Capítulo 6. Administración de cuentas de usuarios y acceso a recursos

La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y como funcionan.

La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo, si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa para la administración de recursos y acceso.

Las secciones siguientes discuten las cuentas de usuario y grupos en más detalles.

6.1. Administración de cuentas de usuarios

Como se indicó anteriormente, las cuentas de usuarios es la forma a través de la cual se identifica y autentifica a un individuo con el sistema. Las cuentas de usuarios tienen diferentes componentes. Primero, esta el nombre de usuario. Luego, está la contraseña, seguida de la información de control de acceso.

Las secciones siguientes exploran cada uno de estos componentes en más detalles.

6.1.1. El nombre de usuario

Desde el punto de vista del sistema, el nombre de usuario es la respuesta a la pregunta "quién es usted?". Como tal, los nombres de usuarios tienen un requerimiento principal — deben ser únicos. En otras palabras, cada usuario debe tener un nombre de usuario que sea diferente a todos los otros usuarios en ese sistema.

Debido a este requerimiento, es vital determinar — por adelantado — cómo se crean los nombres de usuario. De lo contrario, puede encontrarse en la posición de ser forzado a reaccionar cada vez que un nuevo usuario solicita una cuenta.

Lo que necesita es una convención de nombres para sus cuentas de usuarios.

6.1.1.1. Convenio de nombres

Mediante la creación de un convenio de nombres para los usuarios, puede ahorrarse varios problemas. En vez de inventar nombres cada vez (y darse cuenta de que cada vez se hace más difícil crear un nombre razonable), haga un poco de trabajo de antemano para preparar una convención a utilizar para todas las cuentas siguientes. Su convenio de nombres puede ser muy simple, o solamente su descripción puede tomar muchas páginas.

La naturaleza exacta de su convenio de nombres debe tomar varios factores en cuenta:

  • El tamaño de su organización

  • La estructura de su organización

  • La naturaleza de su organización

El tamaño de su organización importa, pues dicta cuántos usuarios puede soportar su convención para nombres. Por ejemplo, una compañía muy pequeña quizás pueda permitir que todo el mundo utilice su primer nombre. Para una organización mucho más grande, este convenio no funciona.

La estructura de la organización también puede tener influencia sobre el convenio de nombres más apropiado. Para organizaciones con una estructura bien definida puede ser adecuado incluir elementos de esa estructura en la convención de nombres. Por ejemplo, puede incluir los códigos de los departamentos como parte del nombre de usuario.

La naturaleza completa de su organización también puede significar que algunas convenciones son más apropiadas que otras. Una organización que maneja datos confidenciales puede decidirse por una convenición que no indica ningún tipo de información personal que pueda vincular al individuo con su nombre. En una organización de este tipo, el nombre de usuario de Maggie McOmie podría ser LUH3417.

He aquí algunas convenciones de nombres que otras organizaciones han utilizado:

  • Primer nombre (jorge, carlos, pedro, etc.)

  • Apellido (perez, obregon, ramirez, etc)

  • Primera inicial, seguido del apellido (jperez, cobregon, pramirez, etc.)

  • Apellido, seguido del código del departamento (perez029, obregon454, ramirez191, etc.)

SugerenciaSugerencia
 

Tenga en cuenta que si su convención de nombres incluye añadir datos diferentes para formar un nombre de usuario, existe el potencial de que el resultado sea gracioso u ofensivo. Por lo tanto, aún si crea los nombres de usuario de forma automática, es recomendable que lleve a cabo alguna forma de revisión.

Una cosa común con la convención de nombres descrita aquí es que es posible que eventualmente existan dos individuos que, de acuerdo a la convención, obtendrían el mismo nombre de usuario. Esto se conoce como una colisión.

6.1.1.1.1. Manejar colisione

Las colisiones son un hecho — no importa cuanto lo intente, eventualmente se encontrará tratando con colisiones. Debe planear para las colisiones en su convención de nombres. Hay muchas formas de hacer esto:

  • Añadiendo números en secuencia al nombre de usuario en colisión (perez, perez1, perez2, etc.)

  • Añadiendo datos específicos al usuario al nombre de usuario en colisión (perez, eperez, ekperez, etc.)

  • Añadiendo información adicional de la organización al nombre de usuario (perez, perez029, perez454, etc.)

