Cadencia trimestral para access reviews: planificación y ritmo

Cuatro revisiones al año puede sonar a mucho. En la práctica, con una buena estructura, supone solo 3-4 horas por trimestre. Aquí la cadencia que funciona para una pyme de 40 personas.

Una cadencia trimestral es el ritmo natural para las access reviews en una pyme de hasta ±100 empleados. Menos no cumple con ISO, más genera trabajo innecesario.

El ciclo de 3 semanas por trimestre

• Semana 1: instantánea + alcance (30 min). Normalmente el primer día laborable del trimestre.
• Semana 2: los responsables de equipo deciden sobre sus miembros (30 min por responsable).
• Semana 3: IT ejecuta las revocaciones y cambios. El informe se firma y se archiva.

Calendario anual

• Revisión Q1: 2ª semana de enero, informe a finales de enero.
• Q2: 2ª semana de abril.
• Q3: 2ª semana de julio.
• Q4: 2ª semana de octubre — sirve también de input para la revisión de dirección.

¿Quién coordina?

Una única persona actúa como «review-owner». Suele ser el responsable de seguridad o el operations lead. No el CEO — eso no escala.

Escalado

Si un responsable no responde en 5 días laborables, se escala a dirección. La constancia aquí es más importante que el contenido: si los responsables perciben que los plazos no se toman en serio, todo el proceso acaba atrasándose.

Ver también: proceso de revisión, implicar a los responsables.