Eliminación de AD: Thoughtworks confía en una mejor seguridad y una mayor productividad con Okta

Vidyard video
Más de 100
aplicaciones conectadas a Okta
Más del 500 %
ROI
Más de $900 000
de ahorros en TI
Más de $1 000 000
de productividad

Soluciones de identidad para una fuerza de trabajo global y móvil

A medida que Thoughtworks crecía de manera vertiginosa en todo el mundo, el Departamento de TI se trasladó a la nube y a los dispositivos móviles, lo que provocó problemas de seguridad y dificultad en el mantenimiento de Active Directory. En un alejamiento de Active Directory, seleccionaron el sistema de gestión de identidades de Okta por su tecnología 100 % en la nube, junto con las capacidades de autenticación multifactor.

Vidyard video

“Ya hemos visto beneficios en términos de no depender de AD para la autenticación delegada... Ha llevado a mucha menos ansiedad porque sabemos que AD ya no es una parte crítica de nuestra infraestructura”.

Phil Ibarrola,

Tech Ops Head of Technology,Thoughtworks

Una mentalidad con prioridad en la nube

Como director de tecnología de operaciones técnicas en Thoughtworks, Phillip Ibarrola es responsable de hacer que los sistemas de TI de la empresa sean más eficientes, seguros y accesibles para los empleados. Es un puesto fundamental para la empresa global de consultoría de software, donde la productividad de los empleados está directamente relacionada con los ingresos: los ThoughtWorkers deben ser capaces de trabajar de manera confiable desde cualquier lugar.

A medida que el trabajo se ha vuelto más distribuido y geográficamente disperso, y la empresa ha crecido, los sistemas de TI de Thoughtworks han cambiado significativamente. En palabras de Ibarrola: “Pasamos de un entorno tradicional alojado en las instalaciones a convertirnos en una organización con prioridad en la nube”. Las aplicaciones y los sistemas basados en la nube le permiten a la empresa escalar rápidamente para mantenerse al día con un crecimiento anual del 10 al 15 % en la cantidad de empleados mientras se reducen costos en comparación con el software tradicional. “En 2011 pensábamos que la nube era el futuro del trabajo y hoy seguimos pensando que es el camino hacia el que va el mercado”, afirma Ibarrola.

Como parte de su transición a la nube, Thoughtworks ha adoptado el mejor enfoque tecnológico de su clase y quiere aprovechar las herramientas y servicios adecuados de diferentes proveedores. Con el tiempo, ThoughtWorks ha dejado de ser un cliente exclusivo de Microsoft: ha eliminado los servidores de Microsoft, ha diversificado su pila de aplicaciones y ha adoptado computadoras portátiles Mac para la mayoría de su fuerza laboral.

Optimización de un ecosistema de TI engorroso

Con menos dispositivos de Microsoft y más software basado en la nube, la dependencia de Thoughtworks de Microsoft Active Directory (AD) se estaba convirtiendo en un desafío. “Microsoft AD se estaba convirtiendo en una parte menos importante y menos interesante de nuestra infraestructura”, dice Ibarrola. “No evolucionaba con nosotros”.

Eso llevó a un entorno de TI complejo y engorroso. Todo el aprovisionamiento, por ejemplo, se realizaba manualmente o a través de integraciones personalizadas. “Invadía todos los ámbitos”, comparte Ibarrola. “Teníamos una gran cantidad de secuencias de comandos de sincronización frágiles que vinculaban nuestros sistemas a nuestro Active Directory. Era torpe y difícil de mantener”. Las aplicaciones “non-birthright”, es decir, aquellas a las que los nuevos empleados no se asignaban automáticamente, eran particularmente difíciles, ya que a menudo eran administradas por diferentes grupos empresariales. Esto hacía que el equipo de TI tuviera que actuar como policías de tráfico entre varias partes.

Si AD se desincronizaba o las secuencias de comandos no funcionaban correctamente, los administradores de TI dedicaban un tiempo y un esfuerzo considerables a rastrear la causa raíz, mientras que los empleados quedaban inactivos. “Si nuestros sistemas de autenticación no permiten ingresar a los trabajadores debido a un error de AD, eso se traduce en costos operativos: nuestra gente no puede ingresar planillas, ni facturar a los clientes, ni trabajar, porque no puede acceder a ninguna de las aplicaciones críticas para el negocio”, afirma Ibarrola.

“Había una cantidad significativa de riesgo que no podíamos controlar sobre Active Directory porque no teníamos los conocimientos necesarios y no lográbamos tenerlos”, continúa.

