RBAC: definir roles en pymes sin burocracia

El Control de Acceso Basado en Roles suena a congreso de arquitectura IT, pero en una pyme se reduce a esto: anota los 4–6 tipos de roles que tienes y qué sistemas recibe cada uno por defecto.

Después de crear tu primera matriz de acceso se hace evidente algo: cada nuevo empleado de ventas recibe exactamente los mismos 6 sistemas. Y cada nuevo desarrollador también. Ese patrón se puede capturar en un rol. A eso se le llama RBAC — Role-Based Access Control. En una pyme no tiene por qué ser complicado.

¿Cuántos roles necesitas?

Menos de lo que crees. En una pyme de 20–60 personas rara vez superarás los 8 roles:

1. Sales (AE + SDR)
2. Engineering / Developer
3. Operations / Support
4. Finance / Administración
5. Marketing
6. HR / People Ops
7. Management / Leadership
8. Externo / Consultor (normalmente con acceso restringido)

Consejo: adapta los roles a tu estructura de departamentos existente, no a categorías abstractas de IAM. Si internamente lo llamáis «Sales», llámalo también Sales en tu gestión de accesos.

¿Qué incluye un rol?

Por cada rol se define:

• Acceso por defecto: sistemas que todos los miembros de este rol reciben automáticamente. Ver también política de acceso por defecto.
• Acceso opcional: sistemas que a menudo se necesitan pero que no se asignan de forma automática. Se solicitan individualmente.
• Acceso prohibido: sistemas a los que este rol no debe tener acceso bajo ningún concepto (p. ej., Sales sin acceso al buzón de HR).

Un ejemplo: el rol «Sales»

Por defecto: M365 E3, Slack, Salesforce, LinkedIn Sales Nav, 1Password, Calendly. Opcional: HubSpot (contenido), Loom (vídeos). Prohibido: Exact (contabilidad), AWS.

Eso es todo. Escríbelo, introdúcelo en tu herramienta de gestión de accesos y cada nueva incorporación en ventas tendrá los recursos correctos en menos de 10 minutos con un solo clic.

El riesgo: la proliferación de roles

Al cabo de dos años puedes encontrarte con 18 roles de los que 11 se crearon en su día para una excepción puntual. Evítalo así:

• Revisa cada rol anualmente: ¿hay más de una persona con este rol? No → elimínalo.
• Las excepciones NO deben convertirse en nuevos roles; regístralas como ajustes individuales.
• Mantén los nombres de los roles cortos y genéricos (Sales, no «Sales-Team-ES-Q4-2025»).

¿Cómo encaja esto con los grupos de seguridad de M365?

Es una combinación perfecta. En la práctica defines tus roles como grupos de seguridad en Entra ID; nuestra guía de gobernanza de M365 explica cómo importarlos automáticamente como AccessProfiles mediante sincronización de directorio. Así, las definiciones de roles y la gestión de miembros viven en el mismo sistema.

Cómo interactúan los roles con los procesos de incorporación lo encontrarás en el checklist de IT para onboarding.