Inventario de SaaS y gestión de accesos
Cuando alguien deja una empresa pequeña, el proceso de baja suele ser: portátil devuelto, Slack desactivado, listo. Pero ¿qué pasa con GitHub? ¿Con la consola de AWS? ¿Figma, Notion, Amplitude, el panel de analítica, el panel de administración del procesador de pagos?
La mayoría de las empresas pequeñas no pueden responder a la pregunta «¿a qué servicios tiene acceso esta persona?». No hay ninguna lista centralizada. La gente se registra en herramientas cuando las necesita. Nadie lo lleva el control. Cuando alguien se va, se revocan las cosas obvias — correo electrónico, Slack — y todo lo demás sigue activo hasta que alguien se da cuenta. A veces eso ocurre meses después.
Este capítulo le ofrece un sistema: inventaríe lo que realmente usa, mapee quién tiene acceso a qué y construya un proceso de baja que no deje huecos.
Por qué esto importa más de lo que cree
Está usando más SaaS de lo que cree. Intente contarlo: correo electrónico, calendario, documentos (eso ya son tres si usa Google Workspace). Slack o Teams. GitHub o GitLab. AWS o GCP. Su herramienta de CI/CD. Seguimiento de errores. Analítica. CRM. Sistema de tickets de soporte. Herramientas de diseño. Gestión de proyectos. Gestor de contraseñas. Software de RRHH. Contabilidad. Banca. Automatización de marketing. Gestión de redes sociales. Videoconferencia. Cada equipo añade sus propias herramientas.
Cuando las empresas realizan este ejercicio, el cálculo habitual es «puede que 30 herramientas». El recuento real suele superar las 70. Una startup de 50 personas que realizó una auditoría adecuada encontró 140 aplicaciones SaaS, casi tres por empleado.
Cada una de ellas es un punto de entrada potencial. Cada una almacena algunos datos de la empresa. Y cada una tiene su propia gestión de usuarios que nadie controla de forma centralizada.
El problema de la TI en la sombra
La TI en la sombra no es maliciosa. Es un desarrollador que se registra en la versión gratuita de alguna herramienta de monitorización porque la necesitaba para un proyecto. Es marketing probando una nueva plataforma de correo electrónico. Es el CEO registrándose en una herramienta de redacción de IA con su correo electrónico corporativo.
El problema no es que la gente use estas herramientas. El problema es que nadie sabe que existen hasta que:
- La tarjeta de crédito recibe un cargo y finanzas pregunta «¿qué es este cobro de 200 € mensuales a una empresa llamada Datadog?»
- Alguien se va y descubre que era el único administrador de un servicio crítico
- Un proveedor sufre una brecha y usted se apresura a averiguar si siquiera lo usa
La acumulación de accesos
Las personas acumulan accesos con el tiempo. Un desarrollador obtiene acceso de administrador al entorno de staging para depurar un problema, y ese acceso nunca se revoca. Alguien se une a un proyecto temporalmente y permanece en el repositorio para siempre. El becario de hace dos veranos todavía tiene acceso de lectura a sus análisis.
No se trata de confianza. Se trata de superficie de ataque. Cada cuenta con acceso a sus sistemas es un punto de entrada potencial si las credenciales de esa persona se ven comprometidas. Y las credenciales comprometidas son habituales: la gente reutiliza contraseñas, cae en el phishing, usa redes WiFi inseguras.
El principio de privilegio mínimo no es burocracia innecesaria. Es reconocer que menos puntos de acceso significa menos formas de entrar.
Construcción del inventario de SaaS
Es un trabajo poco glamuroso, pero es fundamental. No puede proteger lo que no sabe que existe.
Paso 1: empiece por lo obvio
Liste todos los servicios que usa usted personalmente para trabajar. Luego pida a los responsables de equipo que hagan lo mismo. Esto le proporciona la mayor parte de su inventario rápidamente: las cosas obvias que todo el mundo conoce.
Cree una hoja de cálculo con estas columnas:
- Nombre del servicio
- URL
- Categoría (infraestructura, desarrollo, comunicación, productividad, etc.)
- Quién es el propietario de la cuenta (facturación/administración)
- Cómo nos autenticamos (cuentas individuales, SSO, credenciales compartidas)
- Sensibilidad (¿a qué datos tiene acceso?)
