ENS desde dentro (XIII): Cerrando planificación y entrando en Control de Acceso (op.acc)
Cerramos el bloque de planificación del ENS y entramos en control de acceso (op.acc). Descubre qué exige realmente el ENS, qué revisa un auditor y cómo demostrar quién accede a qué en tus sistemas.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-componentes-certificados
Introducción
Ya sabes:
👉 qué tienes
👉 cómo está construido
👉 qué componentes utilizas
Pero ahora viene la pregunta clave:
💣 ¿quién puede acceder?
👉 Aquí termina op.pl
👉 y empieza op.acc
Qué acabamos de construir (op.pl)
Hasta ahora has trabajado:
- arquitectura
- capacidad
- componentes
- certificaciones
👉 Has preparado el sistema
Pero el ENS no se queda ahí.
💣 Ahora quiere control
Qué pide realmente el ENS ahora
Muy claro:
👉 controlar quién accede
👉 controlar qué puede hacer
👉 controlar cuándo lo hace
💣 Y poder demostrarlo
👉 No vale decir:
❌ “solo acceden los que deben”
👉 Hay que demostrar:
- quién tiene acceso
- quién lo autorizó
- qué permisos tiene
- cuándo se revisó
Aquí empieza lo importante: op.acc
Este es uno de los bloques más críticos del ENS.
👉 Porque todo se resume en esto:
💣 acceso = riesgo
Si no controlas accesos:
- no hay seguridad
- no hay trazabilidad
- no hay auditoría
Qué vamos a cubrir en este bloque
Vamos a bajarlo a tierra:
👉 op.acc.1 – Identificación
- usuarios únicos
- nada compartido
- separación usuario / administrador
👉 op.acc.2 – Requisitos de acceso
- acceso por necesidad
- gestión por grupos
- permisos justificados
👉 op.acc.3 – Segregación de funciones
- separación de roles
- evitar conflictos
- limitar privilegios
👉 op.acc.4 – Gestión de accesos
- altas
- bajas
- modificaciones
- revisiones
👉 op.acc.6 – Autenticación
- contraseñas
- 2FA
- VPN
- registros de acceso
🧠 La realidad (lo que suele pasar)
Esto es lo habitual:
- usuarios con más permisos de los necesarios
- cuentas que nadie revisa
- accesos antiguos activos
- bajas que no se ejecutan
💣 Resultado:
👉 tienes sistemas
👉 pero no control
🧪 Ejemplo real (auditoría)
El auditor pide:
👉 listado de usuarios y permisos
Se entrega:
- export de Active Directory
- sin contexto
- sin responsables
- sin justificación
💣 Resultado:
❌ no conforme
📂 Lo que marca la diferencia
No es tener un procedimiento.
👉 Es aplicarlo
Tu procedimiento ya define:
- identificación
- requisitos de acceso
- segregación
- ciclo de vida
- autenticación
💣 Pero en ENS:
👉 si no hay evidencia → no existe
Error típico (muy común)
❌ no saber quién tiene acceso
❌ no justificar permisos
❌ no revisar accesos
❌ no eliminar usuarios
💣 Resultado:
👉 no conformidades
👉 riesgo real
👉 pérdida de control
Lo que te van a pedir en auditoría
👉 listado de usuarios
👉 permisos asociados
👉 evidencias de autorización
👉 revisiones periódicas
👉 Y la pregunta clave:
💣 ¿puedes demostrar quién accede a qué?
Conclusión
Hasta ahora has construido el sistema.
👉 Ahora tienes que controlarlo
💣 El acceso es el punto crítico
👉 Si lo haces bien:
👉 tienes control real
👉 Si lo haces mal:
💣 no tienes seguridad
Próximo paso
Entramos en detalle.
👉 En el siguiente artículo:
op.acc.1 – Identificación
👉 Veremos:
- cuentas duplicadas
- cuentas admin vs usuario
- errores reales en Active Directory
- evidencias que sí valen
👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/