La guía para gerentes de TI para agilizar las incorporaciones y las desvinculaciones

La incorporación y desvinculación de empleados correcta es una de las tareas más importantes para un gerente de TI, pero se ha vuelto cada vez más compleja, gracias a factores como el trabajo híbrido y remoto, BYOD y el uso prolífico de aplicaciones SaaS por parte de los empleados, incluida la TI no autorizada en la sombra. 

Como responsable de TI, sabes que la incorporación y la salida de la empresa son críticas para un negocio saludable por muchas razones: 

• La productividad depende del acceso rápido a sistemas y tecnología para los nuevos empleados

• La seguridad y el cumplimiento dependen de una desvinculación hermética de los empleados que se van

• La continuidad del negocio requiere guardar y transferir activos como archivos y bandejas de entrada de correo electrónico

Para abordar estos riesgos y reducir la carga de trabajo de TI, las empresas en crecimiento necesitan automatizar los procesos de incorporación y desvinculación tanto como sea posible. 

La solución preferida para gestionar la incorporación/desvinculación es el SSO, pero no puede gestionar todas las aplicaciones ni todas las cuentas, y no siempre elimina las licencias de los usuarios en cada aplicación. Eso deja a los responsables de TI con una larga lista de tareas manuales que consumen mucho tiempo.  

¿Cómo puedes ir más allá de SSO para proporcionar una incorporación y desvinculación automatizadas y verdaderamente integrales? Usa esta guía para ayudar a tu equipo a identificar las brechas en los procesos de incorporación y baja de tu empresa y a evaluar cómo una plataforma de gestión de SaaS, como 1Password SaaS Manager, puede ayudar. 

1. Incorporación: preparar a los empleados para el éxito

La experiencia de incorporación de un nuevo empleado debe ser rápida, sin fricciones y siempre segura. Gran parte de esa experiencia recae sobre los hombros de los gerentes de TI. La TI proporciona las plataformas y herramientas necesarias para cumplir con las responsabilidades laborales, gestionar el ciclo de vida de los empleados, ofrecer formaciones, hacer cumplir las políticas y mantener los datos seguros. (El departamento de TI mantiene este rol también para los empleados existentes, que necesitan acceso a aplicaciones aprobadas y procesos de aprobación automatizados).

El objetivo del departamento de TI debería ser que el primer día de un empleado sea «un clic y listo» y evitar que se acumule una lista de incidencias relacionadas con el proceso de incorporación. Una lista de verificación de incorporación completa incluye:   

• Proporcionar acceso por derecho de nacimiento

• Proporcionar acceso a un catálogo de autoservicio de aplicaciones aprobadas por la empresa

• Solicitudes de acceso de campo

• Capacita a los empleados en políticas de seguridad y cumplimiento

• Asignar y rastrear activos (ordenador emitido por la empresa)

¿Cuál es el secreto para hacer que la integración sea fluida? Reducir la fricción requiere apostar por la estandarización y la automatización. Una plataforma de gestión de SaaS puede ayudar.

Cómo SSO, ITSM y las plataformas de gestión de SaaS trabajan juntas para la incorporación automatizada

Esto es lo que cada herramienta aporta a tu proceso de incorporación:

SSO

• Asignar usuarios a aplicaciones gestionadas

• Gestionar el acceso a aplicaciones sancionadas

• Alertar a IT cuando hay un nuevo empleado

ITSM

• Recibir tickets de solicitud de acceso

Plataforma de gestión SaaS

• Asigna usuarios a las aplicaciones, independientemente del estado SSO

• Descubre aplicaciones no autorizadas

• Asignar licencias

2. Desvinculación: cómo proteger la organización

En teoría, la desvinculación debería ser tan fácil como pulsar un interruptor: revocar el acceso de un empleado que se marcha a los sistemas, cuentas y datos de la empresa.

