A los consultores financieros y profesionales se les suele confiar el acceso seguro a la información más confidencial de las organizaciones. En la mayoría de los casos, Microsoft Active Directory (AD) es el punto de contacto central y la base de una estrategia de identidad segura.
RSM Ebner Stolz, una de las principales firmas de auditoría, impuestos , asesoría legal y consultoría de gestión de Alemania, ofrece a sus clientes una completa cartera de servicios. Con sede en Stuttgart, la firma cuenta con más de 2100 empleados en 14 sedes en todo el país y generó unas ventas superiores a los 481 millones de euros en 2024. Entre sus clientes se incluyen empresas industriales, comerciales y de servicios de todos los sectores y tamaños, desde empresas unipersonales hasta sociedades cotizadas.
El trabajo de la empresa exige que sus empleados tengan acceso seguro a algunos de los sistemas y datos más críticos de sus clientes. En un entorno de amenazas cada vez más volátil, la ciberseguridad y la resiliencia operativa son prioridades para la firma.
No hay alternativas a la seguridad de la identidad
El departamento de TI interno de RSM Ebner Stolz desempeña un papel fundamental en la continuidad del negocio, garantizando que los empleados de las respectivas sedes de la empresa y de las instalaciones de los clientes tengan siempre acceso rápido a los recursos centrales que necesitan. Para ello, la empresa cuenta con más de 80 empleados que se encargan de la infraestructura y las aplicaciones necesarias.
Un centro de datos central en Fráncfort y unidades informáticas más pequeñas, distribuidas espacialmente, se conectan mediante una red MPLS. Todos los empleados, tanto en la oficina como fuera de ella, cuentan con portátiles para conectarse con flexibilidad a aplicaciones como DATEV y otras aplicaciones específicas de su área.
Ante la intensificación de las ciberamenazas, RSM Ebner Stolz creó un equipo dedicado exclusivamente a la seguridad informática. Como parte de este grupo, el ingeniero de seguridad informática Ben Glenz se centra en la seguridad informática operativa. Al inicio del equipo, su función requería un análisis exhaustivo de los procesos existentes de la empresa.
“En una empresa que ha crecido a lo largo de muchos años con muchas unidades heterogéneas, era imposible esperar un concepto de seguridad uniforme que solo pudiera implementarse en una planta nueva”, recuerda Glenz. Muchas organizaciones se enfrentan a este problema ; por ejemplo, cuando deben integrarse nuevas estructuras mediante adquisiciones o cuando las actividades se realizan cada vez más a distancia; ambos casos son comunes en el entorno de la empresa.
El punto crítico en infraestructuras distribuidas, heterogéneas y operadas remotamente es el control del acceso a todos los recursos, ya sean datos o aplicaciones. Dado que Active Directory (AD) es el servicio central que permite a los empleados de RSM Ebner Stolz conectarse de forma fácil y fiable desde las oficinas de la empresa, las instalaciones de los clientes o sus oficinas en casa, una de las primeras medidas de Glenz fue realizar un estudio sobre la seguridad de AD de la empresa.
Para ello, utilizó Semperis Purple Knight , una herramienta comunitaria gratuita que examina entornos de Active Directory en busca de configuraciones incorrectas, vulnerabilidades y posibles indicios de ataque. La herramienta analiza más de 185 indicadores de exposición (IOE) y de compromiso (IOC), y proporciona una puntuación de seguridad y orientación sobre cómo subsanar posibles vulnerabilidades.
Un análisis inicial en RSM Ebner Stolz mostró que, si bien la infraestructura cumplía con los requisitos generales, existía potencial de mejora.
“Active Directory se introdujo hace 25 años y se basa en los algoritmos de la época”, explica Ganz. Como en la mayoría de las organizaciones que han crecido con el tiempo, especialmente aquellas que han experimentado fusiones o adquisiciones, descubrió elementos que no cumplían con los requisitos de seguridad actuales o que ya no recibían soporte. Por ejemplo, afirma: “Encontramos sistemas operativos obsoletos como Windows 7. Por supuesto, esto abre la puerta a los atacantes”.
