Administración de Active Directory delegada en una organización con gestión de identidades

En este informe oficial se analiza la importancia de delegar la administración de Microsoft Active Directory mediante una solución de gestión de directorios como Directory and Resource Administrator™ de NetIQ®. Aunque muchas organizaciones piensan que la gestión de identidades proporciona todas las funciones necesarias para hacer frente a la complejidad, lo cierto es que gestionar Active Directory usando simplemente una solución de gestión de identidades puede resultar ineficaz e inseguro. Si se combina con la gestión de identidades, una buena solución de gestión de directorios le permitirá delegar la administración de Active Directory de forma efectiva y lograr buenos niveles de seguridad y eficacia para su empresa.

INFORME OFICIAL

INFORME OFICIAL: Administración de Active Directory delegada en una organización con gestión de identidades

INFORME OFICIAL

Índice

Introducción ............................................................................................................................................. 1

Panorama general: principales problemas .......................................................................................... 2

La batalla por controlar Active Directory ............................................................................................. 3

Mejores prácticas para la gestión de identidades y la administración de directorios ......................... 3

Defectos de las herramientas nativas de Microsoft ............................................................................ 4

Directory and Resource Administrator de NetIQ ................................................................................. 5

Razones para utilizar Directory and Resource Administrator de NetIQ .............................................. 6

Ventajas de contar con una solución de administración de directorios además de una solución de gestión de identidades ..................................................................................................... 6

Conclusión............................................................................................................................................... 7

Acerca de NetIQ ...................................................................................................................................... 7

Introducción Sin duda alguna, en cuanto la mayoría de las organizaciones alcanzan un determinado tamaño o se enfrentan a cierta complejidad en su entorno, surge la necesidad de contar con una solución de gestión de identidades. Los procesos de cambio en la asignación y eliminación de derechos de acceso a los recursos de empresa son demasiado complicados para ejecutarlos manualmente. La gestión manual de estos procesos puede llevar a la derivación de los derechos administrativos a medida que las organizaciones realizan nuevas contrataciones para aumentar su eficiencia.

Aproximadamente, al alcanzar los 1000 empleados, es el punto en el que la mayoría de las empresas empiezan a investigar las soluciones de gestión de identidades. No obstante, las estrictas directivas de obligado cumplimiento o los altos niveles de complejidad ocasionados por los constantes cambios pueden hacer que algunas organizaciones investiguen estas soluciones de gestión de identidades mucho antes de llegar a ese punto.

La gestión de identidades consiste en la gestión del acceso de una persona a los recursos en función de su posición en la empresa a lo largo de su ciclo de vida de empleado (Figura 1). Puede ser algo tan simple como crear y otorgar derechos de acceso al correo electrónico de empresa para cualquier persona designada como empleado o algo tan complejo como asignar derechos en función de los requisitos del puesto y de la estructura de la organización (funciones).

Figura 1: Ciclo de vida de la identidad

Para muchas organizaciones, Microsoft Active Directory se ha convertido en la principal referencia en lo que concierne a las identidades de la empresa. Esto podría o no cambiar con la introducción de una solución de gestión de identidades. Independientemente de esto, si utiliza Active Directory, también debería delegar la administración de directorios, incluso si cuenta con una solución de gestión de identidades. AD almacena muchos tipos de información, y no sería lógico que aquellos

que estén especializados en la gestión de identidades gestionen la mayor parte de esa información. Por ejemplo, la mayoría de los gestores de identidades rara vez tendrán que ocuparse de cambiar el espacio en disco asignado a un empleado en una unidad de red, información que se gestiona y almacena en AD.

Muchas organizaciones adoptan un enfoque de administración de AD de dos niveles: el sistema de gestión de identidades crea y gestiona identidades en AD, pero las tareas de administración diarias y los derechos para realizar cambios son compartidos por un grupo que puede ir ampliándose a medida que aumenta la necesidad de cambiar información en AD. Aunque este enfoque puede resultar apropiado a corto plazo, se puede terminar convirtiendo en una pesadilla desde el punto de vista de la conformidad y la seguridad. Las empresas necesitan un enfoque sólido y bien gestionado para las instancias de AD en su entorno, además de la flexibilidad necesaria para que cada persona realice su trabajo de forma eficiente.