- Coste (nivel gratuito, de pago, cuánto)
- Usuarios (número aproximado)
Paso 2: revise su SSO/IdP
Si usa Google Workspace, Okta, Azure AD o cualquier proveedor de identidad, compruebe qué aplicaciones de terceros han recibido acceso. En Google Workspace:
Admin console → Security → API controls → Third-party app access
Encontrará servicios que había olvidado. Algún empleado conectó su cuenta de Google a alguna aplicación aleatoria hace tres años, y todavía está ahí.
Paso 3: audite los registros financieros
Revise sus extractos de tarjeta de crédito y gastos de los últimos 6 meses. Cada cargo recurrente a una empresa de software es una herramienta SaaS. Esto detecta las herramientas de pago que se han colado.
Paso 4: revise el DNS y el correo electrónico
Mire el registro SPF de su dominio de correo electrónico y cualquier entrada DNS. Los servicios a menudo requieren que añada registros DNS para la verificación. ¿Ese CNAME de Mailchimp que configuró? Ese es un servicio en su inventario.
Compruebe los alias de correo electrónico: ¿hay direcciones como [email protected] reenviando a alguna herramienta de helpdesk?
Paso 5: pregunte al equipo
Envíe un mensaje a toda la empresa: «Estamos construyendo un inventario de todas las herramientas que usamos. Si se ha registrado en algún software con su correo electrónico corporativo, por favor añádalo a [este formulario]».
La gente recordará cosas. La base de Airtable aleatoria. La cuenta de Calendly. La herramienta de transcripción de IA de aquella reunión.
Herramientas para el descubrimiento automatizado de SaaS
Si desea automatizar este proceso (o su empresa está creciendo más allá de 50 personas), existen herramientas dedicadas que escanean en busca de TI en la sombra y construyen su inventario automáticamente.
Opciones gratuitas o asequibles:
- Nudge Security — Descubrimiento continuo de SaaS mediante análisis de correo electrónico. Encuentra aplicaciones en las que la gente se registró con su correo corporativo. Tiene nivel gratuito para equipos pequeños.
- JumpCloud — Plataforma de identidad con descubrimiento de SaaS integrado. Nivel gratuito para hasta 10 usuarios y 10 dispositivos. Buena opción si necesita un IdP de todos modos.
- Saasmetrix — Descubre SaaS mediante integración SSO e importaciones de sistemas de contabilidad. Orientado a PYMES.
Opciones de mercado medio:
- Lumos — Descubrimiento de TI en la sombra más flujos de trabajo de solicitud de acceso. Buena opción para empresas que han superado las hojas de cálculo.
- Josys — Descubrimiento basado en extensión del navegador. Detecta aplicaciones que no se integran con SSO.
- Auvik — Descubrimiento de SaaS basado en red. También realiza monitorización de red si la necesita.
Opciones empresariales (probablemente excesivas para menos de 100 personas):
- Axonius — Inventario completo de activos, incluyendo SaaS, dispositivos y recursos en la nube.
- Grip Security — Descubrimiento continuo de SaaS con puntuación de seguridad.
Para la mayoría de las empresas pequeñas, el enfoque manual (pasos 1-5 anteriores) funciona bien inicialmente. Considere una herramienta cuando:
- Está incorporando empleados más rápido de lo que puede hacer el seguimiento manual
- Ha tenido incidentes causados por cuentas SaaS desconocidas
- Necesita demostrar cumplimiento y las hojas de cálculo manuales no son suficientes
No compre una herramienta para evitar hacer el trabajo inicial de inventario. Necesita comprender su panorama antes de automatizar su monitorización.
La plantilla de inventario
Aquí hay una plantilla práctica. No necesita herramientas sofisticadas: una hoja de cálculo funciona perfectamente para empresas de menos de 100 personas.
