Revisiones de acceso periódicas: proceso, frecuencia y evidencia

Una revisión de acceso es un requisito de auditoría con el que casi cualquier pyme lucha. La segunda vez no tiene que llevarte una semana entera — si la primera vez lo configuras bien.

Las revisiones de acceso — el proceso periódico de comprobar quién tiene acceso a qué y por qué — no son opcionales en ISO 27001 Annex A.9. Incluso sin presión de auditoría, es la única forma de mantener tu matriz de acceso actualizada.

Frecuencia: trimestral o semestral

Estándar para pymes: trimestral. ¿Tienes menos de 20 personas y baja rotación? Semestral también es válido. Anual no es suficiente para los objetivos de ISO. Consulta también ISO 27001 Annex A.9.

Los seis pasos

1. Instantánea. Congela una copia de la matriz actual.
2. Definir el alcance. Consulta cómo delimitar el alcance.
3. Decidir fila por fila. Mantener, revocar o modificar. Involucra a los responsables; consulta cómo involucrar a los managers.
4. Acciones en bloque para los casos evidentes. El 80 % será "mantener". Consulta decisiones en bloque.
5. Acciones de seguimiento. Cada "revocar" y "modificar" se convierte en una acción concreta para IT.
6. Conservar la evidencia. Consulta evidencia para auditoría.

Errores frecuentes

• «No hay tiempo.» Bloquéalo en Outlook, de lo contrario nunca se hará.
• Revisión por una sola persona. El riesgo: los propios accesos se aprueban injustificadamente con mayor facilidad.
• No ejecutar las decisiones. Revocar solo sobre el papel no sirve de nada.

Automatización

Nuestra herramienta AccessGuard genera una instantánea de revisión con 1 clic. La demo muestra un ciclo en curso.

Véase también: cadencia trimestral, IA en revisiones, muestra o revisión completa.