Saltar al contenido
#06 Ciclo de cuentas

Ciclo de vida de cuentas con staging y aviso

Pipeline activo → 30 días sin uso → disabled → 60 días → borrado, con reporte diario de lo que se va a tocar.

Implementación: 1 día 4 tecnologías
El dolor

Lo que hoy te cuesta

En una empresa de 1.000 colaboradores un pentest promedio encuentra entre 80 y 140 cuentas de ex-empleados todavía activas en AD, con grupos de seguridad intactos y licencias M365 asignadas, después de 6 meses del último día de trabajo. Cada una es una cuenta con password que nunca se rota, sin MFA en muchos casos, y con acceso a recursos internos. La métrica de rotación de personal típica es 18% anual, lo que produce ~180 cuentas nuevas y ~180 cuentas a desactivar cada año; con un proceso manual el 20% se queda sin desactivar en el primer mes. El riesgo legal es directo: GDPR impone la supresión de datos del ex-empleado en 30 días y SOX castiga la cuenta privilegiada huérfana. El costo de oportunidad medido en licencias desperdiciadas ronda USD 24.000 anuales por cada 100 puestos con E5. "El pentest nos encontró 4 cuentas de ex-directivos con grupo Domain Admin" es el peor-case real. ¿Cuántas cuentas de empleados que se fueron están abiertas hoy mismo?

El valor

Lo que cambia cuando lo tenés

El primer día el equipo de operaciones ejecuta el pipeline una vez y ve cómo las cuentas inactivas pasan por 3 estados: 30 días sin uso → disabled con notificación al manager, 90 días → movidas a la OU "Disabled", 180 días → eliminadas con log en CSV y entrada en el archivo de auditoría. Cada notificación al manager incluye un enlace para reactivar si la cuenta es válida (empleado en licencia, contrato suspendido). El dueño del proceso es el área de seguridad y RRHH, que ahora comparten el mismo reporte diario. El output visible es el CSV diario con los próximos eventos programados y el log histórico auditable. Una entidad financiera regulada pasó de 132 cuentas huérfanas a 4 en una temporada de barrido y luego a 0 sostenido. La inversión se amortiza en el primer ciclo de auditoría externa, típicamente 4 a 6 meses.

Stack
Tecnologías que tocamos en la implementación
PowerShell 7ActiveDirectorySend-MailMessageTask Scheduler
Ciclo de vida de cuentas con staging y aviso
#06 · Ciclo de cuentas

FSM: activo → disable → move OU → delete, con notificaciones

Referencias técnicas
Ciclo de cuentas

Quiero implementar esto

Conversamos 20 minutos sobre tu entorno y vemos juntos el alcance, la arquitectura y el plan de trabajo. Sin compromiso.