El sistema de gestión de identidad es una parte central de cualquier departamento de TI. Mientras esté funcionando, pocas personas se darán cuenta de su existencia y, en consecuencia, a menudo no está optimizado para mejorar la calidad del sistema. Con 16 años de experiencia en el desarrollo de una solución de servidor de administración central de identidades (IdM), Univention identificó diez pasos sobre cómo mejorar su IdM, sin importar si está ejecutando su IdM en las instalaciones o en la nube, como UCS en AWS . Vamos a repasarlos.
Paso 1:haga un inventario de sus aplicaciones y elimine Shadow IT
Cuando pensamos en nuestros entornos de TI, a menudo pensamos en términos físicos y consideramos qué servidores, conmutadores y cables tenemos. Mantener un inventario de estos es definitivamente una necesidad y un requisito para cualquier departamento de contabilidad. Pero normalmente pensamos menos en hacer lo mismo con nuestro software. Es especialmente cierto para cualquier 'TI en la sombra' que podría haber crecido fuera del departamento de TI. Solo con una lista completa de software puede continuar realizando mejoras significativas en su TI.
Encontrar sus servicios oficiales de TI debe ser parte de la lectura de su documentación. Para la TI en la sombra, puede que no sea tan fácil.
Nuestras tres formas favoritas de determinar los productos de TI ocultos en uso son las siguientes:
- ¡Pregunte a sus usuarios! Esta es probablemente la forma más fácil de averiguarlo. Esto también le brinda la oportunidad de obtener más información sobre qué servicios y herramientas valoran y necesitan más.
- Pídale a su departamento de contabilidad una lista de proveedores y búsquelos en busca de proveedores de servicios de TI que le brinden servicios. Las aplicaciones que se encuentran con mayor frecuencia aquí son las herramientas de planificación y tableros como Trello.
- Y si las políticas de su empresa y las leyes aplicables lo permiten, observe su cortafuegos. Si tiene la opción de exportar conexiones salientes y ordenarlas por número de conexión, debe averiguar qué están usando sus usuarios. La mayoría de las veces encontrará servicios en la nube para consumidores aquí. Lo más probable es que Dropbox y Box aparezcan aquí.
La descripción general de todas las aplicaciones en uso que obtiene de este proceso de escaneo le permite mejorar el conjunto de aplicaciones que se ofrecen a sus usuarios y reducirá gradualmente la sombra de TI, lo que a su vez reducirá los gastos generales y mejorará la seguridad y la estabilidad.
Paso 2:crear un servicio líder
Entre LDAP, bases de datos SQL y servicios en línea como el inicio de sesión con Google, existen numerosas formas de administrar sus identidades dentro de una organización. En la mayoría de los casos, cada aplicación tendrá la opción de mantener su base de usuarios y podría tener la oportunidad de controlar también otro software.
Tomar una decisión explícita sobre qué sistema debe mantener las identidades es un paso esencial para diseñar el sistema y garantizar que el sistema líder tenga toda la información para controlar cualquier aplicación que pueda encontrar.
Asegúrese de que su sistema elegido pueda controlar sus aplicaciones. UCS, por ejemplo, tiene OpenLDAP y AD disponibles para sus aplicaciones, así como numerosos conectores para servicios en línea. Todas las funciones y herramientas disponibles para UCS se pueden encontrar en el Univention App Center .
Después de la decisión, se enfoca en integrar los diferentes sistemas uno a la vez. Si usa sistemas virtualizados, es posible que pueda crear una copia de los servidores involucrados para asegurarse de haber cubierto todas las configuraciones necesarias antes de aplicarlas al entorno productivo.
Paso 3:Haga que sus usuarios se sientan más cómodos
La mayoría de los usuarios no están particularmente preocupados por la privacidad y la protección de datos. Si bien la gerencia a menudo es consciente de su importancia, los usuarios a menudo los relegan a un segundo lugar detrás de su comodidad. Por lo tanto, cuando se intenta generar impacto mediante la implementación de un IdM central, la comodidad que puede brindar a los usuarios suele ser una herramienta fundamental para la aceptación y el éxito. Por lo tanto, si bien las políticas de "mismo usuario, misma contraseña" pueden ser suficientes para cumplir con los requisitos del administrador o su estrategia, solo con un sistema de inicio de sesión único podrá convencer a sus usuarios de que sus servicios son mejores que cualquier servicio que puedan ofrecer. estar usando en casa.