Esa falta de conocimientos técnicos también da lugar a graves problemas de seguridad. “Somos una organización con 25 años de antigüedad que tenía un modelo heredado muy antiguo de seguridad de red”, cuenta Ibarrola. “Debido a que no contábamos con grandes conocimientos sobre Windows, es probable que no tuviéramos el mayor nivel de supervisión de nuestros servidores de Active Directory. Por lo tanto, podríamos tener personas ejerciendo fuerza bruta sobre nuestros servidores de Active Directory de manera interna, pero no nos daríamos cuenta o, por lo menos, no hasta que fuera demasiado tarde”.

Una carga pesada para soportar

Para mitigar estos riesgos, Thoughtworks implementó RSA como una solución de autenticación multifactor (MFA). Lamentablemente, RSA tuvo un impacto negativo en la productividad de los empleados: más del 35 % de las solicitudes a la mesa de ayuda estaban relacionadas con problemas de los tokens de seguridad físicos de RSA. Los empleados pasaban una cantidad significativa de tiempo respondiendo a las indicaciones de MFA y, con frecuencia, se les bloqueaba el acceso a sus sistemas durante más de 30 minutos durante los ciclos de MFA y restablecimiento de su contraseña.

Muchos empleados de Thoughtworks trabajan de forma remota con computadoras portátiles y dispositivos móviles, lo que suscitó más preocupaciones. Por ejemplo, cuando el Departamento de TI intentó por primera vez establecer una política de BYOD (sigla de “bring-your-own-device”, es decir, “traiga su propio dispositivo”), Ibarrola se preguntó: “Si hiciéramos BYOD y gestión de dispositivos móviles, ¿cómo afectaría a nuestra cultura de confianza y apertura?”. Ibarrola y su equipo estaban decididos a desarrollar una estrategia móvil que protegiera datos importantes de la empresa y de los clientes, y proporcionara una experiencia de usuario positiva.

Búsqueda de una empresa de estándares abiertos

Ibarrola sabía que el Departamento de TI no podía dar soporte al crecimiento de la organización y su estrategia existente sin un cambio significativo. Quería aprovechar el SaaS para reducir la carga de soporte. “Nos trasladamos a la nube porque estábamos creciendo muy rápido y, con el software local heredado, nuestro equipo de TI interno no podía seguir el ritmo del crecimiento”, explica Ibarrola.

El Departamento de TI abordó por primera vez sus aplicaciones principales de productividad empresarial. Migraron más de 2000 ThoughtWorkers de la suite de negocios local de Microsoft a Google Apps. Luego, Ibarrola abordó el problema de la engorrosa solución de MFA de RSA y las dificultades de los empleados para acceder a sus aplicaciones. Ibarrola buscó un mejor sistema de gestión de identidades que respaldara plenamente la migración de la empresa a la nube. “Teníamos que hacer algo para mejorar esa situación, no solo para TI, sino también para nuestros usuarios finales”, afirma.

Ibarrola creía que optar por estándares abiertos era la mejor manera de garantizar la interoperabilidad, así como la capacidad de utilizar las mejores aplicaciones. “Buscábamos una solución de inicio de sesión único que admitiera estándares abiertos y que nos permitiera adoptar la nube más rápido”, dijo.

La arquitectura en la nube garantiza una gestión de identidades segura

Ibarrola eligió Okta Identity Cloud después de evaluar una serie de soluciones de gestión de identidades y accesos. “Okta fue, por mucho, la mejor solución. Cumplía con todos los requisitos y, sin dudas, tenía una verdadera arquitectura en la nube”. Ibarrola también valoró la flexibilidad de Adaptive MFA de Okta. “El mayor triunfo en términos de experiencia de usuario para nosotros con Okta fue la autenticación multifactor y lo fácil que fue configurarla en comparación con nuestra solución anterior”.

Universal Directory de Okta permitió al equipo de TI de Thoughtworks implementar un almacén de usuarios flexible y basado en la nube para personalizar, organizar y gestionar cualquier conjunto de atributos de usuario. A continuación, Thoughtworks implementó Okta Lifecycle Management con Access Request Workflow para automatizar el proceso de delegación de solicitudes de autoservicio para el aprovisionamiento de aplicaciones a los propietarios de empresas. “El resultado final es que es una mejor experiencia de usuario con menos tiempo de respuesta, menos obstáculos y menos transferencias”, explica. En consecuencia, el Departamento de TI ya no se siente como el intermediario entre los usuarios y los propietarios de las aplicaciones empresariales, lo que agiliza todo el proceso.

Reducción de la dependencia de AD

Tras la implementación de Okta Identity Cloud, Ibarrola y su equipo vieron que también podían eliminar Microsoft Active Directory de su infraestructura. “Ya no queríamos depender de AD, porque era frágil. Era una zona de riesgo y teníamos una mejor alternativa”, cuenta. La eliminación de AD no solo optimizaría el entorno general de TI y fortalecería la seguridad, sino que también reduciría los costos. “Ese fue un beneficio adicional: pudimos eliminar AD de nuestro acuerdo empresarial y reducir nuestro gasto general con Microsoft”, señala Ibarrola.