Es necesario tener un método para resolver las colisiones como parte de cualquier convención de nombres. Sin embargo, hace más dificil para alguien fuera de la organización determinar el nombre de usuario de un individuo. Por lo tanto, la desventaja de las convenciones de nombres es que hace más probable el envio de correos electrónicos a las direcciones equivocadas.

6.1.1.2. Manejo de cambios de nombres

Si su organización utiliza una convención de nombres que está basada en el nombre de cada usuario, es de esperarse que eventualmente tendrá que enfrentarse a cambios de nombres. Aún si el nombre de la persona realmente no cambia, de vez en cuando se le pedirá que modifique el nombre de usuario. Las razones pueden variar desde un usuario que no le gusta su nombre de usuario hasta un empleado con más jerarquía en la organización que prefiere un nombre de usuario "más acorde".

No importa cual sea la razón, hay muchos aspectos a tener en mente cuando se cambie un nombre de usuario:

  • Efectue el cambio en todos los sistemas afectados

  • Mantenga constante toda la información subyacente del usuario

  • Cambien la propiedad de todos los archivos y otros recursos específicos al usuario (si es necesario)

  • Maneje los problemas relacionados con el correo electrónico

Primero que nada, es importante asegurarse de que el nuevo nombre de usuario es propagado a todos los sistemas donde se utilizaba el nombre original. De lo contrario, cualquier función del sistema operativo que esté vinculado con el nombre de usuario, funcionará en algunos sistemas y en otros no. Ciertos sistemas operativos utilizan técnicas de control de acceso basadas en nombres de usuarios; tales sistemas son paticularmente vulnerables a problemas derivados de un cambio de nombre de usuario.

Muchos sistemas operativos utilizan algún tipo de número de identificación de usuarios para la mayoría de los procesamientos específicos al usuario. Para minimizar los problemas generados a partir de un cambio de nombre de usuario, trate de mantener este número de identificación constante entre el nuevo y el viejo nombre de usuario. Si no se hace esto, puede producir un escenario en el que el usuario ya no puede acceder a sus archivos y otros recursos que ellos poseían anteriormente bajo el nombre de usuario original.

Si se debe cambiar el número de identificación del usuario, es necesario cambiar la propiedad para todos los archivos y recursos específicos al usuario para reflejar la nueva identificación del usuario. Este puede ser un proceso muy susceptible a errores, ya que pareciera que siempre hay algo en alguna esquina olvidada del sistema que se ignora al final.

Los problemas relacionados al correo electrónico probablemente sean donde el cambio de un nombre de usuario es más difícil. La razón para esto es que a menos que se tomen las medidas para evitarlo, los correos electrónicos dirigidos al viejo nombre de usuario no se entregaran al nuevo.

Lamentablemente, los problemas alrededor del impacto de los cambios de nombres de usuario en el correo electrónico tienen múltiples dimensiones. En su forma más básica, un cambio de nombre de usuario implica que la gente ya no conoce el nombre de usuario correcto de esa persona. A primera vista, esto puede parecer como que no es gran cosa — notificar a todo el mundo en su organización. Pero que hay de las personas fuera de la organización que han enviado correo a esta persona? ¿Cómo se les debería notificar?¿Qué hay de las listas de correo (tanto internas como externas)? ¿Cómo se pueden actualizar?

No hay una respuesta fácil a esta pregunta. La mejor respuesta puede ser la de crear un alias para el correo electrónico de manera que todo el correo enviado al viejo nombre de usuario sea redirigido al nuevo nombre. Se le puede indicar al usuario que debe alertar a todas las personas que su nombre de usuario ha sido modificado. A medida que el tiempo pasa, menos y menos mensajes serán entregados usando el alias y eventualmente podrá eliminarlo.

Mientras que el uso de alias, a cierto nivel, continua la asunción incorrecta (de que el usuario conocido ahora como mperez todavía se conoce como jperez), es la única forma de garantizar que el correo llegue a la persona adecuada.

ImportanteImportante
 

Si utiliza un alias para el correo electrónico, asegurese de tomar todos los pasos necesarios para proteger el viejo nombre de usuario de un reuso potencial. Si no hace esto y un nuevo usuario recibe el viejo nombre de usuario, la entrega de correo (tanto para el usuario original como para el nuevo) será interrumpida. La naturaleza exacta de la interrupción depende de cómo se implementa la entrega de correo en su sistema operativo, pero los dos síntomas más probables son:

  • El nuevo usuario nunca recibe ningún correo - todo se va al usuario original.