| Servicio | Categoría | Propietario | Método de autenticación | Sensibilidad de datos | Usuarios | Coste mensual | Última revisión |
|---|---|---|---|---|---|---|---|
| Google Workspace | Core | CTO | SSO | Alta - correo, docs | Todos | $800 | 2024-01 |
| GitHub | Desarrollo | VP Eng | SSO + MFA | Alta - código fuente | 25 | $500 | 2024-01 |
| AWS | Infraestructura | CTO | IAM + MFA | Crítica - prod | 8 | $3000 | 2024-01 |
| Slack | Comunicación | CTO | SSO | Media - chat interno | Todos | $400 | 2024-01 |
| Figma | Diseño | Design Lead | Email/pass | Media - diseños | 5 | $75 | 2024-01 |
| Notion | Productividad | PM Lead | SSO | Media - docs | 30 | $150 | 2024-01 |
| Amplitude | Analítica | Product | Email/pass | Media - datos de usuario | 10 | Gratuito | 2024-01 |
| Stripe | Pagos | CFO | Email + MFA | Crítica - financiero | 3 | Transacción | 2024-01 |
Categorización por riesgo
No todos los servicios son iguales. Categorícelos según lo que ocurre si el servicio se ve comprometido:
Crítico — Una brecha causa daños graves e inmediatos
- Infraestructura en la nube (AWS, GCP, Azure)
- Procesamiento de pagos (Stripe, banca)
- Almacenes de datos de clientes (bases de datos, CRM con datos sensibles)
- Acceso a despliegues en producción
Alto — Una brecha causa daños significativos
- Repositorios de código fuente
- Correo electrónico y autenticación
- Documentación interna con información confidencial
- Sistemas de RRHH con datos de empleados
Medio — Una brecha causa daños moderados
- Analítica y monitorización
- Herramientas de gestión de proyectos
- Herramientas de diseño
- Automatización de marketing
Bajo — Una brecha causa daños directos mínimos
- Redes sociales de cara al público
- Herramientas de productividad general
- Herramientas internas no sensibles
Concentre sus esfuerzos de seguridad en los niveles Crítico y Alto. Estos necesitan MFA, controles de acceso estrictos y un proceso de baja cuidadoso.
Implementación del privilegio mínimo
El principio: las personas deben tener el acceso mínimo necesario para hacer su trabajo. No «acceso a todo por si acaso algún día lo necesitan».
Implementación práctica
Acceso basado en roles, no en permisos individuales
Cree roles que coincidan con las funciones del puesto:
- Desarrollador: repositorios en los que trabaja, entornos de staging, herramientas de desarrollo
- DevOps: infraestructura, CI/CD, producción con registro de auditoría
- Diseñador: herramientas de diseño, bibliotecas de activos compartidos, solo lectura en repositorios de código
- Product: analítica, gestión de proyectos, solo lectura donde sea necesario
- Administrador: todo, con registro intensivo y MFA
Cuando alguien se incorpora, asígnele un rol. Cuando cambia de equipo, actualice su rol. No acumule permisos pieza a pieza.
Por defecto, menos acceso
Cuando alguien solicita acceso a algo, la primera pregunta es: «¿Realmente necesita acceso de escritura, o le valdría solo lectura?»
Empiece con solo lectura. Amplíe a escritura si hay una necesidad real. Parece burocrático, pero lleva 30 segundos y previene la acumulación de accesos.
Acceso temporal para necesidades puntuales
¿Un desarrollador necesita acceso a la base de datos de producción para depurar un problema? Concédaselo por 24 horas, no para siempre. La mayoría de las plataformas admiten acceso temporal o puede configurar un recordatorio en el calendario para revocarlo.
Cuentas separadas para operaciones de alto privilegio
Probablemente su CTO no debería usar la misma cuenta para leer Slack y gestionar el acceso root de AWS. Para sistemas críticos, considere cuentas de administrador separadas que solo se usen para tareas administrativas.
Proceso de revisión de accesos
Configure un recordatorio trimestral en el calendario: «Revisión de accesos». Para cada servicio crítico:
- Exporte la lista de usuarios
- Compárela con los empleados actuales
- Compruebe si hay desajustes de roles (¿el becario de marketing todavía tiene acceso a GitHub?)
- Revoque cualquier cosa que no debería estar ahí
Esto lleva entre 2 y 3 horas por trimestre. Vale la pena.
La lista de verificación de incorporación
Se incorpora un nuevo empleado. ¿Qué ocurre?
