¿Qué es el ciclo de vida de la cuenta de usuario?

¿Qué es el ciclo de vida de la cuenta de usuario?

El «Ciclo de vida de la cuenta de usuario» define los procesos de administración para cada cuenta de usuario. Estos procesos se pueden dividir en creación, revisión/actualización y desactivación. Si su organización utiliza recursos informáticos, utilice cuentas de usuario para acceder a ellos.

Debido a que una cuenta de TI aprovisionada sigue su propia línea de tiempo de acuerdo con un usuario específico, los esfuerzos de administración del ciclo de vida a menudo se superponen. Esta superposición genera desafíos en entornos que dependen de la gestión manual donde los esfuerzos deben replicarse constantemente. Las dificultades se exacerban para las grandes organizaciones debido a su volumen.

Creación

A partir del día 1, cada usuario debe tener una cuenta para acceder a sus recursos informáticos. Las cuentas de usuario contienen información de identidad con acceso variable, como un pasaporte digital. Los recursos informáticos pueden ser más generales (p. ej., Active Directory, cuenta de correo electrónico) o más específicos para las funciones de ese usuario (p. ej., Adobe Creative Cloud, nómina, etc.).

Crear una cuenta requiere más que ingresar el nombre y apellido y la dirección de correo electrónico de una persona. La mayoría de las organizaciones necesitarán ingresar un usuario en sus sistemas de recursos humanos y nómina. El usuario también necesita una cuenta de acceso a la red, esta es una cuenta de Active Directory (AD) (Microsoft) para la mayoría de los casos.

Los usuarios aún requieren permisos y membresías grupales, que determinan los derechos de acceso a varias carpetas y recursos compartidos dentro de la red. No le gustaría que todos los empleados tuvieran acceso ilimitado a un gabinete del archivo de recursos humanos de todos. Del mismo modo, no querrá que esos mismos archivos se almacenen en la red sin protección. Los permisos de red y la pertenencia a grupos se complican aún más por los diferentes niveles de la estructura jerárquica del sistema de archivos. Para simplificar, algunos usuarios recién creados tienen demasiado acceso.

La creación de cuentas continúa con el aprovisionamiento de usuarios. ¿El usuario necesita acceso a los recursos de Google (G Suite)? Necesitarán configurar esta cuenta. ¿Qué pasa con el almacenamiento de Dropbox de la organización? Ellos también lo necesitarán. ¿Qué pasa con un sistema de CRM como Salesforce? En los entornos empresariales modernos, las aplicaciones de software facilitan las operaciones. La mayoría de las aplicaciones de software empresarial requieren cuentas de usuario.

Reseñas y actualizaciones

Los derechos de acceso deben revisarse regularmente para mantener una red optimizada y compatible. Las necesidades y los permisos de un usuario cambiarán con el tiempo debido a promociones, cambios de roles, reorganizaciones o recursos de TI recientemente implementados. La acumulación de derechos de acceso a menudo se denomina «permiso inflado».

El exceso de permisos es inherentemente problemático porque hace que determinar quién tiene acceso a qué sea una pesadilla y un alto riesgo de incumplimiento. La prevención manual de la sobrecarga de permisos requiere una memoria casi perfecta. Debe recordar qué acceso debe tener cada rol para comparar qué usuarios tienen qué derechos y permisos.

La revisión y actualización manual de las cuentas de usuario y sus derechos de acceso requiere comunicación entre los administradores y el personal de TI. Las soluciones de control de acceso basadas en funciones o control de acceso mantienen los derechos de acceso en función de la configuración de funciones de un usuario determinado. Sin embargo, se deben mantener las configuraciones para cada rol. El acceso innecesario es simplemente una violación del cumplimiento, una mala conducta o una incitación al fraude que está a punto de ocurrir.

Las revisiones y actualizaciones son el aspecto más cíclico del ciclo de vida de la cuenta de usuario. Teóricamente, el proceso de revisión y actualización de una organización nunca termina. Por ejemplo: en el momento en que los procesos están «terminados», el primer 20% de las cuentas debe comenzar este paso nuevamente. Por lo tanto, el proceso nunca logra realmente más del 80% de finalización en ningún momento. El ejemplo del 80%/20% suena especialmente cierto para los esfuerzos manuales. Las soluciones automatizadas pueden ejecutar actualizaciones, pero aún requieren revisiones de configuración para garantizar que cada función siga siendo compatible y segura.

Desactivación

Cuando un usuario deja una organización, todas sus cuentas asociadas deben deshabilitarse y darse de baja. Los riesgos de seguridad son la razón más obvia para seguir los procedimientos de desactivación. Un exempleado malintencionado puede tomar datos confidenciales (p. ej., información del cliente, propiedad intelectual, credenciales de cuenta) o dañar su entorno en el peor de los casos. Los antiguos empleados pueden acceder a sus recursos de TI hasta que estén inhabilitados durante días, semanas, meses o años. La falta de desactivación es particularmente peligrosa para los recursos alojados en la nube.

La otra razón principal para implementar un proceso de desactivación es evitar la acumulación de «cuentas huérfanas». Las cuentas huérfanas ya no están asociadas a un usuario activo y permanecen en su entorno. Este detritus digital abarrota su capacidad para evaluar con precisión su entorno mientras ocupa espacio de almacenamiento. Además, si su organización es atacada con éxito por un intruso malintencionado, las cuentas huérfanas las camuflan perfectamente.

CRUD

El acrónimo «CRUD» significa «Crear, Leer, Actualizar, Eliminar». Las operaciones CRUD se refieren a los 4 comandos básicos necesarios para el almacenamiento persistente y las bases de datos relacionales. Los comandos SQL reemplazan «Crear» y «Leer» con «En» y «Seleccionar» respectivamente para las tablas de la base de datos. CRUD sirve como un simple recordatorio para administrar cuentas de usuario:

  • Crear:cree una cuenta de usuario y todos sus atributos necesarios (por ejemplo, nombre, dirección de correo electrónico, permisos)
  • Lectura: visualización de todas las cuentas de usuario y sus atributos sin modificar ningún dato
  • Actualizar: invalidar los atributos de cuenta de usuario existentes para realizar cambios
  • Eliminar:eliminar una cuenta de usuario y sus atributos

i: https://searchdatamanagement.techtarget .com/definition/CRUD-ciclo
ii: https: //www.sqlshack.com/crud-operations-in-sql-server/