  • Repentinamente el usuario original deja de recibir correo - todo se va al nuevo usuario.

6.1.2. Contraseñas

Si el nombre de usuario responde a la pregunta "¿Quién es usted?", la contraseña es la respuesta a la pregunta que inevitablemente sigue:

"Demuéstralo!"

En términos más prácticos, una contraseña proporciona una forma de probar la autenticidad de la persona que dice ser el usuario con ese nombre de usuario. La efectividad de un esquema basado en contraseñas recae en gran parte sobre varios aspectos de la contraseña:

  • La confidencialidad de la contraseña

  • La resistencia de adivinar la contraseña

  • La resistencia de la contraseña ante un ataque de fuerza bruta

Las contraseñas que efectivamente toman en cuenta estos problemas se conocen como contraseñas robustas, mientras que aquellas que no, se les llama débiles. Es importante para la seguridad de la organización crear contraseñas robustas, mientras más robustas sean las contraseñas, hay menos chances de que estas sean descubiertas o que se adivinen. Hay dos opciones disponibles para reforzar el uso de contraseñas robustas:

  • El administrador del sistema puede crear contraseñas para todos los usuarios.

  • El administrador del sistema puede dejar que los usuarios creen sus propias contraseñas, a la vez que se verifica que las contraseñas sean lo suficientemente robustas.

Al crear contraseñas para todos los usuarios asegura que estas sean robustas, pero se vuelve una tarea pesada a medida que crece la organización. También incrementa el riesgo de que los usuarios escriban sus contraseñas.

Por estas razones, la mayoría de los administradores de sistemas prefieren dejar que los usuarios mismos creen sus contraseñas. Sin embargo, un buen administrador de sistemas tomará los pasos adecuados para verificar que las contraseñas sean robustas.

Para leer sobre las pautas para la creación de contraseñas robustas, vea el capítulo llamado Seguridad de las Estaciones de trabajo en el Manual de seguridad de Red Hat Enterprise Linux.

La necesidad de mantener secretas las contraseñas debería ser una parte arraigada en la mente de un administrador de sistemas. Sin embargo, este punto se pierde con frecuencia en muchos usuarios. De hecho, muchos usuarios ni siquiera entienden la diferencia entre nombres de usuarios y contraseñas. Dado este hecho, es de vital importancia proporcionar cierta cantidad de educación para los usuarios, para que así estos puedan entender que sus contraseñas se deberían mantener tan secretas como su sueldo.

Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una contraseña robusta es aquella que un atacante no podrá adivinar, aún si el atacante conoce bien al usuario.

Un ataque de fuerza bruta sobre una contraseña implica el intento metódico (usualmente a través de un programa conocido como password-cracker) de cada combinación de caracteres posible con la esperanza de que se encontrará la contraseña correcta eventualmente. Una contraseña robusta se debería construir de manera tal que el número de contraseñas potenciales a probar sea muy grande, forzando al atacante a tomarse un largo tiempo buscando la contraseña.

Las contraseñas débiles y robustas se exploran con más detalles en las secciones siguientes.

6.1.2.1. Contraseñas débiles

Como se estableció anteriormente, una contraseña débil es una que no pasa alguna de estas tres pruebas:

  • Es secreta

  • Es resistente a ser adivinada

  • Es resistente a un ataque de fuerza bruta

Las secciones siguientes muestran cómo pueden ser débiles las contraseñas.

6.1.2.1.1. Contraseñas cortas

Una contraseña corta es débil porque es mucho más susceptible a un ataque de fuerza bruta. Para ilustrar esto, considere la tabla siguiente, en el que se muestran el número de contraseñas potenciales que deben ser evaluadas en un ataque de fuerza bruta. (Se asume que las contraseñas consisten solamente de letras en minúsculas.)

Largo de la contraseñaContraseñas potenciales
126
2676
317,576
4456,976
511,881,376
6308,915,776

Tabla 6-1. El largo de la contraseña contra el número de contraseñas potenciales

Como puede ver, el número de contraseñas posibles incrementa dramáticamente a medida que se incrementa el largo.