Elementos esenciales del primer día
Antes de que llegue:
- Crear cuenta de correo electrónico
- Añadir a las herramientas de comunicación principales (Slack, calendario)
- Añadir al gestor de contraseñas con acceso apropiado a la bóveda
- Preparar la lista de herramientas específicas del rol que necesitará
El primer día:
- Explicarle la configuración del gestor de contraseñas y la inscripción en MFA
- Conceder acceso a las herramientas específicas del rol
- Documentar el acceso concedido (actualizar el inventario)
La plantilla de incorporación
Cree una lista de verificación para cada rol. Aquí hay un ejemplo para un desarrollador:
Lista de verificación de incorporación de desarrollador
| Tarea | Herramienta | Nivel de acceso | Completado |
|---|---|---|---|
| Crear cuenta de Google Workspace | Google Admin | Usuario estándar | ☐ |
| Añadir al espacio de trabajo de Slack | Slack Admin | Miembro | ☐ |
| Invitar al gestor de contraseñas | Passwork Admin | Miembro del equipo | ☐ |
| Conceder acceso a la organización de GitHub | GitHub Admin | Miembro del equipo | ☐ |
| Añadir a los repositorios relevantes | GitHub | Escritura en repos asignados | ☐ |
| Crear usuario IAM de AWS | AWS Console | Política de desarrollador | ☐ |
| Añadir a los espacios de Notion relevantes | Notion Admin | Editor | ☐ |
| Añadir al seguimiento de errores | Sentry Admin | Desarrollador | ☐ |
| Añadir al entorno de staging | CI/CD Admin | Despliegue en staging | ☐ |
| Verificar que MFA está activado en todas las herramientas críticas | — | — | ☐ |
Personalice esta plantilla para su stack. La clave es tener una lista de verificación que alguien siga, sin depender de la memoria.
La lista de verificación de baja
Alguien se va. ¿Qué ocurre?
Aquí es donde la mayoría de las empresas fallan. Revocan las cosas obvias y se olvidan de la mitad del acceso.
La regla de oro
El proceso de baja debe ser más rápido que el de incorporación. Si tardó 2 horas en conceder el acceso, debería tardar 30 minutos en revocarlo, porque tiene una lista de verificación.
Antes de su último día
- Exporte cualquier dato que tenga y que la empresa necesite
- Transfiera la propiedad de documentos compartidos, proyectos, cuentas que administre
- Identifique los servicios en los que es el único administrador (¡crítico!)
En su último día
- Deshabilite la cuenta de correo electrónico (no la elimine: reenvíe al manager durante 30 días)
- Elimine de Slack
- Revoque el acceso al gestor de contraseñas (esto rota automáticamente las contraseñas compartidas a las que tenía acceso, si usa Passwork con la estructura de bóvedas adecuada)
- Recorra su inventario de SaaS y revoque el acceso a cada servicio
- Revoque el acceso VPN
- Elimine las claves SSH de los servidores
- Revoque el acceso a la consola en la nube
Después de que se vaya
- Rote cualquier credencial compartida que conociera (contraseñas root, claves API, cuentas compartidas)
- Compruebe si hay cuentas personales en servicios de la empresa (¿creó una cuenta personal de GitHub que todavía está en la organización?)
- Actualice su inventario para reflejar los cambios de acceso
La plantilla de baja
| Tarea | Herramienta | Contacto admin | Completado |
|---|---|---|---|
| Deshabilitar correo electrónico | Google Workspace | IT | ☐ |
| Eliminar de Slack | Slack | IT | ☐ |
| Revocar acceso al gestor de contraseñas | Passwork | Security Champion | ☐ |
| Rotar credenciales compartidas a las que accedió | Passwork | Security Champion | ☐ |
| Eliminar de la organización de GitHub | GitHub | VP Eng | ☐ |
| Eliminar usuario IAM de AWS | AWS | DevOps Lead | ☐ |
| Eliminar de CI/CD | Jenkins/GitHub Actions | DevOps Lead | ☐ |
| Revocar acceso VPN | Proveedor VPN | IT | ☐ |
| Eliminar claves SSH | Servidores | DevOps Lead | ☐ |
| Eliminar de Notion | Notion | PM Lead | ☐ |
| Eliminar de Figma | Figma | Design Lead | ☐ |
| ... (continuar para todos los servicios del inventario) |
Construya esta lista a partir de su inventario de SaaS. Cada servicio con acceso de usuario necesita una línea.
Uso de Passwork para la gestión de accesos
Su gestor de contraseñas es una pieza central de la gestión de accesos. Cuando se configura correctamente, resuelve varios problemas:
Rotación de credenciales compartidas en la baja
Cuando alguien se va, cualquier contraseña compartida a la que haya accedido debería rotarse. Passwork registra quién ha accedido a qué credenciales, lo que hace que esto sea sencillo. Los servicios en bóvedas compartidas pueden identificarse y rotarse sistemáticamente.
Control de acceso granular
Cree bóvedas por equipo o por nivel de sensibilidad:
- Bóveda de infraestructura: solo DevOps y CTO
- Credenciales de producción: solo ingenieros senior
- Credenciales de desarrollo: todos los desarrolladores
- Herramientas de marketing: equipo de marketing
Cuando alguien cambia de rol o se va, actualice su acceso a la bóveda. Su acceso a las credenciales individuales se actualiza automáticamente.
