La Universidad de Stuttgart forma parte de uno de los ecosistemas más dinámicos y es un punto de referencia para la investigación en una región económicamente dinámica. Alrededor de 23.000 jóvenes estudian en la universidad en las más diversas disciplinas. Cuentan con el apoyo de cerca de 5.700 trabajadores, que proporcionan a los estudiantes y a los profesores unas condiciones de trabajo óptimas. Además, se ha creado una infraestructura digital que garantiza el acceso sin restricciones a recursos de gran alcance, a menos que se requiera una intervención judicial.
La gestión del hardware y de los servicios asociados forma parte del Centro de Información y Comunicaciones de la Universidad (IZUS) y del Departamento de Información Técnica y Comunicaciones (TIK). En este ámbito se encuadran también los servicios centrales de gestión, que prestan apoyo a los puestos de trabajo, incluido el servidor de impresión de archivos, la gestión de parches y la gestión de equipos. También es posible la gestión de aplicaciones como la gestión de documentos o la gestión personal.
El Departamento Central de Administración (ZVD) también tiene como objetivo facilitar el uso de Active Directory para que los usuarios y estudiantes puedan acceder a los recursos disponibles. "Trabajamos en el ámbito de la gestión de identidades para garantizar la seguridad y el funcionamiento de Active Directory", afirma Mike Holz, director de operaciones de ZVD.
Active Directory como instancia central
En vista de la importancia y la sensibilidad de los resultados de la investigación en el campo de la tecnología de la salud y del interés mundial por los datos, la protección de la privacidad tiene una gran importancia. Por lo tanto, hay que tener en cuenta que un gran número de estudiantes con acceso privado a Internet a través de una VPN deben conectarse a la red de la universidad. Además, la fluctuación continua hace necesaria la supervisión de los derechos. Por lo tanto, es necesaria una mayor coordinación de la TI con el sistema de gestión personal.
"Nos ocupamos continuamente de la situación actual de la seguridad, con especial atención a los sectores y universidades locales", afirma Holz. "En los últimos años se ha constatado que los ataques a este sector son cada vez más frecuentes. Es wurde uns zunehmend bewusst, dass wir hier proaktiv werden müssen". Dabei ist die Sicherung des Zugangs zu sensiblen Bereichen nur die eine Seite der Medaille. Hinzu kommt, dass bei einer Kompromittierung des zentralen Verzeichnisdienstes möglicherweise die Arbeitsfähigkeit der gesamten Institution für mehrere Tage eingeschränkt wird, wenn nicht sogar ganz zum Erliegen kommt.
Mike Holz y su equipo buscaron opciones para mejorar la seguridad y la funcionalidad de la gestión de identidades desde un punto de vista competitivo. "A pesar de que estábamos convencidos de que se trataba de un requisito imprescindible, también tuvimos la oportunidad de superar los obstáculos. Y, por último, surgieron nuevos factores de riesgo, por ejemplo, nuevas técnicas KI que no podíamos utilizar en el radar".
"Ohne das Assessment mit Unterstützung eines kompetenten Partners hätte es für uns einen großen Aufwand bedeutet, ein Ergebnis von ähnlich hoher Qualität zu erzielen. Y todo ello, teniendo en cuenta que era necesaria una formación completa de los empleados".
Mike Holz, Jefe del Departamento ZVD
Evaluación de la seguridad con un socio competente
Para realizar una Evaluación de Seguridad de Active Directory (ADSA) básica, es necesario contar con una empresa experta que, como proveedor líder de soluciones de seguridad para Active Directory, cuente con una amplia experiencia y conocimiento de los desarrollos actuales. La solicitud ha sido enviada por Semperis, un experto reconocido que ayuda a las organizaciones a proteger sus identidades y a optimizar sus procesos de seguridad. Para ello, Semperis ofrece una serie de soluciones que evitan las desviaciones y los riesgos de la integración de Active Directory, superan las modificaciones en el sistema de gestión de identidades, reconocen los cambios que pueden producirse incluso en usuarios con privilegios y permiten una respuesta rápida a las amenazas.
Basándose en una amplia experiencia en proyectos de clientes de todo el mundo, Semperis ofrece la Evaluación de Seguridad de Active Directory (ADSA). Este análisis proporciona una evaluación detallada de la seguridad de la gestión de Active Directory, proporciona a las organizaciones una información detallada sobre los riesgos identificados y proporciona consejos útiles para mejorar la seguridad de Active Directory.