La estrategia de Ibarrola era doble. En primer lugar, asegurarse de que no hubiera nuevas aplicaciones u otros recursos que dependieran de la infraestructura de AD. “Eso hizo que la transición fuera manejable”, dice Ibarrola. “Tuvimos que trazar esa línea en la arena”.

En segundo lugar, comenzar a reemplazar estratégicamente los componentes de Active Directory. Ibarrola y su equipo identificaron todas las aplicaciones y recursos, incluidas las impresoras y las redes, que dependían de AD. “Una vez que tuvimos un catálogo bastante bueno, definimos las prioridades y elaboramos una lista de objetivos. Luego, los desactivamos uno por uno y, de a poco, obligamos a las personas a salir de su dependencia de AD, lo que las alejó de AD”.

La eliminación de AD tiene que ser un proceso cuidadosamente planificado y deliberado, pero, según Ibarrola, ese esfuerzo vale la pena. “Ya hemos visto beneficios en términos de no depender de AD para la autenticación delegada”, dice Ibarrola. “Esto ha disminuido mucho la ansiedad, porque sabemos que AD ya no es una parte crítica de nuestra infraestructura”.

El equipo de red y el Wi-Fi son los únicos elementos que quedan integrados en AD, e Ibarrola espera que Thoughtworks esté completamente libre de AD en seis meses.

Más tiempo, menos gastos

Hoy en día, Thoughtworks tiene más de 100 aplicaciones en la nube conectadas a Okta. “Durante mucho tiempo, adoptamos un enfoque centrado en la nube para la mayoría de nuestros servicios principales: pasamos por primera vez a G Suite en 2008 y nos enorgullecemos de ser los primeros en adoptar Okta, Zoom y Box, entre otros. Las herramientas que permiten la colaboración en nuestro entorno de trabajo distribuido y disperso van a ser todas gestionadas en la nube. Es el futuro del trabajo”.

Con la habilitación de Okta Lifecycle Management para 16 aplicaciones, Thoughtworks ha eliminado más de 1000 horas de trabajo manual de incorporación, desvinculación y resolución de problemas.

La incorporación se ha vuelto mucho más predecible y mucho menos propensa a errores. Cuando los nuevos empleados llegan el primer día, sus aplicaciones “birth-right” están siempre aprovisionadas de manera correcta. Ahora, para proteger los datos y la propiedad intelectual, el Departamento de TI puede cortar rápidamente el acceso cuando un empleado abandona la empresa, y Thoughtworks también utiliza los informes dentro de Okta para respaldar cualquier posible auditoría. La desvinculación eficiente también tiene beneficios de costos para las aplicaciones basadas en la nube. “La eliminación oportuna del acceso nos permite controlar los costos en torno a las licencias y suscripciones”, señala Ibarrola.

Con Okta Adaptive MFA, el total de solicitudes al servicio de asistencia técnica para el restablecimiento de contraseñas y el restablecimiento de credenciales de MFA ha disminuido en un 90 %, lo que supone un ahorro de $800 000. Además, los usuarios finales pasan mucho menos tiempo respondiendo a las solicitudes de MFA con Okta Verify with Push y un marco de políticas flexible, lo que representa una mejora de la productividad de más de $400 000. Thoughtworks también ha realizado mejoras de seguridad por $200 000.

Además, Okta ha eliminado el costoso mantenimiento de la integración de 25 aplicaciones; la discontinuación de RSA ha generado un ahorro adicional de $50 000. Asimismo, la reducción de las interrupciones del sistema ha contribuido a una mejora de la productividad por un valor de $300 000.

“Okta es la joya de la corona de todas nuestras autenticaciones”, dice Ibarrola. “Nos sentimos mucho más seguros porque sabemos que Okta ha implementado la supervisión y el análisis. Nuestras contraseñas y nuestro almacén de identidades principal están en Okta; la protección del equipo de expertos de Okta es, sin dudas, mejor de lo que podríamos hacer internamente”.


De cara al futuro, Ibarrola está trabajando en la implementación de Advanced Server Access de Okta para los servidores Linux locales restantes de Thoughtworks. “Es genial contar con Okta como socio y proveedor”, cuenta. “Son transparentes sobre lo que sucede y sobre los próximos pasos”.

Acerca de Thoughtworks

Thoughtworks es una empresa global de software de más de 20 años de antigüedad y una comunidad de personas apasionadas y con un propósito que ha pasado de ser un pequeño grupo en Chicago a ser una empresa de más de 7000 personas repartidas en 43 oficinas en 14 países.

Continue your Identity journey

Get hands on with the free trial today, or get in touch with our team to discuss your unique needs.