Figura 2: Relación entre la gestión de identidades y Active Directory

Panorama general: principales problemas A pesar de que las soluciones de gestión de identidades prometen mayores niveles de seguridad en las empresas, estas se enfrentan a numerosos peligros digitales. Los riesgos y retos de la informática en distintos entornos siguen aumentando. El nivel de exigencia es cada vez mayor en cuanto al cumplimiento de requisitos legales cada vez más restrictivos y políticas internas de empresa. Y pese a los esfuerzos que hacen las empresas en materia de seguridad, la publicidad que se da a las filtraciones de datos y los escándalos de fraude interno no hacen más que dañar de forma irreparable la reputación de las mismas. Aunque existen numerosas formas de hacer frente a estos problemas,

las estadísticas del sector parecen indicar que muchas empresas no son capaces de controlar sus riesgos.

Esto es especialmente aplicable a personas que tienen un puesto elevado o acceso con privilegios en una organización. Un reciente informe sobre filtraciones de datos de Verizon Risk Team muestra que el 48% de estos accesos no autorizados a datos estuvieron provocados por personal interno con derechos de acceso. Esta actividad “de dentro hacia fuera” se puede saltar muchos protocolos de seguridad y precauciones, ya que normalmente el software de seguridad se encarga de controlar el perímetro del acceso no autorizado.

De hecho, según prevé el informe sobre fraude interno de Aite 2011, las instituciones financieras verán mermados sus ingresos en un 5% debido al fraude interno. Aunque el 95% restante siga siendo una cifra buena en otros contextos, la ecuación se traduce en que una empresa financiera de 350 millones de dólares dejará de ingresar 17,5 millones de dólares debido al fraude interno, y esto cada año. Con estas cifras tan desalentadoras, resulta extraño que no haya más organizaciones preocupadas por la gestión y el control del acceso con privilegios. Está claro que la mayoría de las empresas siguen librando su propia batalla.

La batalla por controlar Active Directory Casi el 90% de las organizaciones utilizan Active Directory; esto llevaría a pensar que existen mejores maneras de controlar tanto la visibilidad sobre AD como los derechos administrativos que controlan AD. Teniendo en cuenta que en una organización existen muchas personas en distintos niveles que necesitan derechos de AD para llevar a cabo su trabajo, para muchas empresas resulta todo un reto delegar de forma efectiva la autoridad necesaria o “justa”. Algunas empresas simplemente ignoran los riesgos de la derivación de la administración de AD y dan por hecho que su solución de gestión de identidades se hará cargo del problema. Pero esto ocurre en muy pocas ocasiones. El objetivo de todas las empresas con AD y Microsoft Exchange debería ser el de reducir el número de administradores de dominio y usuarios con privilegios y delegar de forma apropiada los derechos administrativos y las vistas solo a aquellos que necesiten una autoridad administrativa limitada o restringida.

El problema es que, debido a que hay muchas personas distintas que necesitan acceder a AD para gestionar de forma efectiva identidades, servidores, escritorios, espacio de almacenamiento, buzones de correo, impresoras, grupos y listas de distribución, resulta muy laborioso intentar delegar la autoridad “justa” para cada una de ellas. Muchas empresas siguen sin tener muy claro quién es el propietario último de sus dominios o bosques de AD, lo que resulta un obstáculo a la hora de diseñar una estrategia sólida y unificada para gestionar la administración de AD.

Windows Server 2012, con nuevas e interesantes funciones como el control de acceso dinámico, complica aún más la forma de otorgar acceso en los entornos con gestión de identidades. (Consulte el blog: http://community.netiq.com/blogs/security_webb/archive/2012/12/11/dynamic-access-control-is-it-the-thing-or-your-friend.aspx). En conclusión, independientemente de cómo haga frente a la gestión de identidades en su empresa, debe considerar cómo administra AD en cuanto a seguridad total, conformidad y eficiencia.

Mejores prácticas para la gestión de identidades y la administración de directorios La meta de la gestión de identidades y la administración de Active Directory es alcanzar mayores niveles de seguridad, eficiencia y conformidad en las empresas. Para ello, la gestión de identidades 1) automatiza la provisión y desaprovisionamiento de usuarios en la empresa y 2) aplica políticas como la separación de tareas según las funciones. Aunque la administración de AD puede solaparse con una solución de gestión de identidades en estas áreas, la meta de la administración de AD es delegar la autoridad administrativa apropiada y ofrecer las vistas correctas a los usuarios para que

puedan ser eficientes sin aumentar los riesgos. El objetivo general es reducir drásticamente el número de usuarios con privilegios (administradores de dominio) en el entorno de AD, sin dejar de otorgar a los empleados la autoridad administrativa suficiente para que sean eficientes. Teniendo en cuenta todas las personas que requieren derechos administrativos de AD en una organización compleja, esto puede convertirse en una ardua tarea.

