Si está permitiendo que las personas utilicen cuentas personales para servicios externos como Dropbox, realmente no tiene control y no es el propietario de ellos. La mayoría de los servicios que ofrecen una versión corporativa o empresarial tienen la capacidad de configurar uno o más administradores y pueden deshabilitar las cuentas a través de esta interfaz.
Desde el punto de vista del proceso, algunas organizaciones hacen esto a mano, otras tienen listas de verificación integradas en los sistemas de gestión de recursos humanos con flujos de trabajo. En última instancia, si las credenciales no están vinculadas a AD, LDAP, Shibboleth o algún sistema centralizado / federado, deberá administrarlas individualmente. Podrías usar cualquier tipo de base de datos para rastrear esto.
Su organización debe desarrollar algún tipo de inventario / base de datos de gestión de servicios. En un mundo ideal, no se utiliza ningún servicio de terceros sin la autorización de la administración y todos estos deben ser rastreados como parte del proceso de administración del proveedor (ITIL, CMMI, etc. pueden proporcionar orientación sobre la administración del proveedor de servicios de terceros o proveedores). De esta lista, debería poder hacer una lista de verificación y podría revisar cada lista de verificación.
Como parte de los procesos normales de administración de usuarios, debe realizar revisiones / certificaciones de acceso regulares para verificar que todos los usuarios actuales aún deban tener acceso. En una organización más madura, tendrá procesos y un registro en papel o base de datos que rastrea todas las autorizaciones, cambios y revocaciones de acceso. En este caso, debe tener un registro en papel que muestre todas las subvenciones en lugar de verificar la lista de todos los sistemas posibles.
Como parte de un enfoque por capas, en algunos casos, puede trabajar con un proveedor externo para restringir el acceso a la aplicación desde fuera de su red. De esta manera, el ex empleado tendría que volver a ingresar a su red para luego acceder al servicio. Dado que en la mayoría de los casos es probable que al menos haya revocado su acceso remoto y acceso a la red local, esto puede ayudar a mitigar parcialmente el riesgo si no elimina el acceso de inmediato (pero se espera que lo detecte durante la revisión / certificación periódica del acceso). / p>
No voy a recomendar ningún producto específico, pero es posible que desee buscar en Google algo como "software de gestión de acceso para servicios de terceros" o "herramienta empresarial de gestión de acceso por identidad".
Parcialmente relacionadas con esto están las herramientas denominadas "administración de identidad privilegiada", pero esto generalmente está orientado hacia la administración de credenciales de administrador compartidas.
tl; dr Se trata más de desarrollar políticas y procedimientos robustos de administración de acceso y revisión de acceso para que así tenga la responsabilidad. Debe elegir un sistema que tenga una pista de auditoría sólida y una copia de seguridad, una hoja de cálculo se puede modificar, perder, controlar de forma deficiente la versión o exponer a personas no autorizadas.