¿Qué es la incorporación de usuarios?
El término «Incorporación» es una jerga gerencial que se utilizó por primera vez en la década de 1970 y se refiere al proceso de actualizar a un nuevo empleado en los procesos, las políticas, los recursos posicionales y la cultura de la organización. Una incorporación exitosa tiene como objetivo ayudar a los nuevos empleados a ser efectivos rápidamente dentro de la organización.
Uno puede escribir libros enteros sobre el alcance total de la integración. Tools4ever se enfoca en el lado de TI de este proceso. Nos especializamos en optimizar los procesos de TI que garantizan el acceso de los usuarios a los recursos de la red, como aplicaciones y recursos compartidos de archivos.
Cuando un nuevo empleado comienza un trabajo que requiere acceso a una computadora o correo electrónico, necesita una cuenta, probablemente en Active Directory o Google G Suite. Algunas organizaciones hacen todo esto a mano, lo que lleva mucho tiempo. Aquellos que trabajan con Tools4ever automatisent ce processus et tout est créé en un guiño. Con las nuevas cuentas de usuario y contraseñas configuradas, es hora de pasar a la parte más riesgosa de cualquier plan de incorporación: la transferencia.
La transferencia del nuevo ID de usuario es una de las mayores vulnerabilidades que existen en la seguridad de una organización. Las organizaciones con las políticas de seguridad y contraseñas más sofisticadas son susceptibles a este riesgo que a menudo se pasa por alto, a pesar de que Gartner informa que el gasto en seguridad de la información superará los $124 mil millones este año [1].
Muchas organizaciones utilizan una fórmula de contraseña predeterminada fácilmente descifrable al crear nuevas cuentas. Por ejemplo, las dos primeras letras de su nombre, año de nacimiento y apellido pueden generar «St1986Smith». Si alguien puede reconocer la fórmula, puede adivinar la contraseña de una nueva cuenta antes de que ese usuario inicie sesión por primera vez. Si la ingeniería social o una búsqueda rápida en Google y Facebook pueden brindarle todos los detalles relevantes para una fórmula de contraseña fácil de piratear, ¿realmente puede llamarlo seguro?
Algunas organizaciones incluso usan la misma contraseña predeterminada para cada cuenta única generada para un nuevo usuario (por ejemplo, «Passw0rd123»). Con esta práctica, no importa si un atacante puede descifrar la fórmula de su contraseña o buscar información genérica. Si todos tienen exactamente la misma contraseña para su inicio de sesión inicial, todos en su organización saben cuál es la contraseña de Bob antes de que tengan la oportunidad de presentarse a trabajar y crear una nueva.
A pesar de la implementación de una «frase de contraseña» de 18 caracteres y un vencimiento de 30 días, la etapa de inicialización de la cuenta suele ser el momento más vulnerable para cualquier cuenta de usuario. Para mitigar este riesgo, Tools4ever ha desarrollado el módulo SSRPM On Boarding para proteger el proceso de incorporación sin una revisión importante de TI.
Con el sistema de activación de cuentas, las nuevas cuentas se crean en un estado deshabilitado y se asocian con una «ID de activación» única. Este ID de activación puede ser algo que el empleado ya conozca o que pueda encontrar en sus documentos de incorporación (por ejemplo, su número de empleado).
Ahora puede sentirse seguro proporcionando esta ID de activación única al nuevo usuario a través de un intermediario o correo electrónico cuando llegue el momento. El módulo de activación de cuenta y su portal web brindan la seguridad suficiente de que el solo conocimiento de la ID de activación es suficiente para acceder a la nueva cuenta. Si es un valor que el nuevo usuario conoce, ni siquiera necesita transferir la ID de activación. En su lugar, puede explicar dónde encontrar el valor en el momento apropiado (p. ej., «ingrese su número de empleado, que se encuentra en su carpeta de bienvenida en el lado izquierdo»).
El nuevo usuario simplemente ingresa el ID de activación en el Portal de activación de cuentas, accesible a través de la web o la pantalla de inicio de sesión de Windows, y luego se le solicita que se identifique más. El nuevo usuario proporciona información específica, pero no confidencial, al responder las preguntas de seguridad que su organización ha configurado para él. El módulo de activación de cuenta verifica si la información coincide. Si se verifica al usuario, su cuenta se activa y puede establecer su propia contraseña. Ahora tiene todo lo que necesita para conectarse y comenzar a trabajar desde el primer día. Por lo tanto, su organización ha corregido una importante vulnerabilidad de seguridad.
Glosario de gestión de identidades