La baja de empleados no es la tarea favorita de nadie, sin embargo, es un proceso de TI crítico que debe ejecutarse de manera diligente y eficiente. Es más fácil decirlo que hacerlo, especialmente considerando que las organizaciones de TI tienen menos visibilidad y control que nunca sobre el uso de TI de los empleados. Hoy en día, los empleados pueden adoptar fácilmente nuevas aplicaciones SaaS y en la nube cuando y donde quieran, y el antiguo manual de salida de TI de «deshabilitar la cuenta AD, reenviar correo electrónico, recuperar y borrar el dispositivo y terminar» ya no es suficiente.
Aquí, cubriremos cinco de los errores más comunes de Salida de TI en un mundo donde prima SaaS, junto con consejos sobre cómo navegar por ellos.
Error #1: suspender o eliminar la cuenta de correo electrónico antes de completar otros pasos críticos
Puede parecer lógico suspender o eliminar la cuenta de Google Workspace o Microsoft 365 de los empleados como primer paso en el proceso de baja. Sin embargo, esto hará que la cuenta sea inaccesible para todos, incluso para los administradores, lo que podría interferir con su capacidad para completar otras tareas de baja, como transferir archivos y datos.
En lugar de suspender o eliminar la cuenta, querrá revocar el acceso del ex empleado a su cuenta de correo electrónico restableciendo sus contraseñas y desactivando cualquier método de recuperación que el empleado haya configurado, como una dirección de correo electrónico personal secundaria o un número de teléfono móvil.
Determinar cuándo suspender o eliminar la cuenta de correo electrónico de los empleados dependerá del protocolo interno y debe completarse cuidadosamente solo después de confirmar que el acceso a todos los demás recursos, sistemas y datos críticos ha sido revocado o transferido a otros empleados. Normalmente, este será el paso final en el proceso de salida de TI.
Error nº 2: considerar solo lo que hay en IdP o SSO
Uno de los errores más comunes de la baja es limitar el alcance solo a las aplicaciones SaaS y en la nube autorizadas que se administran dentro de su proveedor de identidad (IdP) o sistema de inicio de sesión único (SSO) empresarial. Si bien parece lógico diseñar un proceso de baja con Con un único interruptor de identidad, la realidad con la que todos vivimos es que no todo está detrás del SSO y, al limitar su alcance, corre el riesgo de pasar por alto todos los activos SaaS no autorizados o «en la sombra» que un empleado introdujo durante su mandato. Estas cuentas SaaS no autorizadas a menudo se crean con un nombre de usuario y una contraseña, que pueden salir fácilmente por la puerta en una nota Post-it o quedar abandonadas y luego comprometidas por un actor de amenazas. Para evitar este problema, comience por abrir la apertura de su salida de TI para abarcar todos los servicios administrados. y Acceso SaaS y nube no administrada.
Entonces, ¿cómo se crea una lista de cuentas SaaS y en la nube no administradas para un empleado que se va? Esto puede convertirse en la peor búsqueda del tesoro del mundo, en la que usted tendrá que cruzar información de los sistemas financieros, la plataforma de emisión de tickets de su mesa de ayuda, consultas a propietarios de aplicaciones fuera de TI, compañeros de equipo del empleado que se va y más.
Pero no se embarque todavía en esa búsqueda, nuevas soluciones para Gestión SaaS están surgiendo para hacer este proceso mucho más fácil.
Error n.º 3: pasar por alto los recursos SaaS y la nube críticos para el negocio
Es fácil olvidarse de transferir la propiedad de recursos críticos como cuentas corporativas de redes sociales, propiedad de cuentas raíz y dominios registrados. Este error puede provocar la interrupción del negocio o dejar cuentas huérfanas e inaccesibles. Para garantizar que esto no suceda, las organizaciones de TI deben asegurarse de identificar y transferir la propiedad de cualquier recurso, automatizaciones o integraciones críticas para el negocio como un paso inicial del proceso de salida.
Error #4: No involucrar a los propietarios comerciales de cada aplicación SaaS
El rápido aumento de la TI dirigida por las empresas significa que se está realizando una mayor administración de TI fuera de la TI central. Esto significa que más personas participarán en el proceso de salida, incluidos propietarios de empresas de aplicaciones y tecnólogos empresariales que gestionan los presupuestos y las licencias para sus aplicaciones SaaS.
Hay dos pasos clave para simplificar este proceso: primero, hay que saber quiénes son las personas adecuadas para involucrarse, lo que requiere una sólida Plataforma de gestión SaaS. En segundo lugar, necesita una manera de optimizar e incluso automatizar la interacción con todas las partes interesadas para poder orquestar de manera efectiva la multitud de tareas de salida que los administradores que no son de TI deben completar.
Por ejemplo, antes de que se cierre la cuenta del empleado saliente dentro de una aplicación en particular, es posible que el propietario del negocio de la aplicación deba transferir la propiedad de los datos, las integraciones o los flujos de trabajo para evitar interrumpir el negocio. Además, es posible que el propietario de la aplicación deba transferir cualquier permiso elevado a un nuevo usuario.
Error #5: Pasar por alto las integraciones OAuth de aplicación a aplicación
Hoy en día, en la mayoría de las organizaciones existe una red de integraciones OAuth de aplicación a aplicación para automatizar las actualizaciones de datos y las tareas entre aplicaciones. Cuando los empleados abandonan la organización, revocar las subvenciones sin una revisión cuidadosa podría provocar una interrupción del negocio, y no revocar las subvenciones podría generar un mayor riesgo.
Como resultado, es importante revisar las concesiones de OAuth, trabajar con los propietarios de las aplicaciones para identificar aquellas que deban restablecerse a través de una cuenta diferente y luego revocar las concesiones emitidas por las cuentas del empleado saliente.
Automatice la salida de SaaS con Nudge Security
La salida de TI es tediosa, requiere mucho tiempo y, a menudo, es incompleta. Pero Nudge Security puede hacer que este proceso sea mucho más fácil.
Nudge Security descubre e inventaria continuamente todas las aplicaciones SaaS y en la nube que utilizan sus empleados, incluida la TI en la sombra, lo que le brinda una única fuente de información para las cuentas de los usuarios salientes, las concesiones de OAuth y otros recursos críticos. Además, el manual de salida integrado automatiza hasta el 90 % de las tareas manuales, como restablecer contraseñas, revocar subvenciones de OAuth, transferir datos y permisos a los propietarios de aplicaciones de mensajería, y más.
Mira como puedes automatizar la salida de TI con Empujar Seguridad.