En realidad, la desvinculación es más compleja debido a factores como sistemas desconectados, tecnología de la información en la sombra, dispositivos personales y una fuerza laboral remota. Sin una solución para rastrear la tecnología de la información en la sombra además de las aplicaciones autorizadas, a menudo puede ser un juego de adivinanzas sobre quién tuvo acceso a qué.

Sin la estandarización y la automatización, es fácil saltarse un paso de baja, lo que puede suponer un riesgo innecesario.

Revocar el acceso a SSO no es suficiente. Desvincular completamente a los empleados requiere eliminar o transferir las cuentas para que no permanezcan en la nube; esto conduce a cuentas huérfanas y gastos innecesarios. Esto se vuelve casi imposible de hacer para aplicaciones SaaS que el departamento de TI no conoce. 

Una lista de verificación completa de desvinculación incluye una forma sistemática de:   

• Revocar inmediatamente el acceso a las cuentas

• Recuperar y reasignar licencias de software 

• Transferir datos, eliminar cuentas

• Bloquear/borrar/devolver dispositivos 

Mejores prácticas de TI para la desvinculación

• Integrar disparadores de plataformas de RRHH y TI, como la fecha de salida/terminación 

• Automatizar todos los pasos de desvinculación, no solo la eliminación de acceso

  • Esto incluye recuperación de archivos/datos, reenvío/archivado de bandeja de entrada de correo electrónico y recuperación de licencias

• Comunícate con los gerentes para confirmar la fecha de finalización y acciones como las transferencias de archivos

• Crear pistas de auditoría claras para el cumplimiento 

• Configura notificaciones automáticas cuando una tarea de desprovisionamiento falla para que nada se escape

Obtén una desvinculación más detallada que la que puede proporcionar el SSO por sí solo

Cada enfoque ofrece un nivel diferente de cobertura en lo que respecta a la desvinculación: Procesos manuales

• Elimina cuentas individualmente de las apps, normalmente en consulta con el responsable del empleado

SSO

• Asegúrate de que los exempleados no puedan acceder a las aplicaciones protegidas

Plataforma de gestión SaaS

• Asegúrate de que los datos, correos electrónicos, archivos y licencias se gestionan correctamente, de forma automática

3. Automatización: ventaja para un responsable de TI

Seamos realistas: la incorporación y desvinculación manual es tediosa, propensa a errores e insostenible. La automatización de cada paso, particularmente para el proceso de desvinculación cada vez más complejo y de alto riesgo, garantiza el cumplimiento y permite a los gerentes de TI recuperar su tiempo para realizar trabajos más estratégicos y urgentes.

¿Qué se puede automatizar? Más de lo que podrías pensar

Esto es lo que 1Password SaaS Manager puede automatizar en función de tu plataforma:

Google Workspace

• Asignar aplicaciones y grupos con el nivel de acceso adecuado

• Cerrar sesión del usuario y revocar automáticamente los tokens

• Eliminar el correo electrónico de recuperación del usuario

• Reenviar correo electrónico y exportar bandeja de entrada

• Transferir archivos de Google Drive

• Reasignar licencias de archivo

• Notificar a los gestores

• Eliminar cuentas y recuperar licencias

Microsoft 365

• Añadir usuarios a grupos, SharePoint y Teams

• Cerrar sesión del usuario y revocar automáticamente los tokens

• Transferir archivos de OneDrive

• Reenviar correo electrónico y guardar el contenido de la bandeja de entrada del correo electrónico del usuario

• Notificar a los gestores

• Eliminar cuentas y recuperar licencias

Automatiza la detección de TI en la sombra para garantizar una baja completa

Evidentemente, el departamento de TI no puede incorporar ni desvincular empleados de aplicaciones que desconoce. Y, como los empleados utilizan habitualmente aplicaciones no autorizadas para fines laborales, esto deja cuentas huérfanas y datos expuestos en aplicaciones no autorizadas, una amenaza que no hace más que agravarse con el auge de las herramientas basadas en IA con muchos permisos.

