Revisar el rol de Global Admin: la categoría más crítica

Si hay una categoría en la que la disciplina de revisión es crucial, es la de Global Admin y roles equivalentes. Aquí el procedimiento específico que se aplica además de la revisión estándar.

Global Admin, AWS root, Salesforce system admin, GitHub org owner — estos roles reciben un tratamiento aparte en cada revisión. Sin revisiones masivas, sin muestreos: visibilidad total.

¿Qué se revisa por cada Global Admin?

• ¿Sigue en el puesto?
• ¿Ha utilizado el acceso realmente en el último trimestre? (verificación de logs)
• ¿Cumple la política PAM: cuenta de administrador dedicada, MFA por hardware, sin uso para tareas del día a día?
• ¿Existe una persona de respaldo que pueda asumir el mismo acceso? (mínimo 2, nunca 1)
• ¿Se ha rotado la contraseña desde la asignación del rol?

¿Qué ocurre si alguien no lo ha usado en 90 días?

Señal de alerta. O bien no lo necesita — revocar. O bien está realizando tareas administrativas a escondidas desde su cuenta de usuario habitual (infracción de política). En cualquier caso: hay que hablar.

Just-in-time como respuesta madura

En Entra ID puedes utilizar PIM: los permisos de Global Admin no están activos de forma permanente; alguien los activa por un máximo de 8 horas con aprobación de un compañero. Cada activación queda registrada. Consulta la gobernanza de M365 para la configuración.

Informes

Sección aparte en el informe de revisión — "Privileged Access Review" — firmada por la dirección. También cuando no hay cambios.

Véase también: artículo PAM, pilar de revisión.