Paso 4:Minimice su trabajo
Ahora, la comodidad del usuario y la cobertura de la aplicación son esenciales para la aceptación continua de su IdM. Sin embargo, ningún sistema de gestión está completo sin una forma de gestionarlo. Tener plantillas y valores predeterminados razonables le permite minimizar las tareas rutinarias de crear usuarios y moverlos al departamento respectivo. Si su sistema le permite establecer valores predeterminados, excelente, utilícelos. Si no es así, es posible que desee buscar un nuevo sistema.
Paso 5:Revise sus políticas de contraseñas
Las recomendaciones y los posibles requisitos para las políticas de contraseñas han cambiado. El Instituto Nacional de Estándares y Tecnología ha actualizado su documentación, y la Sección 5.1.1 proporciona un punto de partida excelente (y gratuito) para ver las ideas actualizadas sobre contraseñas seguras. Las políticas actualizadas no solo son una consideración de seguridad, sino que también se suman a la comodidad del usuario. Si aún usa 6 caracteres durante tres meses, es posible que desee considerar verificar los nuevos requisitos. Con el poder de cómputo cada vez mayor a precios cada vez más bajos, la recomendación es usar contraseñas más largas durante medio año o incluso más. Cuanto menos tenga que cambiar la contraseña, más probable será que los usuarios elijan una contraseña compleja y razonable.
Paso 6:autenticación de dos factores
El espionaje industrial no es algo que afecte solo a las grandes empresas. Incluso las empresas medianas y pequeñas se ven afectadas todos los días. Una de las formas más comunes de obtener información es descifrar contraseñas. Ahora, una buena política de contraseñas, como se mencionó anteriormente, puede mitigar algunos de los problemas. Sin embargo, ¿por qué no hacer de 2018 el año en que implemente la autenticación de dos factores en su entorno de TI? Herramientas como privacyIDEA y la YubiKey le permite habilitar a sus usuarios para que usen la autenticación basada en hardware.
Paso 7:Usar cuentas de administrador individuales
Root y administrador son dos cuentas muy convenientes que puede encontrar en sus servidores y estaciones de trabajo. Están disponibles para sus administradores y todos recordarán el nombre. Por supuesto, si olvida la contraseña, todos sus colegas estarán encantados de compartirla con usted.
Las cuentas individuales mitigan este problema. Tienes una cuenta por administrador con su contraseña y nombre de usuario. Naturalmente, estas cuentas deben ser diferentes de la que se usa para iniciar sesión en el trabajo diario.
Paso 8:Registre los cambios y audite los cambios
Las cuentas separadas para administradores también le permiten registrar cambios y monitorear quién cambia qué configuración. Supervisar los cambios no solo es importante para la rendición de cuentas, sino que es aún más útil al examinar el futuro de sus entornos. Si ve que un administrador siempre aplica un parámetro a una clase de objetos, puede considerar convertirlo en predeterminado.
Paso 9:revisar la configuración del servidor
La mayoría de nosotros ejecutamos sus servidores durante mucho tiempo. Especialmente cuando usa máquinas virtuales y actualizaciones de software en el lugar, es posible que aún esté ejecutando software que instaló inicialmente hace diez años. Si bien esto es excelente en cuanto a la eficiencia, también significa que muchas de sus configuraciones pueden estar en uso durante más tiempo del que algunos de nosotros hemos estado trabajando en ese servidor.
A menudo se olvida revisar la configuración predeterminada y podría ser una buena idea revisar la configuración para ver si se necesitan mejoras.
Paso 10:Copias fuera del sitio
Imagine que su sala de servidores tiene un problema eléctrico y no está operativa. Ahora que todos sus servicios en la nube obtienen sus contraseñas del servidor, sus colegas ni siquiera podrían llevar sus computadoras portátiles a casa ya que ninguno de sus servicios en la nube está disponible.
Aquí es donde un servidor externo es útil. Si el servidor está lo suficientemente lejos de usted, incluso un problema importante no afectará su funcionamiento. Con los servicios en la nube de AWS y Azure, es posible crear un servidor externo para crear una copia de seguridad externa por unos pocos dólares al año.
Puede encontrar más información sobre Univention Corporate Server como ejemplo de un IdM abierto y central en los siguientes artículos anteriores:
- Introducción al servidor corporativo de Univention
- Instalación y Configuración del Servidor Corporativo Univention
- Configure un servidor privado con ownCloud, Kopano y Let's Encrypt en UCS
Conclusión
Hacer mejoras en su IdM hará que su vida de administrador sea más fácil y su TI en general más segura. Al abordar pequeños proyectos uno a la vez, podrá realizar estos cambios uno por uno y mejorar su TI continuamente. Si bien los efectos de los cambios anteriores pueden no parecer grandes al principio, cada uno de ellos puede tener un impacto significativo en su TI a largo plazo.