Por lo tanto, la desvinculación integral requiere que el departamento de TI descubra de forma continua y automática las aplicaciones de TI en la sombra, para que puedan ser bloqueadas o puestas bajo gestión centralizada.

Automatiza el aprovisionamiento y el desaprovisionamiento de aplicaciones fuera del SSO

Un proveedor de inicio de sesión único añade mucho valor a una organización, incluyendo la eliminación del acceso de un usuario a las aplicaciones federadas. 

Sin embargo, no importa cuán potente sea tu entorno de SSO, algunas aplicaciones vivirán fuera de él. Suelen ser aplicaciones legítimas de nivel empresarial, pero no se integran con el SSO porque el proveedor de SaaS no las admite, su integración lleva demasiado tiempo o es complicada, o la organización no ha pagado por el nivel de licencia empresarial. 

1Password SaaS Manager complementa las herramientas de SSO al extender la gobernanza a las aplicaciones SaaS gestionadas y no gestionadas por unidades de negocio. 

Aquí te explicamos cómo:

• Descubrimiento de SaaS: 1Password SaaS Manager te ayuda a descubrir todo el contenido de las aplicaciones que se utilizan en tu organización, con o sin conocimientos de TI. Esto garantiza que, cuando los empleados se van, el departamento de TI sepa exactamente de qué aplicaciones debe revocarse el acceso.

• Amplitud de integraciones: con más de 350 integraciones, 1Password SaaS Manager se conecta a las herramientas que las empresas utilizan a diario. Ese ecosistema significa que los clientes pueden extender la gobernanza y la seguridad tanto a las aplicaciones gestionadas por la unidad de negocio como a las no gestionadas, sin flujos de trabajo manuales.

• Inventario de aplicaciones unificado: la biblioteca de aplicaciones de 1Password SaaS Manager incluye más de 40 000 perfiles preconfigurados. Esto facilita la creación de un inventario unificado de aplicaciones, de modo que los responsables de TI y de negocio puedan ver qué se utiliza en toda la organización, cómo está categorizado, quién es el propietario y cuántas licencias se están utilizando.

• Gestión de licencias: 1Password SaaS Manager proporciona flujos de trabajo para identificar automáticamente qué licencias se están utilizando realmente, o si deben revocarse o reasignarse. Esto incluye la comunicación automática con los empleados a través de Slack y Microsoft Teams para preguntar si aún necesitan una licencia de aplicación específica. 

Aplicaciones redundantes: además de recuperar cuentas huérfanas, 1Password SaaS Manager ayuda a los equipos de TI y finanzas a identificar aplicaciones redundantes y agilizar las próximas renovaciones. Esto permite a los equipos reducir el desperdicio y hacer inversiones más inteligentes en SaaS.

4. Construyendo un proceso preparado para el futuro

Automatizar con éxito los procesos de incorporación y desvinculación requiere coordinación entre TI, RR. HH. y finanzas. Una plataforma de gestión SaaS ayuda a coordinar varias funciones con varios componentes clave: 

• Coordinación con los sistemas de RR. HH. (Workday, BambooHR, etc.) para incorporar disparadores que inicien los flujos de trabajo de incorporación y desvinculación

• Integración de SSO (Okta, Entra ID, Google Workspace) e ITSM (Jira), con plataforma de gestión de SaaS (1Password SaaS Manager)

• Métricas implementadas para medir el éxito, como el tiempo de provisión, la utilización de licencias y la velocidad de desaprovisionamiento

Plan de acción para responsables de TI

Para comenzar el camino hacia la automatización de la incorporación/desincorporación, aquí tienes algunos próximos pasos a considerar.

• Inmediato: mapea tus procesos actuales de incorporación y desvinculación

• A medio plazo: automatiza lo básico (aprovisionamiento/desaprovisionamiento)

• A largo plazo: pasa de una gestión de TI reactiva basada en tickets a una gestión proactiva del ciclo de vida para anticipar necesidades, riesgos y optimización futuros