Monitoreo continuo y orientación de seguridad priorizada
La puntuación determinada por Purple Knight inclinó la balanza a favor de abordar de inmediato el proceso de cambio de Active Directory, a pesar de la ausencia de una amenaza activa.
“Una cosa está clara”, explica Glenz: “si Active Directory se ve comprometido, también lo estará todo el proceso empresarial”.
El equipo de seguridad decidió instalar dos productos: Semperis Directory Service Protector ( DSP ) y Active Directory Forest Recovery ( ADFR ) . Ambos productos fueron fáciles de instalar, sin necesidad de intervención del usuario.
DSP Permite la monitorización continua de todas las actividades relacionadas con Active Directory, lo que genera una visión general de toda la seguridad de la identidad de la empresa. Además, la herramienta proporciona orientación priorizada y práctica, desarrollada e implementada por investigadores de seguridad de AD. Por lo tanto, DSP presentó una forma integral y efectiva de inmediato para controlar y proteger el acceso a los activos críticos de la empresa y reducir de manera sostenible la superficie de ataque de identidad.
La solución permite al equipo de Ganz detectar y revertir cambios sospechosos o de riesgo en AD. RSM Ebner Stolz optó por la edición híbrida de la herramienta, que ofrece detección y respuesta a amenazas de identidad (ITDR) tanto para Active Directory como para Entra ID.
“Aunque muchas actividades de la empresa aún se basan en el AD local, los procesos se están desarrollando masivamente hacia Azure”, afirma Glenz al explicar la decisión. “Además, los atacantes suelen migrar de los sistemas locales a la nube o viceversa”.
Garantizar la resiliencia operativa mediante una recuperación rápida y segura
ADFR Permite una rápida recuperación de los bosques de AD a un estado confiable en caso de un ataque exitoso de ransomware o borrado. Restaurar manualmente un bosque de AD puede tardar días o semanas y conlleva el riesgo de persistencia del atacante y reinfección de malware, lo que podría causar daños económicos considerables a la mayoría de las empresas.
Por el contrario, ADFR Restablece la disponibilidad operativa en cuestión de minutos u horas, reduciendo el tiempo de inactividad hasta en un 90 por ciento. ADFR Se puede usar para restablecer Active Directory a un estado seguro, utilizando orígenes de instalación limpios para evitar la reintroducción de malware. La recuperación se puede realizar en cualquier hardware virtual o físico. Además, las capacidades de Análisis Forense de Identidad y Respuesta a Incidentes (IFIR) de Semperis ayudan a prevenir eficazmente posibles ataques posteriores.
"Mientras DSP interviene regularmente cuando se intenta modificar el AD con intenciones maliciosas, ADFR "Es la instancia definitiva para restaurar la operatividad de TI en caso de un ataque", dice Glenz, explicando la interacción entre ambas herramientas. "Realizamos el proceso de recuperación y volvimos a estar en línea después de 20 minutos".
Otro aspecto atractivo de ADFR Para la empresa: Los datos de respaldo necesarios requerían un espacio de almacenamiento de sólo unos 300 MB. ADFR También ofrece la opción de almacenamiento online en la nube.
Construyendo una base de identidad segura
Al adoptar DSP y ADFR RSM Ebner Stolz ha creado una base técnica para proteger Active Directory y para aplicar políticas de contraseñas o la asignación individual de derechos.
"Los productos simplemente funcionan; no tengo que iniciar sesión todos los días", explica Glenz. "Si algo no funciona, recibo una notificación".
Esto no sólo ayuda a Glenz a dormir mejor, sino que también le da a él (y al resto de su equipo) más tiempo para ocuparse de otras tareas urgentes.