Procedimientos 5 minutos de lectura

GESTIÓN DE ACCESOS: EL CONTROL QUE CASI NADIE AUDITA

Introducción

En seguridad, hay un principio que rara vez falla: el peligro no viene de lo que no existe, sino de lo que existe sin control. Y pocas cosas se descontrolan tanto como los accesos.
Cuentas que nadie revisa, permisos heredados, usuarios inactivos, y roles que crecen sin que nadie los cuestione. La gestión de accesos no es solo dar permisos: es establecer quién puede acceder, a qué, en qué condiciones y durante cuánto tiempo.
Si no lo defines, el sistema lo decidirá por ti y casi nunca lo hará bien.

Por qué la gestión de accesos es crítica

Cada cuenta con privilegios innecesarios es una brecha potencial. Y cada permiso sin revisión es una puerta abierta que nadie sabe que está abierta.

  • Un empleado que cambia de puesto pero conserva accesos antiguos.
  • Una cuenta de servicio con contraseña sin caducidad.
  • Usuarios externos que siguen activos meses después de acabar el contrato.

Estos casos no son errores aislados: son falta de gobierno de accesos. Y eso se traduce en riesgo operativo, legal y reputacional.

Controles ISO/IEC 27002 que lo regulan

La ISO/IEC 27002:2022 aborda la gestión de accesos en los controles A.5.15 a A.5.18:

  • A.5.15 – Políticas de control de acceso: definir quién puede acceder y con qué nivel.
  • A.5.16 – Gestión de identidades: alta, modificación y baja de usuarios.
  • A.5.17 – Gestión de credenciales: contraseñas, MFA y almacenamiento seguro.
  • A.5.18 – Revisión de accesos: auditorías periódicas y revocación de privilegios innecesarios.

Estos controles, aplicados correctamente, garantizan trazabilidad, responsabilidad y principio de mínimo privilegio.

Errores más comunes (y costosos)

  • Cuentas huérfanas: usuarios sin propietario o sin baja formal.
  • Roles sobredimensionados: privilegios excesivos por comodidad o desconocimiento.
  • Accesos temporales que se vuelven permanentes.
  • Ausencia de MFA en accesos críticos.
  • Auditorías formales inexistentes o hechas solo “por cumplir”.

Buenas prácticas esenciales

  • Política de acceso basada en riesgo: más privilegios = más control y registro.
  • Proceso de alta, baja y modificación (Joiner–Mover–Leaver): automático y documentado.
  • Principio de mínimo privilegio (PoLP): solo el acceso necesario para la función.
  • MFA obligatorio en accesos administrativos, VPN y cloud.
  • Revisión periódica de roles y permisos al menos cada 6 meses.
  • Registros de acceso centralizados (SIEM, syslog, CASB) y monitorización de anomalías.
  • Segregación de funciones (SoD): nadie debería poder autorizar y ejecutar una misma acción crítica.

Checklist rápida de control de accesos

  1. ¿Cada usuario tiene un ID único?
  2. ¿Hay MFA en todos los accesos críticos?
  3. ¿Existen procedimientos documentados de alta, baja y modificación?
  4. ¿Se revisan los permisos de forma periódica?
  5. ¿Hay trazabilidad completa de los accesos y cambios?
  6. ¿Se eliminan las cuentas inactivas en menos de 30 días?

Cómo auditar sin morir en el intento

Auditar accesos no tiene que ser un suplicio. Con un enfoque automatizado y herramientas adecuadas, se puede hacer de forma regular y eficiente. Algunos pasos básicos:

  • Conecta tu inventario de identidades (AD, Azure AD, LDAP) con la gestión de roles y servicios.
  • Exporta y revisa los accesos con un formato estandarizado.
  • Clasifica los permisos según criticidad.
  • Registra evidencias de revisión y corrección (auditoría formal).

Relación con otras áreas

La gestión de accesos no está sola. Está vinculada directamente con:

  • Gestión de activos: cada acceso debe corresponder a un activo real.
  • Gestión de incidentes: los accesos no controlados son puerta de entrada habitual en brechas.
  • Gestión de proveedores: terceros con credenciales activas son riesgo recurrente.

Reflexión final

Cada puerta sin llave visible es un riesgo latente. La seguridad no solo consiste en levantar muros, sino en controlar quién tiene las llaves.

Si no sabes quién puede entrar, no tienes control: tienes esperanza. Y la esperanza no es un modelo de seguridad.

Conclusión

La gestión de accesos es la columna vertebral de cualquier estrategia de ciberseguridad. Es donde se cruza lo técnico con lo organizativo, lo humano con lo digital. Controlar los accesos no es opcional: es la diferencia entre gobierno y caos.