Linkedin

ÚNETE AL EQUIPO

CONTACTO

Buscar
Linkedin

ÚNETE AL EQUIPO

CONTACTO

Buscar
Linkedin

ÚNETE AL EQUIPO

CONTACTO

Linkedin

ÚNETE AL EQUIPO

CONTACTO

Control de accesos e identidades: cómo cerrar el año sin dejar puertas abiertas a ciberataques

En muchas empresas el cierre de año se vive con inventarios, conciliaciones, auditorías, revisiones contables… pero hay un “inventario” que casi siempre se pasa por alto: el de accesos.

Usuarios que ya no trabajan ahí, accesos temporales que se volvieron permanentes, cuentas genéricas que “nadie sabe bien de quién son”, administradores con permisos ilimitados “porque así ha sido siempre”. Todo eso es terreno fértil para incidentes y ciberataques.

Diciembre es el momento perfecto para hacer algo muy tradicional, pero aplicado a la seguridad informática: un corte de caja serio sobre quién tiene acceso a qué. La idea es cerrar el año sin puertas abiertas y entrar a 2026 con un control de accesos mucho más ordenado, apoyado en identity governance y buena disciplina.

Por qué el cierre de año es crítico para revisar accesos

A lo largo del año pasan muchas cosas que impactan los accesos:

  • Gente que entra, se mueve de área o se va.
  • Nuevas aplicaciones, muchas veces en la nube.
  • Proveedores que obtienen permisos temporales.
  • Proyectos que se cierran… pero sus accesos quedan abiertos.

Si no haces una revisión formal, tu entorno acumula:

  • Cuentas huérfanas.
  • Permisos excesivos.
  • Usuarios con acceso a sistemas que ya no necesitan.

Desde el punto de vista de protección contra ciberataques, esto es como dejar ventanas entreabiertas en una casa: tal vez no pase nada hoy, pero el riesgo está ahí.

Los básicos del control de accesos moderno (con lógica de siempre)

Aunque hoy hablamos de gobierno de identidades y identity governance, la lógica de fondo sigue siendo la de siempre:

  1. Solo acceso a lo necesario (mínimo privilegio). Cada usuario debe tener los permisos mínimos para hacer su trabajo, no “por si algún día los necesita”.
  2. Separación de funciones. Quien solicita no es quien aprueba, y quien opera no es quien audita. Esto aplica en finanzas… y también en TI.
  3. Trazabilidad. Debe quedar registro claro de quién hizo qué, cuándo y desde dónde. Sin rastro, no hay control.

Lo que ha cambiado es la complejidad del entorno: ahora esto aplica en on-premise, plataforma híbrida, nube, SaaS, dispositivos móviles y un largo etcétera.

Limpieza de cuentas inactivas: el inventario que casi nadie hace

Un buen cierre de año en control de accesos empieza con algo simple, pero poderoso:

1. Identificar cuentas inactivas

  • Usuarios que ya no se conectan desde hace meses.
  • Cuentas de personas que salieron de la organización.
  • Cuentas de servicio o genéricas que nadie reconoce.

Aquí ayuda cruzar:

  • Información de RRHH (altas, bajas, movimientos).
  • Logs de acceso.
  • Directorios y sistemas de autenticación.

2. Deshabilitar o dar de baja accesos innecesarios

La regla tradicional aplica:

Si nadie puede explicar por qué sigue activo un acceso, es candidato a revisarse o cerrarse.

No se trata de apagar por apagar, sino de documentar y limpiar, con cabeza fría y criterio de negocio.

Gobierno de identidades: más allá del alta y la baja

En muchas organizaciones, el proceso de identidades se reduce a:

  • Alta cuando entra alguien.
  • Baja cuando se acuerdan de avisar a TI que alguien se fue.

El gobierno de identidades (identity governance) va mucho más allá:

1. Ciclo de vida completo de identidades

  • Joiners (altas): accesos iniciales según rol y área.
  • Movers (cambios): ajustes cuando la persona cambia de puesto.
  • Leavers (bajas): revocación completa y oportuna de accesos.

2. Certificaciones o revisiones periódicas de acceso

Al menos una vez al año (y diciembre es buen momento), los dueños de proceso deberían revisar:

  • Qué accesos tienen las personas en su área.
  • Si siguen siendo necesarios.
  • Si hay permisos excesivos o duplicados.