Rastro de auditoría
Passwork registra quién accedió a qué credenciales y cuándo. Durante una revisión de seguridad o una investigación de incidente, puede responder: «¿Quién tenía acceso a esta clave de AWS en los últimos 6 meses?»
Acceso a API para automatización
Para equipos más grandes, la API de Passwork le permite automatizar la incorporación y la baja. Programe la creación y eliminación del acceso de usuarios como parte de su flujo de trabajo de RRHH.
Medición del éxito
¿Cómo sabe que esto está funcionando?
Integridad del inventario
- Número de servicios en su inventario
- Última fecha en que se revisó cada servicio
- Objetivo: revisar todos los servicios críticos/altos trimestralmente
Higiene de accesos
- Número de cuentas inactivas encontradas durante las revisiones
- Tiempo desde la salida del empleado hasta la revocación completa del acceso
- Objetivo: completar la baja en un plazo de 24 horas
Privilegio mínimo
- Número de usuarios con acceso de administrador en cada servicio
- Número de solicitudes de acceso rebajadas de escritura a solo lectura
- Objetivo: los usuarios administradores deben representar menos del 10% del total de usuarios en la mayoría de los servicios
Trucos que realmente ayudan
Algunas técnicas que hacen que esto funcione de manera más fluida.
La caza de zombis por «último inicio de sesión»
La mayoría de los paneles de administración de SaaS muestran las fechas del último inicio de sesión. Durante su revisión trimestral, ordene los usuarios por último inicio de sesión y busque cuentas que no se hayan utilizado en más de 90 días. Estas son:
- Exempleados que nadie dio de baja correctamente
- Empleados activos que en realidad no necesitan acceso
- Cuentas compartidas que nadie recuerda
En Google Workspace Admin: Reports → User Reports → Accounts → Last Sign In. Exporte a CSV y filtre.
En GitHub: Organization → People → ordene por «Last active». Quien muestre «Never» o una fecha del año pasado es candidato para la eliminación.
El truco del CNAME de DNS
Muchas herramientas SaaS requieren que añada un registro CNAME o TXT para verificar la propiedad del dominio. Su archivo de zona DNS es un inventario accidental de los servicios que ha integrado:
# Obtenga todos los registros CNAME y TXT para su dominio
dig +short yourcompany.com CNAME
dig +short yourcompany.com TXT
dig +short _dmarc.yourcompany.com TXT
# Compruebe los subdominios habituales
for sub in mail email support help docs status; do
dig +short $sub.yourcompany.com CNAME
done
¿Ese em1234.yourcompany.com que apunta a sendgrid.net? Está usando SendGrid. ¿El zendesk1.yourcompany.com? Zendesk. Estos registros DNS a menudo sobreviven a la persona que los configuró.
Reenvío de correo electrónico antes de la eliminación
Cuando alguien se va, no elimine su correo electrónico de inmediato. Primero configure el reenvío al manager durante 30 días. Detectará:
- Correos electrónicos de restablecimiento de contraseña de servicios que olvidó revocar
- Facturas y recibos de suscripciones vinculadas a su cuenta
- Contactos externos que siguen comunicándose con ellos
En Google Workspace: Admin → Users → seleccione el usuario → Show more → Add auto-reply and forwarding → configure la dirección de reenvío.
Después de 30 días, revise lo que llegó, limpie cualquier cuenta huérfana y elimínela.
La búsqueda de correo electrónico «¿quién se registró en esto?»
Cuando encuentre una herramienta SaaS que no conocía, busque en el correo corporativo confirmaciones de registro:
from:(*@notion.so OR *@figma.com OR *@airtable.com) subject:(welcome OR confirm OR verify)
Esto muestra quién creó cuentas y cuándo. Útil para encontrar al propietario real de la TI en la sombra.
Auditoría del directorio de aplicaciones de Slack
Slack registra cada integración de aplicaciones. Compruebe Apps → Manage → Installed Apps. Encontrará:
- Integraciones que nadie recuerda haber añadido
- Aplicaciones instaladas por personas que ya se fueron
- Webhooks que apuntan a servicios que podrían tener acceso a sus datos de Slack
Elimine cualquier cosa que no se use activamente. Cada integración es un punto potencial de fuga de datos.
