Lo que hoy te cuesta
En una empresa de 1.000 colaboradores un pentest promedio encuentra entre 80 y 140 cuentas de ex-empleados todavía activas en AD, con grupos de seguridad intactos y licencias M365 asignadas, después de 6 meses del último día de trabajo. Cada una es una cuenta con password que nunca se rota, sin MFA en muchos casos, y con acceso a recursos internos. La métrica de rotación de personal típica es 18% anual, lo que produce ~180 cuentas nuevas y ~180 cuentas a desactivar cada año; con un proceso manual el 20% se queda sin desactivar en el primer mes. El riesgo legal es directo: GDPR impone la supresión de datos del ex-empleado en 30 días y SOX castiga la cuenta privilegiada huérfana. El costo de oportunidad medido en licencias desperdiciadas ronda USD 24.000 anuales por cada 100 puestos con E5. "El pentest nos encontró 4 cuentas de ex-directivos con grupo Domain Admin" es el peor-case real. ¿Cuántas cuentas de empleados que se fueron están abiertas hoy mismo?
Lo que cambia cuando lo tenés
El primer día el equipo de operaciones ejecuta el pipeline una vez y ve cómo las cuentas inactivas pasan por 3 estados: 30 días sin uso → disabled con notificación al manager, 90 días → movidas a la OU "Disabled", 180 días → eliminadas con log en CSV y entrada en el archivo de auditoría. Cada notificación al manager incluye un enlace para reactivar si la cuenta es válida (empleado en licencia, contrato suspendido). El dueño del proceso es el área de seguridad y RRHH, que ahora comparten el mismo reporte diario. El output visible es el CSV diario con los próximos eventos programados y el log histórico auditable. Una entidad financiera regulada pasó de 132 cuentas huérfanas a 4 en una temporada de barrido y luego a 0 sostenido. La inversión se amortiza en el primer ciclo de auditoría externa, típicamente 4 a 6 meses.
FSM: activo → disable → move OU → delete, con notificaciones
Quiero implementar esto
Conversamos 20 minutos sobre tu entorno y vemos juntos el alcance, la arquitectura y el plan de trabajo. Sin compromiso.
Proyectos relacionados
Health check matutino de Active Directory
Un solo correo al día con el estado real del AD: replicación, lockouts, contraseñas expiradas, GPOs nuevas.
Alta y baja automatizada de empleados
Un solo script crea al usuario en AD, M365, grupos, licencia y buzón — o lo borra limpio en 30 segundos.
Auditoría de contraseñas y cuentas fuera de política
Detecta cuentas con PasswordNeverExpires, contraseñas vencidas, antigüedad de password y patrones débiles.