AtenciónNota
 

Aún cuando esta tabla termina en seis caracteres, esto no se debería tomar como que se recomienda contraseñas de seis caracteres de largo como lo suficientemente largas para una buena seguridad. En general, mientras más larga la contraseña mejor.

6.1.2.1.2. Conjunto de carácteres limitado

El número de carácteres diferentes que comprenden una contraseña tiene un gran impacto en la habilidad de un atacante de conducir un ataque de fuerza bruta. Por ejemplo, en vez de 26 carácteres diferentes que se pueden utilizar en una contraseña de solamente minúsculas, que tal si usamos números? Esto significa que cada carácter en una contraseña es uno de 36 en vez de uno de 26. En el caso de contraseñas de seis caracteres de largo, esto representa un incremento de contraseñas posibles de 308,915,776 a 2,176,782,336.

Aún hay más que se puede hacer. Si también incluímos contraseñas alfanuméricas con mayúsculas y minúsculas (para aquellos sistemas operativos que lo soporten), el número posible de contraseñas de seis carácteres se incrementa a 56,800,235,584. Añadiendo otros caracteres (tales como símbolos de puntuación) aumenta aún más los números posibles, haciendo un ataque de fuerza bruta mucho más difícil.

Sin embargo, un punto a tener en mente es que no todos los ataques contra una contraseña son de fuerza bruta. Las secciones siguientes describen otros atributos que pueden hacer una contraseña débil.

6.1.2.1.3. Palabras reconocibles

Muchos ataques contra contraseñas están basados en el hecho de que la gente generalmente se siente más cómoda con contraseñas que pueden recordar. Y para la mayoría de la gente, las contraseñas más fáciles de recordar son las que contienen palabras. Por lo tanto, muchos ataques a contraseñas están basados en el diccionario. En otras palabras, el atacante utiliza diccionarios de palabras en un intento de encontrar la palabra o palabras que forman la contraseña.

NotaNota
 

Muchos programas de ataque a contraseñas basados en diccionario utilizan diccionarios de diferentes idiomas. Por lo tanto, no piense que su contraseña es más robusta simplemente porque está utilizando una palabra que no es en Español.

6.1.2.1.4. Información personal

Las contraseñas que contienen información personal (el nombre o fecha de nacimiento de un ser querido, una mascota o un número de identificación personal) puede o puede que no sean encontradas a través de un ataque basado en contraseñas de diccionario. Sin embargo, si el atacante lo conoce personalmente (o está lo suficientemente motivado para investigar su vida personal), puede ser capaz de adivinar su contraseña con poca o ninguna dificultad.

Además de los diccionarios, muchos descifradores de contraseñas también incluyen nombres comunes, fechas y otro tipo de información en su búsqueda de contraseñas. Por lo tanto, aún si el atacante no conoce que el nombre de su perro es Howard, todavía pueden descubrir que su contraseña es "MiperrosellamaHoward", con un buen descifrador de contraseñas.

6.1.2.1.5. Trucos simples de palabras

Usando cualquiera de la información discutida anteriormente como la base para una contraseña, pero invirtiendo el orden de las letras, tampoco hace una contraseña débil en una robusta. La mayoría de los descifradores de contraseñas hacen estos trucos en todas las contraseñas posibles. Esto incluye sustituir cierto números por letras en palabras comunes. He aquí algunos ejemplos:

  • drowssaPdaB1

  • R3allyP00r

6.1.2.1.6. La misma palabra para múltiples sistemas

Aún si su contraseña es robusta, no es una buena idea utilizar la misma contraseña en más de un sistema. Obviamente se puede hacer muy poco si los sistemas son configurados para utilizar un servidor central de algún tipo, pero en cualquier otro caso, se deben utilizar contraseñas diferentes para sistemas diferentes.

6.1.2.1.7. Contraseñas en papel

Otra forma de hacer una contraseña robusta en una débil es escribiéndola. Al colocar su contraseña en papel, ya usted no tiene un problema de confidencialidad, pero de seguridad física - ahora usted debe mantener seguro ese pedazo de papel. Esto obviamente no es una buena idea.

Sin embargo, algunas organizaciones tienen una necesidad legítima para escribir contraseñas. Por ejemplo, algunas organizaciones tienen contraseñas escritas como parte de un procedimiento para recuperarse de la pérdida de un empleado clave (tales como un administrador de sistemas). En estos casos, el papel conteniendo las contraseñas es almacenado en una ubicación físicamente segura que requiere la cooperación de varias personas para tener acceso al papel. Usualmente se utilizan cajas de seguridad acorazadas y con mútiples cerrojos.

