Dashboard de Identidades — Guía de KPIs

Dashboard de Identidades — Guía de KPIs

Dashboard de Identidades — Guía de KPIs

El Dashboard de Identidades es la vista principal del Módulo de Identidades de TecnetSOC. Concentra en una sola pantalla el estado de seguridad de todas las cuentas de tu organización: usuarios en riesgo, cobertura de MFA, roles privilegiados, y detecciones recientes. Este artículo explica qué significa cada número y cómo usarlo para tomar decisiones de seguridad.

---

Visión general del dashboard

El dashboard está dividido en cuatro zonas principales:

  • Encabezado con Score de Riesgo — un indicador visual del estado general de seguridad de identidades.
  • Tarjetas de KPIs — cuatro métricas operativas en un vistazo rápido.
  • Hallazgos accionables — alertas priorizadas que indican qué remediar primero.
  • Panel de Seguridad MFA — desglose de métodos de autenticación por nivel de fortaleza.

    • Los datos se actualizan con cada sincronización (cada 2 horas). La fecha y hora de la última sincronización exitosa aparece en la parte superior derecha del dashboard.

    ---

    Score de riesgo (0-100)

    El Score de Riesgo es el indicador más importante del dashboard. Representa el promedio ponderado de los riesgos individuales de todos los usuarios activos en tu organización.

    Escala de colores

    RangoColorSignificado
    0 — 29VerdePostura de seguridad aceptable
    30 — 59AmarilloRiesgos presentes que requieren atención
    60 — 100RojoRiesgos críticos que deben remediarse de inmediato

    El score se muestra como un número grande en el centro del indicador circular, junto con una etiqueta de severidad (BAJO, MEDIO, ALTO, CRÍTICO).

    Nota: Un score de 0 no significa que no haya riesgos; significa que todos los factores evaluados están en estado óptimo para los usuarios activos. Siempre revisa los hallazgos accionables incluso con scores bajos.

    Cómo bajar el score general

    El score general baja cuando bajas el riesgo de usuarios individuales. Las acciones con mayor impacto son:

    • Habilitar MFA para usuarios sin ningún método registrado.
    • Remover el rol de Global Administrator permanente a cuentas que no lo necesitan.
    • Deshabilitar cuentas inactivas por más de 90 días.
    ---

    Barra Hero — Métricas inline

    La barra superior del dashboard muestra el Risk Score y cuatro métricas esenciales en una sola línea:

    Identidades

    Total de usuarios sincronizados desde Entra ID. Incluye usuarios habilitados, deshabilitados e invitados. Un número inesperadamente alto puede indicar cuentas huérfanas que no se han limpiado.

    MFA %

    Porcentaje de usuarios activos que tienen al menos un método de MFA registrado. Cualquier valor por debajo del 95% en organizaciones con acceso a datos sensibles debe considerarse una brecha.

    • Verde: 90% o más (objetivo alcanzado)
    • Amarillo: menos del 90% (objetivo: 95%)

    Privilegiados

    Número de cuentas con roles administrativos asignados. Muestra además cuántos son Global Administrator. La práctica recomendada es un máximo de 2-4 Global Administrators.

    Nota: Un aumento inesperado puede indicar una asignación de roles no autorizada.

    Inactivos

    Cuentas sin actividad de inicio de sesión en los últimos 90 días. Si hay inactivos, se muestra una advertencia. Las cuentas inactivas deben deshabilitarse tras revisión.

    ---

    Tarjetas de KPI operativas

    Debajo de los hallazgos, cuatro tarjetas en grid 2×2 muestran métricas operativas con indicadores de color:

    Detecciones 7d

    Número de detecciones de riesgo de Identity Protection en los últimos 7 días. Se marca en rojo si hay detecciones activas, verde si no hay ninguna. Muestra el desglose de detecciones de alta severidad.

    Credenciales <30d

    Número de service accounts cuyas credenciales (client secrets) expiran en menos de 30 días. Se marca en rojo si hay credenciales por expirar. Esto es crítico porque si expiran sin renovarse, las integraciones dejan de funcionar.

    CA Activas

    Número de políticas de Acceso Condicional habilitadas (en modo Enabled, no Report-Only). Muestra también cuántas están en modo Report-Only como referencia.

    Sign-ins 24h

    Total de intentos de inicio de sesión en las últimas 24 horas, con desglose de fallidos. Un número inusualmente alto de fallos puede indicar un ataque de password spray o credential stuffing.

    ---

    Hallazgos accionables

    La sección de hallazgos accionables lista los riesgos identificados, ordenados por severidad. Cada hallazgo incluye:

    • Severidad (CRÍTICO o ADVERTENCIA)
    • Descripción del riesgo
    • Número de usuarios afectados
    • Botón de acción para ir directamente a la lista de afectados

    Severidad CRÍTICO

    Los hallazgos marcados como CRÍTICO representan riesgos que, si se explotan, pueden resultar en compromiso de cuentas o escalada de privilegios. Deben atenderse en las próximas 24-48 horas.

