y normativos a la vez que identifica y aborda los posibles riesgos de cumplimiento. Es esencial que todas las acciones, como revocar el acceso a los sistemas y proteger los datos de la compañía, se ejecuten de forma correcta. Al monitorear de cerca el cumplimiento, las organizaciones pueden reducir el riesgo de acceso no autorizado, brechas de datos o brechas de requisitos normativos como la Ley de Portabilidad y Responsabilidad de Seguro de Salud (HIPAA) o el Reglamento General de Protección de Datos (GDPR).

Realizar copias de seguridad

Es esencial proteger los datos críticos de un empleado mediante una copia de seguridad antes de revocar su acceso. Esta precaución protege a las organizaciones de posibles pérdidas de datos durante el proceso de desvinculación, asegurando que cualquier información crítica se conserve cuando un empleado se va.