Cualquier organización que explore este método de almacenar contraseñas para propósitos de emergencia debe estar consciente de que la existencia de contraseñas escritas añade un elemento de riesgo a la seguridad de sus sistemas, no importa cuan seguro sea el almacenamiento de las contraseñas. Esto es particularmente cierto si es de conocimiento general que las contraseñas se encuentran escritas (y donde se encuentran).

Lamentablemente, a menudo las contraseñas escritas no forman parte de un plan de recuperación y no son almacenadas en una bóveda, y estas son las contraseñas de los usuarios comunes y son almacenadas en sitios como:

  • En la gaveta (cerrada con llave o no)

  • Bajo el teclado

  • En la cartera

  • Pegada al lado del monitor

Ninguna de estas ubicaciones son lugares apropiados para una contraseña escrita.

6.1.2.2. Contraseñas robustas

Hemos visto cómo son las contraseñas débiles; las secciones siguientes describen funcionalidades que todas las contraseñas robustas tienen.

6.1.2.2.1. Contraseñas largas

Mientras más larga la contraseña, menos es la probabilidad de que tenga éxito un ataque de fuerza bruta. Por lo tanto, si su sistema operativo lo soporta, establezca un largo mínimo para las contraseñas de sus usuarios relativamente largo.

6.1.2.2.2. Conjunto de caracteres expandido

Promocione el uso de contraseñas alfanuméricas que combinen el uso de mayúsculas y minúsculas y más aún, anime la adición de un carácter no-alfanumérico a todas las contraseñas:

  • t1Te-Bf,te

  • Lb@lbhom

6.1.2.2.3. Memorizables

Una contraseña es robusta solamente si se puede recordar. Sin embargo, usualmente el ser fácil de memorizar y fácil de adivinar a menudo van juntos. Por lo tanto, dele a su comunidad de usuarios algunos consejos sobre la creación de contraseñas fáciles de recordar pero que no sean fáciles de adivinar.

Por ejemplo, tome una frase favorita o dicho y utilice las primeras letras de cada palabra como el punto de comienzo para la creación de la nueva contraseña. El resultado es fácil de memorizar (pues la frase en la cual está basado es, en sí misma, recordable), sin embargo el resultado no contiene ninguna palabra.

NotaNota
 

Tenga en cuenta que el usar las primeras letras de cada palabra en una frase no es suficiente para crear una contraseña robusta. Siempre asegúrese de incrementar el conjunto de caracteres incluyendo la combinación de carácteres alfanuméricos y también al menos un carácter especial.

6.1.2.3. Caducidad de las contraseñas

Si es posible implemente períodos de vigencia para las contraseñas. La caducidad de las contraseñas es una funcionalidad (disponible en muchos sistemas operativos) que coloca límites en el tiempo que una contraseña dada es considerada válida. Al final del tiempo de vida de la contraseña, se le pide al usuario que introduzca una nueva contraseña, que se puede utilizar hasta que, igualmente, expire.

La pregunta clave con respecto a la caducidad de las contraseñas con la que se enfrentan muchos administradores de sistemas es sobre el tiempo de vida de una contraseña: ¿Cuál es el más adecuado?

Hay dos problemas diametricalmente opuestos con respecto al tiempo de vida de las contraseñas:

  • Conveniencia del usuario

  • Seguridad

Por un lado, un tiempo de vida de una contraseña de 99 años presentará muy pocos problemas (si es que llega a presentar alguno). Sin embargo, proporcionará muy poco en términos de mejorar la seguridad.

En el otro extremo, un tiempo de vida de una contraseña de 99 minutos será un gran inconveniente para los usuarios. Sin embargo, la seguridad mejorará en extremo.

La idea es encontrar un balance entre la conveniencia para sus usuarios y la necesidad de seguridad de su organización. Para la mayoría de las organizaciones, los tiempos de vida de las contraseñas dentro del rango de semanas - meses, son los más comunes.

