Curso completo ciberseguridad gratis Controles CIS. Control 5.6

 Estimados amigos de Inseguros !!!

Seguimos con el capítulo 5 de los CIS y hoy toca el control 5.6: centralizar la gestión de cuentas. Y este control, para mí, es el punto donde dejas de “gestionar usuarios” y empiezas a gobernar identidades.

Hasta ahora hemos ido poniendo orden: inventario de cuentas (5.1), identificadores únicos (5.2), deshabilitar inactivas (5.3), separar privilegios (5.4), inventario de cuentas de servicio (5.5). Perfecto. Pero si cada sistema va por libre, todo eso se te rompe por los bordes.

Porque el problema real no es Active Directory. El problema real es el caos de identidades repartidas.

Hoy una empresa típica tiene:
Active Directory para on-prem.
Entra ID para cloud y Microsoft 365.
SaaS por todas partes: CRM, marketing, soporte, facturación, diseño, RRHH…
Usuarios invitados, colaboradores, proveedores.
Cuentas de servicio, integraciones, tokens.

Y si cada cosa se gestiona en su sitio, con su alta/baja manual, con su contraseña propia, y con sus excepciones… al final no sabes quién tiene acceso a qué. Y lo peor: cuando alguien se va, no sabes dónde cortarle el acceso.

Por eso el 5.6 va de centralizar. Idealmente, en un IdP (Identity Provider) que sea tu fuente de verdad: Entra ID, Okta, Ping, Google Workspace… el que toque. Lo importante no es la marca, lo importante es el modelo: una identidad central, y los sistemas colgando de esa identidad.

Esto se traduce en cosas muy prácticas.

Primero, federación y SSO donde se pueda. Si un SaaS lo permite, lo conectas al IdP y dejas de tener “usuarios sueltos” dentro de cada plataforma.

Segundo, aprovisionamiento y desaprovisionamiento automatizado (SCIM o el mecanismo que sea). Alta y baja centralizada. Si entra un empleado, se le crean accesos estándar. Si se va, se corta todo. Sin que tengas que acordarte de 17 paneles de administración distintos.

Tercero, políticas centralizadas: MFA, condiciones de acceso, ubicación, dispositivo, riesgo, etc. Porque si cada SaaS gestiona MFA a su manera, acabas con agujeros. Y si lo centralizas, subes el nivel de todo el ecosistema.

Cuarto, visibilidad. Cuando todo pasa por tu IdP, tienes logs. Y los logs son vida. Puedes detectar patrones raros, intentos de login, accesos desde ubicaciones raras, actividad anómala. Sin centralización, los logs están dispersos y no correlacionas nada.

Y ahora el matiz que siempre digo: centralizar no significa que todo sea SSO perfecto. Siempre vas a tener sistemas legacy, aplicaciones que no federan, dispositivos raros, proveedores, y “cosas que no hay manera”. Vale. Pero en esos casos, el control sigue aplicando: lo que no se pueda federar, lo encapsulas con medidas compensatorias.

Por ejemplo: un PAM que gestione credenciales y sesiones. Un password vault con rotación y control de acceso. Un salto bastionado. Lo que sea, pero que no sea “cada uno con su contraseña y ya”.

Y aquí enlaza con lo que vendemos de verdad en ciberseguridad para empresas: identidad como perímetro. Si tú tienes centralización de cuentas, MFA serio, separación de privilegios y control de cuentas de servicio, has quitado un porcentaje brutal de ataques comunes. No todos, pero sí los más rentables para el atacante.

Si quieres aprender a aplicar todo esto en entornos reales (Active Directory + Entra ID, SSO para SaaS, SCIM, Conditional Access, PAM/PIM, hardening y gobierno de identidades), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!