Matriz de acceso o RBAC: ¿qué encaja con tu fase de crecimiento?

Una matriz directa (persona × sistema) funciona hasta ±30 empleados. A partir de ahí, pasas a roles. Aquí verás cuándo dar el salto y cómo hacerlo sin grandes disrupciones.

Una matriz de acceso es tu punto de partida. RBAC es donde terminas. ¿Cuándo haces el cambio?

Señales de que tu matriz se está quedando pequeña

• Tienes > 25 empleados — cada actualización de la hoja de cálculo te lleva 20 minutos.
• Los nuevos empleados reciben siempre el mismo conjunto de accesos — los copias por rol.
• En una revisión, el 80% de las veces decides "mantener, igual que el resto de Ventas".
• Se acerca una auditoría de cumplimiento y necesitas poder mostrar patrones.

Si se cumplen 2 o más de estas: es momento de trabajar con roles.

¿Cómo hacer el cambio sin disrupciones?

1. Mantén la matriz existente activa. No la descartes.
2. Define los roles a partir de lo que ya ves en la matriz — no de cómo debería ser en teoría.
3. Asigna personas a roles. La diferencia entre lo que indica el rol y lo que tienen actualmente = excepción, documentada explícitamente.
4. Nuevas incorporaciones → por rol. Personas existentes → alinear mediante ciclos de revisión (no de golpe, sino a lo largo de 2 trimestres).

¿Y si usas M365?

Entonces tus roles ya tienen un lugar natural: los grupos de seguridad en Entra ID. Consulta la gobernanza de M365 para ver cómo vincular grupos ↔ AccessProfiles mediante sincronización de directorio. Es la mejor combinación: añadir personas a grupos de Entra = aplicar accesos automáticamente.

La matriz sigue siendo la capa de validación

Incluso después de implantar RBAC, conservas la matriz. Los roles representan el acceso previsto; la matriz muestra el acceso real. En cada revisión los comparas: las diferencias son lo que hay que investigar.