Los costos por no revocar las cuentas de usuario
01 September, 2014
category: Seguridad lógica
Dean Wiech, director ejecutivo, Tools4ever
Todos estamos conscientes de los potenciales riesgos de seguridad que enfrentan las organizaciones cuando no desactivan o eliminan las cuentas de usuarios, una vez que estos salen de una organización. Si usuarios anteriores siguen teniendo acceso a los datos de clientes y a sistemas internos sensibles, existe un potencial para que estos causen estragos en los sistemas.
La mayoría de las organizaciones toman medidas inmediatas para prevenir este tipo de acción cuando un empleado es despedido o deja su trabajo por voluntad propia, pero algunas no lo hacen. Sin embargo, aunque la seguridad no sea un problema o no exista preocupación al respecto, hay una cosa muy importante que en ocasiones se obvia: los costos asociados al hecho de no desactivar las cuentas de usuario, las aplicaciones con licencia y las soluciones basadas en nube.
Veamos por ejemplo Office 365, La solución cada vez más popular de Microsoft para correo electrónico gestionado y la suite de productividad Office. Los costos típicamente van de $4 a $20 mensuales por usuario para los clientes de negocios. Otro ejemplo es SalesForce.com, otra aplicación de gestión de relaciones con clientes basada en la web, que fluctúa entre $65 y $250 mensuales por usuario. Incluso otras aplicaciones, como son Sales Genie o Hoovers, tienen costos asociados a la descarga de un registro o una dirección de email.
Si observamos una compañía con 1,000 empleados y asumimos que la tasa anual de rotación es de un 10%, 100 empleados se van sobre una base anual. Si esa compañía tiene una aplicación de nube que promedia $30 mensuales y el proceso de sacar de los sistemas a los empleados que han salido de la compañía toma 3 meses, el costo para la compañía es de $9,000. Obviamente, mientras más aplicaciones existan basadas en subscripción, más tiempo toma desactivar las cuentas. Mientras más empleados hay y mayor es la tasa de rotación, mayores son los costos potenciales para la compañías subscriptora.
Ahora bien, si la aplicación en cuestión tiene un costo asociado con la descarga de registros, los costos para una organización pueden ser enormes. Una conversación reciente con un gerente de ventas trajo este punto a colación. El decía que en el caso de un agente de ventas que había salido recientemente de la empresa, no se revocó durante casi seis meses su acceso a una base de datos de generación de demanda.
En este período de tiempo el ex-empleado pudo descargar casi 15,000 registros, con un costo total de $7,500 para la compañía. En una organización grande con una alta rotación de ventas, ese costo puede ser astronómico.
Otra área en que los costos por licencias pueden jugar un rol es en el caso de las aplicaciones basadas en red, que reciben licencia por cuenta de usuario. Con mucha frecuencia aplicaciones como Visio, Photoshop y otras tienen licencia para un gran número de usuarios y los derechos de acceso a esas aplicaciones son en base a membresía de grupo en un directorio activo. De forma similar a las soluciones en nube, si un usuario no es eliminado de un grupo que permite el acceso a una de estas aplicaciones, es posible que la compañía pueda quedarse sin licencias y tenga que comprar más.
Esto también ocurre cuando un empleado es transferido a un nuevo cargo. Por ejemplo, un diseñador gráfico que accede diariamente a Photoshop es transferido a un cargo gerencial. Cuando ocurre el traslado, los derechos a la aplicación se mantienen intactos debido a una falta de comunicación entre el departamento de recursos humanos y el de informática. Ya como gerente no le hace falta acceso a Photoshop, pero cuando se contrata un nuevo diseñador hay que comprar una nueva licencia.
En todos los casos mencionados, los controles adecuados mediante una solución de gestión de identidad automatizada pueden revocar los derechos de acceso para todos los empleados de una organización, liberando así licencias y evitando gastos innecesarios. Hay muchas soluciones disponibles en el mercado para automatizar el ciclo de vida de las cuentas de usuario a través del enlace de una aplicación de recursos humanos con el directorio activo, así como mediante la adecuada creación y eliminación de cuentas en aplicaciones basadas en red y en nube.
Además del valor inherente de seguridad de una apropiada gestión de las cuentas de usuario, una correcta obtención de licencias de aplicaciones puede proporcionar un retorno muy rápido de la inversión.