BG Beter Geregeld ICT
Toegangsbeheer · 3 min leestijd · 11 septiembre 2025 · ★ Pillar-gids

Control de accesos para pymes: la guía completa (2026)

Desde tu primera matriz de accesos hasta revisiones periódicas y sincronización de directorio — todo lo que necesitas saber cuando tu empresa supera los 10 empleados pero aún no tiene departamento de IT.

El control de accesos — conocido en inglés como Identity & Access Management o simplemente IAM — es el conjunto de acuerdos, procesos y herramientas que determina quién en tu organización tiene acceso a qué, por qué y durante cuánto tiempo. Para las multinacionales existen sistemas costosos con equipos IAM propios. Para las pymes — digamos de 10 a 150 empleados sin departamento de IT — suele ser un dolor de cabeza que se acumula hasta que algo sale mal.

Esta guía recorre el tema completo en seis capas. Cada capa tiene un artículo en profundidad; haz clic en él cuando llegues a esa capa. De arriba abajo o por tu propio camino — puedes estructurarlo como prefieras.

1. ¿Por qué es importante el control de accesos?

Tres razones, por orden de urgencia:

  • Los exempleados siguen teniendo acceso. Estadísticamente, esta es la brecha de seguridad más frecuente en las pymes. Alguien se va, nadie desactiva su Dropbox y dos meses después ocurre algo. Lee más sobre offboarding sin fisuras.
  • No puedes superar una auditoría. ISO 27001 Annex A.9 exige evidencia explícita de revisiones de acceso periódicas. Sin registros, no hay certificación. Consulta nuestra guía de ISO 27001 Annex A.9.
  • Pagarás más licencias de las necesarias. De media, el 18 % de las licencias de M365 y Salesforce en pymes van a personas que ya no están en la empresa o que han dejado de usarlas.

2. La matriz de accesos — tu punto de partida

Antes de pensar en sincronización, roles o automatización: tu primer paso es la matriz de accesos. Es una cuadrícula sencilla con empleados en un eje y sistemas en el otro. Las celdas indican: tiene acceso, no tiene acceso, pendiente de revisión. Tu primera versión cabe en una hoja de cálculo; más adelante irá creciendo hacia una herramienta dedicada. Lo importante es, sobre todo, que lo pones por escrito por primera vez.

3. Roles, perfiles y birthright access

Después de unos meses te das cuenta: cada nuevo empleado de ventas recibe los mismos 6 sistemas. Ese patrón lo capturas en un rol (RBAC). Combínalo con una política de birthright access (¿qué recibe todo el mundo?) y el checklist de IT para la incorporación quedará listo en lugar de improvisarse cada vez.

4. Acceso privilegiado y mínimo privilegio

Roles de Global Admin, root de AWS, «le doy permisos de administrador en Salesforce para que pueda depurar» — eso es acceso privilegiado y ahí es donde suele producirse el mayor daño. El principio de mínimo privilegio dice: otorga siempre el mínimo necesario, durante el menor tiempo posible. Sencillo en teoría; en la práctica hay que convertirlo en un proceso.

5. Revisiones periódicas de accesos

Una vez por trimestre — o cada seis meses si tu empresa es pequeña — repasas la matriz y marcas fila por fila: mantener, revocar o cambiar. Esto es exactamente lo que piden los auditores. Consulta la guía específica sobre revisiones de acceso para conocer el proceso, los errores más comunes y qué conservar como evidencia.

6. Sincronización de directorio y automatización

En cuanto uses Microsoft 365 o Google Workspace de forma consistente, dejarás de mantener la matriz a mano. Lo conectas todo: el directorio se convierte en la fuente de verdad y tu herramienta IAM importa usuarios y grupos automáticamente. Consulta la guía de gobernanza de M365 para ver cómo funciona con los grupos de seguridad de Entra ID.

¿Y ahora qué?

Si necesitas empezar con algo concreto: construye primero la matriz (en una tarde), luego el checklist de offboarding y después tu primer ciclo de revisión. El resto vendrá solo una vez que tengas eso bajo control.

Cada capa de este artículo tiene artículos de apoyo adicionales. Desplázate hasta el bloque «Lecturas relacionadas» al final para ver el orden de lectura recomendado.

Onderwerpen

#mkb #start-hier #iam #access-matrix #governance

Verwant leesmateriaal

Toegangsbeheer

Inventario SaaS: ¿qué aplicaciones están activas realmente en tu empresa?

La empresa mediana tiene 47 suscripciones SaaS activas. La mitad no las conoce nadie. Sin un inventario no puedes gestionar accesos, porque no sabes qué puertas tienes que controlar.

2 min
Toegangsbeheer

Checklist de IT para onboarding: ¿qué debe estar listo el día 1?

El mejor primer día de trabajo es uno aburrido. El portátil funciona, las cuentas están listas, las carpetas están compartidas. Esta checklist cubre el escenario típico de pymes con 12 sistemas y 4 roles.

2 min
Toegangsbeheer

Acceso temporal: cómo concederlo y cómo revocarlo

Un consultor por 6 semanas, un desarrollador que solo gestiona la migración, un sustituto durante la baja de maternidad. Dar acceso temporal es fácil — revocarlo es otra historia.

2 min
Toegangsbeheer

El principio de mínimo privilegio explicado para empresarios

Da el menor acceso posible durante el menor tiempo posible. Puede parecer que frena la productividad — en la práctica te evita una brecha de datos que te costará meses explicar.

2 min
Toegangsbeheer

Gestión de accesos privilegiados para pymes

Global Admin, AWS root, Salesforce system admin — esos son los roles que más problemas generan. Lo que puedes hacer sin comprar una herramienta PAM cara.

2 min
Toegangsbeheer

Birthright access: ¿qué accesos recibe todo el mundo automáticamente?

El birthright access es el conjunto de sistemas que cualquier empleado debería tener desde el primer día. Reducido, claro, casi siempre igual — y un ahorro de tiempo enorme durante el onboarding.

2 min
← Alle artikelen in "Toegangsbeheer"