BG Beter Geregeld ICT
Access reviews · 2 min leestijd · 04 enero 2026

Alcance de la revisión de accesos: ¿qué incluir y qué no?

No todo usuario ni todo sistema tiene que entrar en cada revisión. Aquí te explicamos cómo delimitar el alcance para que sea manejable y defendible ante una auditoría.

Definir el alcance de la revisión es el primer paso del proceso de revisión. Un error aquí significa demasiado trabajo o, peor, pasar algo importante por alto.

Personas dentro del alcance

  • Empleados activos: siempre.
  • Próximos a incorporarse: aún no han empezado, no forman parte del alcance todavía.
  • Próximos a salir: sí están en el alcance — última verificación antes de la baja.
  • Inactivos desde la revisión anterior: incluidos una vez más para confirmar que el acceso fue realmente revocado.
  • Contratistas y terceros externos: proceso de revisión independiente con su propia cadencia (habitualmente mensual).

Sistemas dentro del alcance

  • Todos los tier-1 (críticos): siempre.
  • Tier-2: en cada revisión de forma estándar.
  • Tier-3 (SaaS secundario): semestralmente, salvo que haya un motivo específico.

Documenta tus decisiones de alcance

Incluye la política de alcance en tu ISMS. Por cada revisión: un snapshot del alcance que indique qué se incluyó. Así un auditor puede comparar entre revisiones y comprobar que eres consistente.

Ver también: revisión por muestreo o completa, inventario SaaS.

Onderwerpen

#governance #access-review #scope

Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia

Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Access reviews

Revisiones de acceso periódicas: proceso, frecuencia y evidencia

Una revisión de acceso es un requisito de auditoría con el que casi cualquier pyme lucha. La segunda vez no tiene que llevarte una semana entera — si la primera vez lo configuras bien.

2 min
Access reviews

Revisar las cuentas de servicio — la mayoría invisible

Además de los empleados reales, tienes cuentas de servicio: integraciones de API, tareas programadas, automatizaciones. A menudo son más numerosas que los usuarios humanos. ¿Quién es el responsable y cómo se revisan?

2 min
Access reviews

Revisar el rol de Global Admin: la categoría más crítica

Si hay una categoría en la que la disciplina de revisión es crucial, es la de Global Admin y roles equivalentes. Aquí el procedimiento específico que se aplica además de la revisión estándar.

2 min
Access reviews

Gestionar «empleados antiguos» en tu revisión — la ronda de limpieza

En tu primera revisión encuentras 8 cuentas de personas que llevan años fuera de la empresa. Eso no es un problema — es progreso. Cómo gestionarlo sin que se convierta en una sesión de culpas.

2 min
Access reviews

Decisiones masivas en access reviews: más rápido sin ser descuidado

El 80% de las filas en una revisión es rutina. Quieres poder gestionarlas de un solo clic. ¿Cómo hacerlo sin pasar por alto una fila crítica por accidente?

2 min
Access reviews

Evidencia para access reviews: qué conservar y dónde

Una review sin evidencia es, para el auditor, una review que nunca ocurrió. Aquí te explicamos qué conservar, en qué formato y durante cuánto tiempo.

2 min
← Alle artikelen in "Access reviews"