La mayoría de las soluciones de gestión de identidades carecen de la administración de reglas y funciones de AD y de la delegación detallada de autoridad administrativa necesaria para reducir el número de administradores de dominio. Como consecuencia, a menudo las empresas otorgan derechos de administración innecesarios o muy amplios en AD a través del sistema de gestión de identidades o, simplemente, ignoran la administración de AD. Ambas situaciones exponen a la empresa a amenazas de seguridad internas, a violaciones de conformidad y a la posibilidad de no superar las auditorías.

La mejor forma de hacer frente al problema es abordar la gestión de identidades y la administración de AD como soluciones independientes unidas en una única visión: una empresa segura y que cumple con las directivas. La gestión de identidades debe centrarse en consolidar las identidades al máximo para, a continuación, sincronizarlas en toda la empresa: controlar quién accede a cada recurso según las funciones. La administración de AD debe centrarse en reducir de forma efectiva el número de administradores de dominio mediante la delegación correcta de la autoridad administrativa adecuada. Ambas soluciones deben proporcionar sólidas funciones de creación de informes para los seguimientos de auditoría. Las soluciones más avanzadas deben ofrecer también medios para comprobar o proteger las acciones administrativas con las aprobaciones necesarias.

Defectos de las herramientas nativas de Microsoft Si bien Microsoft ofrece formas de delegar la autoridad administrativa de Active Directory, existen importantes retos que deben mantener alerta a cualquier empresa realmente preocupada por la eficiencia, la seguridad y la conformidad.

Las herramientas nativas de administración de AD de Microsoft presentan carencias en determinadas áreas:

1) Delegación segura de los derechos: los controles nativos no son flexibles, no son fáciles de ampliar ni de modificar. Los empleados administrativos tienen visibilidad total sobre AD, independientemente de si realmente gestionan dicha información.

2) Información sobre la autoridad delegada: una vez que cierra el asistente de delegación, resulta laborioso identificar quién tiene acceso a cada recurso.

3) Control del contenido: al no aplicarse políticas de contexto y contenido a las herramientas nativas, existe el riesgo de que se introduzca en el directorio información no válida, incorrecta o con un formato erróneo (contaminación de directorio).

4) Administración basada en web: Microsoft no proporciona una forma adaptada a la web para la administración de AD, lo que implica que los administradores tienen que utilizar obligatoriamente la interfaz Active Directory Users and Computers (ADUC).

5) Restauración de la información eliminada: resulta complicado recuperar los objetos de AD eliminados.

6) Automatización: no hay ninguna manera de automatizar tareas repetitivas manuales de administración de AD, lo que implica un aumento importante de las posibilidades de cometer errores.

Una solución de administración de directorios efectiva debe ser capaz de cubrir las deficiencias de las herramientas nativas de Active Directory. Una solución real debe:

• Delegar la autoridad administrativa de forma sencilla y segura • Facilitar la auditoría de las acciones y autoridad administrativa • Aplicar políticas de cuentas • Automatizar tareas de administración manuales que sean muy repetitivas

Directory and Resource Administrator de NetIQ Directory and Resource Administrator™ de NetIQ® está especializado en la delegación de la autoridad administrativa “justa” en Active Directory para que los empleados puedan llevar a cabo sus trabajos de forma eficiente, auditable y segura en un entorno con gestión de identidades. Su solución de gestión de identidades puede seguir sincronizando la información de identidad importante y los derechos con AD, mientras que Directory and Resource Administrator de NetIQ se encarga de ofrecer las vistas y los derechos adecuados para la administración de AD. No tendrá que realizar la delegación detallada de administración de AD a través de una solución de gestión de identidades, tarea que para la mayor parte de las soluciones implica grandes cantidades de personalización y codificación.

Figura 3: Administradores de Directory and Resource AdministratorTM de NetIQ® Para automatizar procesos que requieran mucha intervención manual o que sean rutinarios, la edición avanzada de Directory and Resource Administrator de NetIQ contiene además un motor de automatización personalizable. Esta edición avanzada puede ayudar a reducir los errores ocasionados por una administración manual y a aumentar la eficiencia de los departamentos de TI al reemplazar procesos administrativos muy repetitivos y laboriosos.

Razones para utilizar Directory and Resource Administrator de NetIQ Aunque contar con una solución de gestión de identidades resulta perfecto para la mayoría de las empresas grandes y bien reguladas, existen razones de peso para plantearse la posibilidad de agregar funciones de administración de directorios para Active Directory en un entorno con gestión de identidades.

La siguiente tabla muestra distintas situaciones y razones por las que quizás desee incorporar Directory and Resource Administrator de NetIQ a las soluciones de TI de su empresa.

Situación/Reto

Active Directory es el almacén de identidades principal o la referencia de autoridad en su empresa.

Demasiados usuarios tienen derechos totales o son administradores de dominio en AD.

