Prácticas recomendadas: diseño de subentornos y la administración por roles

Las funciones de administración por roles y subentornos se combinan para crear una herramienta efectiva en la delegación de tareas de gestión de seguridad de la red al equipo informático.

Los subentornos son subdivisiones lógicas de la red. La mayor parte de las veces, coinciden con las distintas oficinas o sedes en otros países. Pero, a veces, es necesario configurar subentornos cuando, por ejemplo, cuenta con más de 25.000 estaciones administradas con Enterprise Console. En ese caso, puede crear un subentorno para las estaciones de ventas y marketing, otro para las estaciones de producción y otro para el resto de departamentos de la empresa. En instituciones educativas, puede tener un subentorno para las estaciones del área de humanidades y otro para las estaciones de las áreas de ciencias y demás.

La administración por roles hace referencia a la subdivisión lógica de responsabilidades en cada subentorno. Por ejemplo, en el caso anterior, puede haber un gerente informático en el área de humanidades, pero tres otros informáticos de diferentes categorías con diferentes responsabilidades en el mismo departamento. Algunos pueden pertenecer al equipo de soporte técnico de laboratorios informáticos para ayudar a los alumnos con problemas habituales, sin tener responsabilidad alguna en la planificación de políticas de seguridad. El rol elegido para cada usuario refleja las diferencias en sus responsabilidades.

Sophos recomienda seguir estos pasos a la hora de diseñar los subentornos y los roles para la red:

1. Cree una lista sencilla de los integrantes del departamento informático que deberían tener permiso para administrar equipos y realizar acciones en la red. Defina el tipo de función administrativa de cada integrante del equipo informático. Por ejemplo, si se ocuparán de brotes de programas maliciosos o eventos del cortafuegos, o si serán responsables del diseño de políticas que se usan en el subentorno.
   
2. Una vez que tenga preparada la lista del personal informático, revise la lista de roles predeterminados preconfigurados en Enterprise Console. Puede que los roles predeterminados coincidan con las tareas que llevará a cabo su equipo pero, de no ser así, modifique los roles existentes (inglés) o cree roles nuevos (inglés) que se ajusten a sus necesidades.
   
3. Defina los subentornos que creará para la red.
   
4. Asocie a los integrantes del equipo informático con roles de cada subentorno. Puede crear una tabla como la que se muestra a continuación y usarla como referencia:
   
   
   

   

   Recuerde que necesitará conceder a algunos usuarios permisos ilimitados en más de un subentorno para cubrir las vacaciones y ausencias de otros usuarios. El administrador del sistema siempre tiene derechos totales en todos los subentornos.

5. Piense en los grupos que deberían formar parte de cada subentorno. Si aún no ha creado grupos de ordenadores, consulte las Prácticas recomendadas: diseño de grupos de ordenadores antes de finalizar la planificación de los subentornos y de la administración por roles.

   Tener claro qué grupos de ordenadores están asociados con cada subentorno por adelantado le ahorrará tiempo y esfuerzo si necesita mover los grupos (y los equipos) de un subentorno a otro más adelante.

6. Aunque es posible colocar un grupo de equipos en más de un subentorno, Sophos no lo recomienda, ya que dificulta la implementación e imposición de las políticas.
   
7. Una vez colocados los grupos en los subentornos, importe los equipos a Enterprise Console (o sincronice con Active Directory) para colocarlos en los grupos correspondientes.

Artículos relacionados

Para más información sobre la creación de subentornos, grupos o políticas, consulte:
¿Cómo... crear un grupo? ¿Cómo... crear un subentorno (inglés)? y¿Cómo... crear una política?

Para más información sobre la instalación adicional de Enterprise Console para la administración por roles, consulte:
sección 5.4 en la Guía avanzada de inicio.

Para ver una lista de los roles predeterminados y sus correspondientes permisos,
consulte:Administración por roles: derechos predeterminados.