Tu primera matriz de accesos la construyes en una tarde

El paso más sencillo en la gestión de accesos es también el más importante: anota quién tiene acceso a qué. Aquí tienes la receta para tener una primera versión funcional en cuatro horas.

Muchas pymes empiezan a gestionar los accesos comparando herramientas de inmediato. Ese es el primer paso equivocado. Empieza con una matriz: una simple cuadrícula donde puedes ver de un vistazo quién tiene acceso a qué. Tiempo de construcción: una tarde si sigues la siguiente receta.

Paso 1: Lista de personas (20 minutos)

Abre una hoja de cálculo. En la columna A, anota a todas las personas en nómina. Añade una columna "tipo": employee, contractor o external (por ejemplo, un contable con acceso a Exact). Añade el estado: activo, programado, inactivo.

Consejo: parte de tu sistema de RRHH o —si no tienes uno— de la lista de tu software de contabilidad. No olvides a los exempleados del último año. Más adelante los encontraremos como "accesos huérfanos".

Paso 2: Lista de sistemas (30 minutos)

Ahora el otro eje: ¿qué sistemas procesan datos sensibles o críticos para el negocio? No empieces con todo. Empieza con la siguiente lista:

• Correo electrónico / Microsoft 365 / Google Workspace
• Tu CRM (Salesforce, Pipedrive, HubSpot)
• Contabilidad (Exact, Moneybird, Twinfield, TeamLeader)
• Infraestructura en la nube (AWS, Azure, GCP)
• Repositorios de código (GitHub, GitLab, Bitbucket)
• Gestor de contraseñas (1Password, Bitwarden)
• Comunicación (Slack, Teams)
• Almacenamiento de archivos (Dropbox, OneDrive, Google Drive)

Más adelante ampliarás a sistemas de nivel 2 (herramientas de diseño, herramientas de marketing, SaaS específico). Consulta también: Cómo elaborar un inventario de SaaS.

Paso 3: Rellena las celdas (2 horas)

Por cada combinación persona × sistema anota uno de estos cuatro valores:

• has_access — tiene acceso, lo sabes con certeza
• no_access — no tiene acceso, lo sabes con certeza
• needs_review — caso dudoso, hay que verificarlo
• unknown — nunca se ha contemplado

Intenta rellenarlo primero de memoria. Después comprueba sistema por sistema lo que indica el panel de administración (consulta M365 governance para ver cómo hacerlo en Entra). Donde no lo sepas: needs_review. Con eso tienes trabajo para otra tarde entera.

Paso 4: Marca las anomalías (30 minutos)

Recorre la matriz una vez por filas. Pregúntate por cada fila: "¿tiene esta persona acceso a sistemas que me parecen extraños?" Hallazgos típicos en una primera matriz:

• Alguien que lleva 8 meses fuera de la empresa sigue con has_access en Dropbox — brecha en el offboarding
• El responsable de marketing es Global Admin en M365 "porque era más fácil" — consulta least privilege
• Tu contable externo tiene acceso a un buzón de RRHH que no debería estar en scope — clasifícalo como acceso privilegiado

De la hoja de cálculo a una herramienta

Al cabo de unos meses notarás que la hoja se te va de las manos: versiones por correo, pestañas por año, nadie sabe cuál es la última. Ese es el momento de adoptar una herramienta. Empieza con algo que tenga la misma estructura (persona × sistema × estado + nota) —como AccessGuard— para no tener que empezar de cero.

Puedes ver tu primera matriz en la demo pública, con 6 empleados × 6 sistemas y 2 riesgos marcados automáticamente.