6.1.3. Información de control de acceso

Junto con un nombre de usuario y contraseña, las cuentas de usuario también contienen información de acceso. Esta información toma formas diferentes de acuerdo al sistema operativo utilizado. Sin embargo, los tipos de información a menudo incluyen:

  • Identificación específica al usuario global al sistema

  • Identificación específica al grupo global al sistema

  • Lista de los grupos/capacidades adicionales a los cuales el usuario es miembro

  • Información de acceso por defecto a aplicar para todos los archivos y recursoscreados por el usuario

En algunas organizaciones, la información de control de acceso quizás nunca se necesite tocar. Este caso es más frecuente con estaciones de trabajo personales y sistemas independientes, por ejemplo. Otras organizaciones, particularmente aquellas que hacen uso extensivo de los recursos compartidos a los largo de la red entre diferentes grupos de usuarios, requieren que la información de control de acceso se modifique con frecuencia.

La carga de trabajo requerida para mantener apropiadamente la información de control de acceso de sus usuarios varía de acuerdo a cuan intensivamente su organización utiliza las funcionalidades de control de acceso. Mientras que no esta mal contar con estas funcionalidades (de hecho, quizás sea inevitable), implica que su entorno de sistema puede requerir más esfuerzo para ser mantenido y que cada cuenta de usuario pueda tener más formas en las cuales pueda ser mal configurada.

Por lo tanto, si su organización requiere de este tipo de entorno, debería documentar los pasos exactos requeridos para crear y correctamente configurar una cuenta de usuario. De hecho, si hay diferentes tipos de cuentas de usuario, debería documentar cada una (creando una nueva cuenta de usuario de finanzas, una nueva cuenta de usuario de operaciones, etc.).

6.1.4. Administración día a día de cuentas y acceso a recursos

Como dice el viejo dicho, lo único constante es el cambio. Es lo mismo cuando se trata de su comunidad de usuarios. Gente viene, se vá y también hay gente que se mueve de un grupo de responsabilidades a otro. Por lo tanto, los administradores de sistemas deben ser capaces de responder a los cambios que son una parte normal de la vida diaria de su organización.

6.1.4.1. Nuevos empleados

Cuando una nueva persona entra a la organización, normalmente se les da acceso a varios recursos (dependiendo de sus responsabilidades). Quizás se les facilite un lugar para trabajar, un teléfono y una llave para la puerta de entrada.

Probablemente también se les da acceso a uno o más computadoras en su organización. Como administrador del sistema, es su responsabilidad verificar que esto se haga rápidamente y de la forma adecuada. ¿Cómo hacerlo?

Antes de hacer algo, primero debe estar al tanto de la llegada de la nueva persona. Esto se maneja de diferentes formas en varias organizaciones. He aquí algunas posibilidades:

  • Cree un procedimiento donde el departamento de personal de su organización le notifica cuando llega una nueva persona.

  • Cree una forma que el supervisor de la nueva persona debe llenar y utilizar para solicitar la creación de una cuenta de usuario.

Diferentes organizaciones tienen enfoques diferentes. No importa como se lleve a cabo, es vital que tenga un procedimiento confiable que pueda alertar de cualquier trabajo relacionado a las cuentas que se necesite hacer.

6.1.4.2. Terminaciones

Es conocido el hecho de que habrá personas que dejen la organización. Algunas veces esto puede ser bajo circunstancias felices y otras quizás no tan felices. En cualquier caso, es vital que se le informe de la situación para que así pueda tomar las acciones adecuadas.

Como mínimo, las acciones apropiadas deben incluir:

  • Inhabilitar el acceso del usuario a todos los sistemas y recursos relacionados (usualmente mediante el cambio o bloqueo de la contraseña)

  • Hacer una copia de seguridad de los archivos del usuario, en caso de que contengan algo que se pueda necesitar en un futuro.

  • Coordinar el acceso a los archivos del usuario para el supervisor

La principal prioridad es asegurar sus sistemas contra un usuario que ha dejado de trabajar con la organización recientemente. Esto es particularmente importante si el usuario fue terminado bajo condiciones que pueden haberlo dejado con un poco de malicia hacia la organización. Sin embargo, aún si las circunstancias no son tan graves, le conviene a la organización desactivar rápidamente el acceso a una persona que ya no pertenece a la compañía.

Esto indica la necesidad de un proceso que lo alerte sobre las terminaciones - preferiblemente antes de que estas sean efectivas. Esto implica que usted debería trabajar con el departamento de personal de su organización para asegurarse de que se le notifique sobre cualquier terminación futura.