    Ejemplos de hallazgos CRÍTICO:

    • Usuarios sin ningún método de MFA registrado
    • Global Administrators con asignación permanente (no via PIM)
    • Usuarios excluidos de todas las políticas de Acceso Condicional
    • Detecciones de Identity Protection sin resolver

    Severidad ADVERTENCIA

    Los hallazgos marcados como ADVERTENCIA son riesgos reales pero de menor urgencia inmediata. Deben atenderse en el próximo ciclo de revisión de seguridad (generalmente dentro de 1-2 semanas).

    Ejemplos de hallazgos ADVERTENCIA:

    • Usuarios con MFA débil (solo SMS)
    • Cuentas inactivas por más de 90 días
    • Service accounts con contraseñas que no expiran
    ---

    Panel de Seguridad MFA

    El panel de MFA muestra el desglose de métodos de autenticación registrados por los usuarios, clasificados en cuatro niveles de fortaleza.

    NivelColorMétodos incluidos
    FuerteVerdeFIDO2, Windows Hello for Business, Passkeys
    ModeradoAzulMicrosoft Authenticator (notificación push o código TOTP)
    DébilAmarilloSMS, llamada de voz, contraseña de un solo uso por hardware
    Sin MFARojoSin ningún método de autenticación adicional registrado

    Cada nivel muestra el número de usuarios y el porcentaje del total. El objetivo es maximizar los niveles Fuerte y Moderado, y llevar a cero los niveles Débil y Sin MFA.

    Nota: Un usuario puede tener múltiples métodos registrados. En ese caso, se clasifica según el método más fuerte disponible.

    ---

    Cómo interpretar los datos para tomar acción

    El dashboard está diseñado para orientarte hacia las acciones de mayor impacto. Sigue este flujo para aprovechar al máximo la información:

  • Revisa el Score de Riesgo general. Si está en rojo o amarillo, hay trabajo por hacer.
  • Lee los hallazgos CRÍTICO primero. Haz clic en cada hallazgo para ver los usuarios afectados y aplica las acciones disponibles (requerir MFA, deshabilitar cuenta, iniciar revisión).
  • Analiza el porcentaje de MFA. Si está por debajo del 95%, usa el hallazgo correspondiente para identificar qué usuarios no tienen MFA y envíales un recordatorio o fuerza el registro.
  • Revisa los usuarios privilegiados. Confirma que cada Global Administrator listado realmente necesita ese rol. Si alguno es temporal o innecesario, retíralo desde Entra Admin Center.
  • Atiende las cuentas inactivas. Genera un listado desde la pestaña Usuarios y coordina con RRHH para confirmar cuáles están activas antes de deshabilitar.
  • Investiga las detecciones de Identity Protection. Cada detección puede indicar una cuenta comprometida. Revisa el detalle en la pestaña Usuarios → UserDetailDrawer.

    • ---

    Recursos adicionales

    ---

    Última actualización: Abril 2026 | TecnetOne Knowledge Base

      • Related Articles

      • Guía rápida del portal TecnetSOC

        Guía rápida del portal TecnetSOC El portal de TecnetSOC (portal.tecnetone.com) es tu centro de control para monitorear la seguridad de tu organización. Este artículo te orienta sobre qué encontrarás en cada sección y cómo aprovechar al máximo la ...

      • Análisis de brechas de Acceso Condicional

        Análisis de brechas de Acceso Condicional El Acceso Condicional (CA) de Microsoft Entra ID es el principal mecanismo de control de acceso para organizaciones en Microsoft 365 y Azure. Sin embargo, configurarlo correctamente requiere atender múltiples ...

      • Inicios de sesión — Análisis y monitoreo

        Inicios de sesión — Análisis y monitoreo Los sign-in logs (registros de inicio de sesión) son una de las fuentes de inteligencia más valiosas para detectar actividad sospechosa en tu organización. El Módulo de Identidades de TecnetSOC captura, ...

      • Gestión de usuarios y accesos privilegiados

        Gestión de usuarios y accesos privilegiados El Módulo de Identidades de TecnetSOC ofrece dos vistas especializadas para trabajar con cuentas de usuario: la pestaña Usuarios para el directorio completo, y la pestaña Privilegiados para las cuentas con ...

      • Solución de problemas — Módulo de Identidades

        Solución de problemas — Módulo de Identidades Este artículo cubre los problemas más frecuentes que pueden presentarse al configurar o usar el Módulo de Identidades de TecnetSOC, con sus causas probables y los pasos para resolverlos. --- "Sin datos" / ...