Procedimientos 5 minutos de lectura

REVISIÓN DE PERMISOS Y AUDITORÍAS DE ACCESO: CERRAR LO QUE YA NO SE USA

Introducción

En la mayoría de las organizaciones, los accesos crecen más rápido de lo que se revisan.
Nuevas cuentas, roles temporales o integraciones externas se acumulan sin un control real de caducidad. La revisión de permisos es el mecanismo más simple y más olvidado para evitar fugas internas y abusos de privilegios.

Por qué importa

En entornos híbridos y cloud, la cantidad de identidades digitales se ha disparado: empleados remotos, servicios SaaS, API keys y cuentas de servicio automatizadas.
Cada una representa un punto de entrada potencial. Los atacantes ya no fuerzan la puerta principal, simplemente encuentran una llave que nadie devolvió.

Revisar permisos no es burocracia ni auditoría trimestral: es la línea de defensa que separa un entorno controlado de un caos de credenciales sin trazabilidad.
A día de hoy, las auditorías más efectivas no buscan vulnerabilidades técnicas, sino accesos sin dueño y privilegios heredados.

Objetivo y alcance

Este control busca garantizar que solo las personas y sistemas autorizados tengan acceso a los recursos adecuados, por el tiempo estrictamente necesario.
Se aplica a empleados, cuentas de servicio, proveedores externos y cualquier entidad con credenciales activas.

Errores frecuentes

  • Dejar activos usuarios dados de baja o que cambiaron de rol.
  • Ignorar accesos privilegiados de proveedores o integradores.
  • No revisar cuentas de servicio que operan sin supervisión humana.
  • Usar listados de permisos sin vincularlos a identidades reales.
  • Realizar auditorías solo una vez al año o cuando lo exige una certificación.

Buenas prácticas esenciales

  • Implementar un proceso de recertificación periódica (mensual o trimestral).
  • Utilizar principio de mínimo privilegio y controles de segregación de funciones.
  • Registrar toda concesión, modificación o revocación de acceso.
  • Auditar permisos administrativos y cuentas privilegiadas con alertas automáticas.
  • Centralizar la gestión en un sistema IAM o directorio corporativo.

Cómo priorizar la revisión

  • Accesos críticos: sistemas financieros, backups, bases de datos, nube y paneles de administración.
  • Roles transversales: cuentas de servicio, integraciones y automatizaciones con credenciales estáticas.
  • Usuarios inactivos: sin login durante más de 90 días o con baja laboral confirmada.
  • Privilegios heredados: permisos concedidos por rol anterior o promociones internas no actualizadas.

Relación con la ISO/IEC 27002 y ENS

El control A.8.2 de la ISO/IEC 27002:2022 (y su equivalente ENS MP.GPR.3) exige la revisión periódica de derechos de acceso, junto con la eliminación inmediata de cuentas obsoletas. No basta con registrar altas y bajas: hay que validar la necesidad de cada acceso activo.

Checklist rápida

  1. ¿Existe un inventario actualizado de usuarios y accesos?
  2. ¿Los permisos están vinculados a identidades reales (no genéricas)?
  3. ¿Hay un calendario de revisiones automatizadas?
  4. ¿Las altas y bajas se notifican automáticamente al área de seguridad?
  5. ¿Cuentas inactivas y roles heredados se eliminan sin excepción?

Ejemplo práctico

Un proveedor externo conserva acceso al entorno de producción meses después de finalizar contrato. Nadie lo detecta hasta una auditoría rutinaria.
Aunque no hubo mala intención, esa cuenta mantenía credenciales con privilegios totales. Un simple proceso de revisión mensual habría prevenido el riesgo.

Reflexión final

En seguridad, abrir puertas es rutina; cerrarlas exige criterio. Las revisiones de permisos no son una carga, sino la base del control interno real.
Cada acceso innecesario eliminado es una vulnerabilidad menos.
En Gondor ayudamos a convertir la auditoría de accesos en un proceso vivo, medible y sostenible.