Aparte de la identificación de las configuraciones de error más peligrosas y de los riesgos que conllevan, también es importante identificar los factores de riesgo dentro de la gestión de AD que pueden ayudar al usuario a comprometer recursos críticos (de nivel 0).
Una revisión de la arquitectura de seguridad y de los procesos operativos complementa el análisis de las evaluaciones. De este modo, se identifican las mejores prácticas. En las entrevistas mantenidas con expertos y personalidades destacadas, se analizan aspectos fundamentales como la gobernanza de la seguridad, la arquitectura de redes, las confianzas de dominio, la administración de sistemas y el control de la seguridad, con el fin de detectar posibles mejoras y ofrecer recomendaciones útiles.
El resultado son recomendaciones para mejorar la seguridad, incluyendo las mejores prácticas para la configuración segura de Active Directory. La puesta en práctica de estas directrices está en el centro de la gestión de la organización.
Cuando se decidió llevar a cabo el proyecto, se reunieron los equipos implicados y se elaboró un catálogo de conceptos estructurales. El tiempo transcurrido desde la definición del campo y la creación de los dominios a evaluar, pasando por la creación de la estructura, hasta el análisis del entorno global y su evaluación de riesgos fue de entre diez y diez semanas, mientras que el funcionamiento de la red para los empleados de los servicios centrales de administración de la Universidad duró tan sólo unas pocas horas. El proyecto contó con la colaboración de expertos de Semperis en todo el mundo para facilitar la evaluación con su experiencia. Para ello, se utilizaron herramientas que permitieron obtener de forma eficiente y automática la configuración de Active Directory y la información complementaria necesaria para el análisis. Sobre esta base, se ha minimizado el coste inicial de la TI universitaria.
Como resultado, la Universidad ha realizado un análisis exhaustivo de la infraestructura y los procesos utilizados. "Sólo se han detectado unos pocos problemas críticos", afirma Mike Holz. "En comparación con otras instituciones de nuestro tamaño y con requisitos de seguridad similares, el resultado fue muy positivo". Was allerdings nicht meint, die bisherige Praxis nun beruhigt weiterzuverfolgen. "Manches hat Anlass gegeben, über gewisse Punkte nachzudenken, die unter Berücksichtigung des gegebenen Potenzials nun sukzessive anzugehen sind."
Transferencia de conocimientos incluida
A pesar de que el resultado de las evaluaciones en algunas partes puso de manifiesto el éxito del trabajo de los equipos, su realización tuvo una serie de efectos positivos adicionales: Refuerza la confianza en los mecanismos establecidos y en las personas que trabajan con ellos, lo que refuerza la reputación de la Universidad en el ecosistema internacional y sienta las bases para una colaboración eficaz con otras instituciones científicas y socios económicos. Asimismo, los resultados del análisis ayudan a definir mejor los recursos humanos disponibles. Sin embargo, en este sentido, no debe perderse de vista otro efecto: "Sin la evaluación con la ayuda de un socio competente, nos enfrentamos a un gran reto: obtener un resultado de alta calidad. Por ello, es imprescindible que los empleados reciban una formación completa", explica Holz. De este modo, se ha mejorado la competencia de los equipos propios mediante la colaboración con los expertos de Semperis en el funcionamiento y la gestión de Active Directory, lo que supone un ejemplo de transferencia de conocimientos.
Desde un punto de vista práctico, el equipo AD de la Universidad, con los nuevos procesos optimizados, está muy satisfecho, aunque también es consciente de que no se puede garantizar una seguridad absoluta en un entorno altamente dinámico. "En respuesta a la necesidad de desarrollar un sector de interés para desarrollar nuevos conocimientos científicos, también con la ayuda de tecnologías avanzadas en el ámbito de la inteligencia cognitiva, nuestro objetivo es adaptarnos continuamente a los nuevos avances tecnológicos".
La gestión de identidades conlleva numerosos riesgos que, sin embargo, pueden minimizarse mediante el uso de métodos como el seguimiento de cambios y la reparación automática. Por último, también es posible que, en el peor de los casos, la AD se solucione en cuestión de minutos. Herramientas adicionales como Active Directory Forest Recovery están a su disposición y pueden implementarse con un mínimo esfuerzo.