Debe reducir el número de tareas manuales o repetitivas relacionadas con la administración de AD o Exchange.

Necesita aprobaciones de propietarios empresariales o técnicos durante la gestión de los derechos de acceso otorgados a través de AD.

Los usuarios necesitan funciones de autoservicio en AD.

El personal del servicio de ayuda técnica necesita los derechos "justos" en AD para resolver problemas.

Necesita mostrar los seguimientos de auditoría completos de toda la actividad administrativa en AD.

Ventajas de contar con una solución de administración de directorios además de una solución de gestión de identidades La combinación de Directory and Resource Administrator de NetIQ y una solución de gestión de identidades supone diversas ventajas. En primer lugar, reduce los riesgos de seguridad en general permitiéndole delegar fácilmente la autoridad administrativa “justa” en Active Directory sin obligarle a gestionar esta delegación detallada a través de su solución de gestión de identidades. Además, a menudo simplifica la distribución de la gestión de identidades mostrando a los administradores únicamente lo que pueden gestionar en AD. Al agregar Directory and Resource Administrator de NetIQ, se cuenta con un único punto de conexión para AD en varios dominios.

A menudo, el trabajo de TI se puede distribuir de forma más uniforme a administradores locales o secundarios desde un departamento de TI centralizado porque el departamento puede delegar la autoridad de AD con una precisión detallada. Los especialistas en gestión de identidades pueden centrarse en el marco general de identidad de su empresa, mientras que otros empleados realizan las tareas de administración de AD cotidianas de forma segura y estandarizada.

Además, Directory and Resource Administrator de NetIQ también mejora sus funciones generales de creación de informes y auditoría porque registra minuciosamente y con total seguridad toda la actividad administrativa en AD. La ejecución de informes y las pruebas de conformidad relacionadas con toda la actividad administrativa realizada en AD se simplifica con Directory and Resource Administrator de NetIQ.

Conclusión La combinación de una solución de gestión de identidades y una solución de administración de directorios puede aportar ventajas tangibles para una empresa sin que implique un aumento de la complejidad ni el riesgo de la seguridad. El hecho de añadir la protección adicional que supone la administración detallada y delegada de Active Directory reduce el riesgo de una administración de AD incorrecta o inadecuada y de la no superación de auditorías, ya que puede controlar más aspectos de su administración. Además, una herramienta de administración delegada para AD puede de hecho aumentar la capacidad de respuesta ante determinadas solicitudes de acceso y proyectos, al permitirle asumir muchas tareas de administración de una forma segura y conforme a las directivas en AD, sin dejar de lado las ventajas generales y el nivel de seguridad que ofrece su marco de gestión de identidades.

Acerca de NetIQ NetIQ es una compañía internacional de software empresarial que satisface la demanda de TI híbrida con soluciones para la gestión de acceso e identidades, así como para la gestión de la seguridad y centros de datos. Con estas soluciones, clientes y partners podrán aprovechar las oportunidades que les ofrece el complejo y dinámico panorama de TI. Al aunar tecnologías y métodos de distribución de servicios, nuestros clientes están más preparados para ofrecer valor estratégico al ritmo impuesto por el negocio. Obtenga más información sobre estas galardonadas soluciones de software en www.netiq.com. Este documento puede incluir imprecisiones técnicas o errores tipográficos. La presente información se actualiza de forma periódica. Los cambios efectuados podrían incorporarse en ediciones posteriores de este documento. NetIQ Corporation puede realizar en cualquier momento mejoras o cambios en el software descrito en el presente documento. Copyright © 2013 de NetIQ Corporation y sus filiales. Reservados todos los derechos. 562-ES1013-001 Access Manager, ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Cloud Manager, Compliance Suite, el diseño del logotipo del cubo, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, el logotipo de NetIQ, PlateSpin, PlateSpin Recon, Privileged User Manager, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, y Vivinet son marcas comerciales o marcas comerciales registradas de NetIQ Corporation o sus filiales en Estados Unidos. Los demás nombres de compañías y productos que se mencionan en el presente documento se utilizan solamente a efectos de identificación y pueden ser marcas comerciales o marcas comerciales registradas de sus respectivas empresas.

España Email: contact-es@netiq.com Para obtener una lista completa

de nuestras oficinas en América del Norte, Europa, Oriente Medio, África, Asia-Pacífico y América Latina, visite www.netiq.com/contacts. Síganos:

C/ José Echegaray, 8 info@netiq.com Edificio III Planta 1 www.netiq.com Oficinas 5 y 6 http://community.netiq.com 28230 Las Rozas (Madrid) Telefono: +34 91 640 25 00

Fax: +34 91 640 25 25