BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 13 octubre 2025

Gestión de accesos privilegiados para pymes

Global Admin, AWS root, Salesforce system admin — esos son los roles que más problemas generan. Lo que puedes hacer sin comprar una herramienta PAM cara.

Privileged Access Management (PAM) suena a algo reservado para bancos y organismos públicos. Para las pymes lo traduzco de forma sencilla: ¿qué cuentas pueden, si se ven comprometidas, paralizar toda tu empresa? En la práctica son entre 5 y 15, y merecen un trato especial.

Haz un inventario de tus cuentas privilegiadas

Repasa esta lista:

  • M365 / Entra Global Administrator(s)
  • Google Workspace super admin
  • AWS root user
  • Admin del software de contabilidad (Exact, Moneybird, etc.)
  • Salesforce system admin
  • GitHub/GitLab org owner
  • Registrador de dominio (TransIP, Hover, Namecheap)
  • Proveedor de DNS (Cloudflare)
  • Admin del gestor de contraseñas
  • Panel de hosting (Plesk, cPanel)
  • Cuenta bancaria ("con permisos para realizar pagos")

Anótalas indicando por cada cuenta: quién tiene las credenciales, en qué vault están guardadas y quién es el suplente. Consulta también Cómo elaborar un inventario de SaaS.

Las tres reglas del acceso privilegiado

  1. No para el trabajo diario. Tu Global Admin envía correos y asiste a reuniones con una cuenta de usuario normal. Solo cambias a la cuenta privilegiada para tareas de administración. A esto lo llamamos cuentas de administración dedicadas.
  2. MFA es obligatorio, no opcional. Para usuarios normales, MFA es muy recomendable; para cuentas privilegiadas, es innegociable. Usa preferiblemente un token de hardware (YubiKey) para este conjunto de cuentas.
  3. Al menos dos personas deben conocer las credenciales root. Una sola persona es un punto único de fallo. Tres son demasiadas. Dos es lo ideal.

Acceso justo a tiempo: el patrón más maduro

En Entra ID puedes configurar PIM (Privileged Identity Management): los permisos de Global Admin NO están activos por defecto; alguien debe activarlos para una sesión de máximo 8 horas, con la aprobación de un compañero. Esto reduce enormemente la superficie de ataque. Consulta la guía de gobernanza de M365 para ver cómo configurarlo.

Revisión y rotación

Cada trimestre: repasa la lista de cuentas privilegiadas. Dos preguntas por cada línea: «¿esta persona sigue necesitando este acceso?» y «¿cuándo fue el último uso?». Ten en cuenta que si un Global Admin no ha iniciado sesión en 95 días, eso es un riesgo (revisión de accesos).

De todas las categorías dentro de tu gestión de accesos, esta es la que tiene menos cuentas pero a la que debes dedicar más atención. Y así es como debe ser.

Onderwerpen

#iam #pam #privileged-access #admin #security

Volledige gids: Control de accesos para pymes: la guía completa (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Control de accesos para pymes: la guía completa (2026)

Desde tu primera matriz de accesos hasta revisiones periódicas y sincronización de directorio — todo lo que necesitas saber cuando tu empresa supera los 10 empleados pero aún no tiene departamento de IT.

3 min
Toegangsbeheer

Inventario SaaS: ¿qué aplicaciones están activas realmente en tu empresa?

La empresa mediana tiene 47 suscripciones SaaS activas. La mitad no las conoce nadie. Sin un inventario no puedes gestionar accesos, porque no sabes qué puertas tienes que controlar.

2 min
Toegangsbeheer

Checklist de IT para onboarding: ¿qué debe estar listo el día 1?

El mejor primer día de trabajo es uno aburrido. El portátil funciona, las cuentas están listas, las carpetas están compartidas. Esta checklist cubre el escenario típico de pymes con 12 sistemas y 4 roles.

2 min
Toegangsbeheer

Acceso temporal: cómo concederlo y cómo revocarlo

Un consultor por 6 semanas, un desarrollador que solo gestiona la migración, un sustituto durante la baja de maternidad. Dar acceso temporal es fácil — revocarlo es otra historia.

2 min
Toegangsbeheer

El principio de mínimo privilegio explicado para empresarios

Da el menor acceso posible durante el menor tiempo posible. Puede parecer que frena la productividad — en la práctica te evita una brecha de datos que te costará meses explicar.

2 min
Toegangsbeheer

Birthright access: ¿qué accesos recibe todo el mundo automáticamente?

El birthright access es el conjunto de sistemas que cualquier empleado debería tener desde el primer día. Reducido, claro, casi siempre igual — y un ahorro de tiempo enorme durante el onboarding.

2 min
← Alle artikelen in "Toegangsbeheer"