SugerenciaSugerencia
 

Cuando se manejen los "bloqueos" en respuesta a una liquidación, es de suma importancia que las cosas se hagan en el momento correcto. Si el bloqueo ocurre después de completarse el proceso de liquidación, hay potencial para el acceso no autorizado de la persona recientemente terminada. Por otro lado, si el bloqueo ocurre antes de que se inicie el proceso de liquidación, esto puede alertar a la persona sobre el despido inminente y hacer el proceso más difícil para ambas partes.

El proceso de liquidación usualmente se inicia a través de una reunión entre la persona a ser liquidada, el supervisor de la persona y un representante del departamento de personal de la organización. Por lo tanto, establecer un proceso que lo alerte sobre cuando esta reunión comenzará le dará las indicaciones sobre el momento correcto para hacer el bloqueo.

Una vez desactivado el acceso, es el momento para hacer una copia de seguridad de los archivos de esta persona. Este respaldo puede ser parte de los respaldos estándares de su organización, o puede ser un procedimiento dedicado a hacer copias de seguridad de viejas cuentas de usuario. Aspectos tales como regulaciones sobre la retención de datos, guardar evidencia en casos de demandas por liquidaciones erróneas y otras parecidas, todas forman parte en determinar la forma más apropiada de manejar las copias de seguridad.

En cualquier caso, un respaldo en este momento siempre es un buen hábito, pues el próximo paso (cuando el supervisor accede a los datos de la persona liquidada) puede resultar en la eliminación accidental de los archivos. En tales circunstancias, el tener una copia de seguridad reciente hace posible recuperarse fácilmente de este tipo de accidentes, haciendo el proceso más fácil tanto para el supervisor como para usted.

En este punto, debe determinar que tipo de acceso requiere el supervisor de la persona recientemente terminada a los archivos de esta. Dependiendo de su organización y la naturaleza de las responsabilidades de la persona, es posible que no se requiera ningun acceso, o que se necesite acceso completo.

Si la persona utilizó los sistemas para cosas más allá que simplemente correo electrónico, es posible que el supervisor tenga que revisar y colar un poco los archivos, determinar lo que se debería mantener y qué se puede desechar. Al concluir este proceso, al menos algunos de estos archivos seran entregados a la persona que tomará las responsabilidades de la persona liquidada. Quizás se le solicite su asistencia para este paso final o puede que el supervisor esté en una posición de manejar esto él mismo. Todo depende de los archivos y de la naturaleza del trabajo que realiza su organización.

6.1.4.3. Cambios de trabajo

Responder a las peticiones de crear cuentas para los nuevos usuarios y el manejo de la secuencia de eventos necesarios para bloquear una cuenta de un empleado liquidado son procesos relativamente directos. Sin embargo, la situación no es tan clara cuando la persona cambia de responsabilidades dentro de su organización. Algunas veces la persona puede requerir cambios a su cuenta y algunas veces no.

Habrá al menos tres personas relacionadas en asegurarse de que la cuenta del usuario sea configurada adecuadamente para coincidir con las nuevas responsabilidades:

  • Usted

  • El supervisor original del usuario

  • El nuevo supervisor del usuario

Entre uds tres debería ser posible determinar qué se debe hacer para cerrar limpiamente las responsabilidades anteriores del empleado y qué se debe hacer para preparar la cuenta para sus nuevas responsabilidades. En muchos casos, este proceso se puede pensar como el equivalente de cerrar un usuario existente y crear una nueva cuenta de usuario. De hecho, algunas organizaciones hacen esto para todos los cambios de responsabilidades.

No obstante, es más probable que se mantenga la cuenta del usuario y que se modifique para adaptarse a las nuevas responsabilidades. Este enfoque implica que usted debe revisar cuidadosamente la cuenta para asegurarse de que no se estan dejando recursos o privilegios de acceso en la cuenta y que esta tiene solamente los recursos y privilegios adecuados para las nuevas responsabilidades de la persona.

Para complicar las cosas aún más, está la situación en que hay un período de transición donde la persona realiza tareas relacionadas a ambos grupos de responsabilidades. Es aquí donde los supervisores original y el nuevo, lo pueden ayudar dándole una ventana de tiempo para este período de transición.