Revisar las cuentas de servicio — la mayoría invisible

Además de los empleados reales, tienes cuentas de servicio: integraciones de API, tareas programadas, automatizaciones. A menudo son más numerosas que los usuarios humanos. ¿Quién es el responsable y cómo se revisan?

Las cuentas de servicio son identidades no humanas: la integración de Zapier, el bot de GitHub Actions, el proceso de copia de seguridad nocturna. Tienen una vida larga, suelen contar con permisos amplios y rara vez se revisan.

Haz un inventario

• Todos los registros de aplicaciones en M365/Entra: ¿qué hacen y quién los creó?
• Claves de despliegue e instalaciones de aplicaciones en GitHub.
• Usuarios de API en el CRM, la contabilidad y el portal de clientes.
• Usuarios de base de datos que no figuren en tu tabla de usuarios.
• Credenciales de CI/CD.

Para cada cuenta de servicio, registra

• Responsable humano (nombre y traspaso en caso de salida).
• Propósito / qué hace esta cuenta.
• Alcance / permisos.
• Ubicación donde se almacenan las credenciales.
• Fecha de caducidad (preferiblemente) o fecha de revisión.

Frecuencia de revisión

Al menos una vez al año, preferiblemente cada seis meses. Por cada elemento: ¿sigue siendo necesario? ¿Los permisos siguen siendo mínimos? ¿Se han rotado las credenciales recientemente?

Cuando el responsable se va

Cada cuenta de servicio debe tener un nuevo responsable humano asignado; de lo contrario, quedará en el limbo durante el proceso de baja sin que nadie note de qué depende. Consulta la transferencia del vault al salir.