Hace pocos dias una directora de equipo me pregunto por configurar sus equipos pero sin substraerles los derechos administrativos, puesto que ellos querían instalarse sus programas.
La pregunta me perturbó puestro que tuve que argumentar pros y contras, y aun más convencerme a mi mismo y establecer parámetros.
Porque habría de querer el usuario instalarse programas?
pues porque lo necesita, es decir, necesita el programa.
Pero si lo necesita porque no puede pedir al administrador que se lo instale?
Pues porque no sabe que lo necesita, es decir, el usuario quiere tener el poder de instalar cualquier cosa en cualquier momento pero no sabe qué.
Para esta actitud reaccionaria (que sólo reacciona ante la necesidad sin planificar) se pueden encontrar contras:
- es conocido que existen spamers y sitios web que ofrecen algun archivo que en un momento el usuario puede necesitar o necesitar abrir: como el programa necesario no existe en el computador, el usuario cae en un enlace de un programa que le permite abrir el archivo, el usuario lo baja lo instala y así se queda funcionando con un troyano, gusano o virus. Las mas de las veces el usuario no se molesta en desinstalar el programa, en otros casos, aunque lo haga pueden quedar escorias.
También el usuario puede argumentar que necesita instalar dispositivos: impresoras, discos externos, etc.
Nuevamente el contraargumento es parecido: si el usuario cambia la configuracion del sistema, este podría dañarse.
El usuario administrador quiere "tener el poder" porque se siente capaz de administrar su computador. Claro que en el punto que no pueda quiere tener la posibilidad de llamar al administrador que le resuelva el problema que él causó.
Si el usuario es suficientemente experto para administrar su equipo, entonces no necesita mas ayuda. El administrador que sólo esta para contestar preguntas donde la capacidad administrativa del usuario se termina esta condenado a correr de aqui para alla apagando fuegos.
La administración de IT se fundamenta en un trabajo pro-activo, en la que el administrador crea herramientas para configurar los equipos de manerea automatizada y correcta, normalemente lejos de lo que el usuario final esta acostumbrado a hacer siendo ayudado por asistentes de configuración presentes en los programas.
El usuario debe entender su rol como empleado para tareas definidas que normalmente estan bastante lejos de la administracion de IT. El administrador establece la infrastructura adecuada para que el usuario trabaja de la manera más eficiente y adecuada.
Si el administrador cumple su rol correctamente, es innecesario que el usuario tenga derechos administrativos. El usuario y el administrador no son enemigos sino que estan en una relacion reciproca de servicios y clientes.
principio de seguridad del mínimo privilegio
Aunque la velocidad de reacción para la solución de problemas puede ser la misma para un equipo externo y desconocido por el departamento de IT que para equipos configurados y mantenidos por él, la velocidad de solución de los problemas puede ser drasticamente diferente, puesto que los equipos externos resultan desconocidos, no tienen documentación alguna y además no estan anexados a las herramientas de configuración del departamento.
Secretarias y Jefes con altos privilegios y acceso a datos sensibles ponen además en juego esas informaciones -personbezogenedaten-
Admin o no Admin he ahi el dilema:
Si los usuarios se empeñan en que el único camino es que ellos tengan derechos administrativos, el administrador puede ofrecer un "servicio limitado", para esto es bueno tener una lista de los servicios que engloba el depto. de IT y tachar los que no se pueden ofrecer.
La realización de SLA podría también ser útil. El usuario quiere ayuda pero también quiere instalar su OS, programas y todo lo le alcance su capacidad. Al instalar todo de manera manual por DVS o downloads, el administrador no tiene mucho camino para arreglar problemas que estas instalaciones y malas configuraciones puedan ocacionar.
El departamento de IT puede por ejemplo ofrecer reinstalacion completa del sistema con configuración básica y programas standard para digamos un ejemplo, 3 horas. Si una computadora no pertenece al dpto. un rescate de los datos podría ser necesario, cosa que en algunos casos -como disco duro danado- podría durar hasta días y costar una pequena fortuna.
Asimismo, el departamento de IT puede ofrecer instalacion remota de programas en digamos 10 minutos o menos, mientras que para computadoras no administradas no se ofrece instalación remota -dado que el usuario quiere instalar- y si fuera requerido podría ser necesaria una cita, además de tiempos de traslado y atención.
Otras tareas engorrosas como la configuración de email, podrían realizarse de manera automatizada a traves de servidores de perfiles o GPO pudiendo tardar también sólo algunos minutos, mientras que estas mismas configuraciones para equipos no administrados requieren también citas y traslados.
Quizás lo más recomendable sea hacer listas de los servicios automatizados que ofrece IT cuando la administración es completa y compararla con las posibilidades cuando el usuario quiere hacer el trabajo.
https://www.security-insider.de/mehrheit-der-firmen-gibt-mitarbeitern-adminrechte-a-682765/
No hay comentarios:
Publicar un comentario