El enfoque de extensión del navegador
Para descubrir lo que su equipo realmente usa día a día, el historial del navegador es una mina de oro. No puede acceder directamente al historial de los empleados (ni debería), pero:
- Pida al equipo que exporte sus sitios de trabajo más visitados
- O use una herramienta de descubrimiento de SaaS que funcione mediante extensión del navegador (Josys, entre otras)
- O compruebe los registros de su proxy corporativo/cortafuegos si tiene uno
Esto detecta las herramientas que no pasan por SSO y nunca llegan a la tarjeta de crédito: niveles gratuitos, cuentas personales usadas para el trabajo, herramientas basadas en navegador.
Taller: construya su inventario y proceso de accesos
Reserve de 3 a 4 horas para esto.
Parte 1: Inventario inicial (90 minutos)
- Cree su hoja de cálculo de inventario usando la plantilla anterior
- Añada todos los servicios que pueda pensar
- Compruebe su SSO/IdP para ver las aplicaciones conectadas
- Revise 6 meses de extractos de la tarjeta de crédito corporativa
- Envíe la solicitud de divulgación de herramientas a toda la empresa
Parte 2: Categorice y priorice (30 minutos)
- Asigne niveles de sensibilidad a cada servicio
- Identifique los servicios sin propietario claro
- Marque los servicios con autenticación débil (solo correo electrónico/contraseña, sin MFA)
Parte 3: Cree listas de verificación de incorporación/baja (60 minutos)
- Construya listas de verificación de incorporación específicas por rol
- Construya la lista de verificación universal de baja
- Identifique quién es responsable de cada paso de revocación
Parte 4: Primera revisión de accesos (60 minutes)
- Elija sus 5 servicios más críticos
- Exporte las listas de usuarios
- Crúcelas con la lista de empleados actuales
- Revoque cualquier acceso que no debería existir
- Documente lo que encontró
Entregables:
- Hoja de cálculo de inventario de SaaS completa
- Servicios categorizados por sensibilidad
- Lista de verificación de incorporación para al menos un rol
- Lista de verificación universal de baja
- Primera revisión de accesos completada para servicios críticos
Cómo explicárselo a la dirección
Si alguien pregunta por qué invirtió tiempo en esto:
«Construí un inventario de todos los servicios en la nube que usamos: tenemos 67, más de los que nos imaginábamos. También creé listas de verificación de incorporación y baja para que no dejemos accesos huérfanos cuando la gente se va. Durante la primera revisión, encontré 4 exempleados que todavía tenían acceso a nuestros sistemas. Eso ya está resuelto, y tenemos un proceso para evitarlo en el futuro.»
Versión corta: «Mapeé todos nuestros servicios en la nube y corregí las brechas de control de acceso. Encontré accesos activos de antiguos empleados; ya están cerrados.»
Autoevaluación: ¿realmente lo hizo?
Antes de continuar, verifique que ha completado estos elementos.
Inventario
- Creó la hoja de cálculo de inventario de SaaS
- Añadió al menos 30 servicios (probablemente usa más de los que cree)
- Comprobó el SSO/IdP para ver las aplicaciones conectadas
- Revisó los extractos de la tarjeta de crédito en busca de cargos de software recurrentes
- Asignó un propietario a cada servicio
- Categorizó los servicios por nivel de sensibilidad
- Identificó los servicios con autenticación débil
Gestión de accesos
- Creó la lista de verificación de incorporación para al menos un rol
- Creó la lista de verificación universal de baja
- Identificó quién es responsable de cada cambio de acceso
- Completó la revisión de accesos para los 5 servicios críticos principales
- Revocó cualquier acceso huérfano encontrado
Integración del gestor de contraseñas
- La estructura de bóvedas refleja las necesidades de acceso del equipo/rol
- Las credenciales compartidas están en bóvedas apropiadas (no personales)
- Sabe cómo rotar credenciales cuando alguien se va
Proceso
- Recordatorio en el calendario configurado para la revisión trimestral de accesos
- Lista de verificación de baja vinculada/documentada donde RRHH pueda encontrarla
- Al menos otra persona conoce el proceso
Si puede marcar al menos 12 de estos 15 elementos, está listo para continuar.
Qué viene después
Ahora sabe qué servicios usa y quién tiene acceso a qué. Tiene procesos para conceder y revocar accesos.
Próximo capítulo: mantener su software actualizado y monitorizar las vulnerabilidades. Porque el software desactualizado con CVEs conocidos es una de las formas más fáciles que tienen los atacantes de entrar.