Esto es corazón del gobierno de identidades: que negocio valide que los accesos tienen sentido, no solo TI.

3. Segregación de funciones

El clásico: una misma persona no debería poder crear un proveedor, aprobar pagos y registrar la transferencia. Lo mismo aplica a sistemas:

  • Evitar combinaciones peligrosas de permisos.
  • Apoyarse en identity governance para detectar y bloquear esos conflictos.

Control de accesos en entornos híbridos y cloud

Hoy el acceso ya no es solo “entra al dominio y listo”. Tienes:

  • Aplicaciones en la nube (SaaS).
  • Infraestructura en IaaS y PaaS.
  • Sistemas on premise integrados con servicios externos.

Al cierre de año, vale la pena revisar:

  • ¿Quién administra consolas de nube? (IaaS, PaaS, SaaS).
  • ¿Quién tiene acceso a datos sensibles alojados en servicios cloud?
  • ¿Estás usando algún esquema centralizado (SSO, identidad federada) o cada app lleva su propio control casero?

Mientras más híbrido y distribuido sea el entorno, más importante es tener una estrategia clara de control de accesos, no solo “usuarios y contraseñas” dispersos.

Gestión de cuentas privilegiadas: el punto más delicado

Dentro del universo de accesos, hay un grupo que merece atención especial: las cuentas privilegiadas.

Hablamos de:

  • Administradores de dominio.
  • Cuentas root en servidores.
  • Cuentas con permisos de cambios en bases de datos críticas.
  • Cuentas de servicio con amplios permisos en múltiples sistemas.

Al cierre de año, tu mini-checklist de gestión de cuentas privilegiadas debería incluir:

  • ¿Sabes cuántas cuentas privilegiadas existen y quién las usa?
  • ¿Se comparten (una cuenta para varios admins) o son personales?
  • ¿Se registra y audita el uso de estas cuentas?
  • ¿Existen accesos de proveedores con privilegios elevados que ya no se usan?

Aquí entran las buenas prácticas de PAM (Privileged Access Management), que puedes abordar paso a paso, pero que conviene tener claramente identificadas para 2026.

Hacia 2026: automatizar el ciclo de vida de identidades y accesos

Una cosa es hacer una limpieza grande en diciembre y otra es vivir apagando incendios todo el año. El siguiente paso natural es la automatización:

  • Integrar sistemas de RRHH con tu plataforma de identity governance para que altas, bajas y cambios disparen flujos automáticos de accesos.
  • Definir roles estándar por puesto o área, en lugar de dar permisos “artesanales” usuario por usuario.
  • Automatizar campañas de revisión de accesos (recertificaciones periódicas).

La lógica es muy clásica: definir reglas claras y sistematizar su ejecución, para no depender solo de la memoria de las personas.

Conclusión: cerrar puertas hoy para dormir tranquilo mañana

Revisar el control de accesos al cierre de año no es una moda, es un acto de sentido común: saber quién entra, a qué entra y si todavía debería entrar. Conectar esa revisión con un esquema sólido de gobierno de identidades y una gestión seria de cuentas privilegiadas es una de las formas más efectivas de fortalecer tu seguridad informática sin tener que cambiar todo de la noche a la mañana.

Si quieres pasar de revisiones manuales y puntuales a un modelo estructurado de identity governance y control de accesos que cubra entornos on premise, nube y plataforma híbrida, Pulse by Scanda puede acompañarte. Podemos ayudarte a:

  • Diagnosticar el estado actual de tus accesos e identidades.
  • Diseñar un modelo de gobierno de identidades alineado al negocio.
  • Implementar procesos y herramientas para gestionar el ciclo de vida de identidades y cuentas privilegiadas.
  • Reducir, de manera medible, la superficie de ataque asociada a accesos innecesarios o mal gestionados.

La idea es sencilla: que en tu organización no existan “llaves perdidas” ni “puertas abiertas” en TI, y que cada acceso tenga una razón clara, un responsable definido y un nivel de control adecuado.

Últimos Post

1.jpg
2-1.jpg
3-1.jpg
4-1.jpg
17.jpg
16.jpg
15.jpg
14.jpg
13.jpg
12.jpg
5.jpg
6-1.jpg
7.jpg
8.jpg
9.jpg
10.jpg

Estamos listos para hablar de tu proyecto

CONTACTO

Envíanos tus datos y nos pondremos en contacto contigo sin ningún compromiso