Sign in Subscribe

ENS desde dentro (XVII): Gestión de accesos (op.acc.4) — quién autoriza, quién revisa y por qué

Gestionar accesos es clave en ENS. Aprende cómo autorizar, limitar y revisar permisos para garantizar control y trazabilidad en auditoría (op.acc.4).

ENS desde dentro (XVII): gestión de accesos en el sistema, representada con ticket aprobado y revisión de permisos sobre fondo tecnológico azul.
Gestión de accesos en el ENS (op.acc.4): permisos autorizados, controlados y revisados periódicamente para garantizar trazabilidad y seguridad.

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/

👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-segregacion-funciones-op-acc-3

Introducción

Ya sabes:

👉 quién es cada usuario
👉 qué permisos tiene
👉 cómo se separan los roles

Pero falta lo más importante:

💣 cómo se gestionan esos accesos

👉 Aquí entra op.acc.4

Qué pide realmente el ENS

Muy claro:

👉 nadie accede sin autorización
👉 los permisos deben ser mínimos
👉 los accesos deben revisarse

💣 Acceso sin control = acceso fuera de control

🧭 Paso 1: Todo acceso debe estar autorizado

Esto es básico.

👉 No existe acceso sin:

  • solicitud
  • aprobación

👉 Ejemplo real:

  • ticket de acceso
  • aprobado por responsable del sistema

💣 Sin aprobación → no acceso

🧭 Paso 2: Mínimo privilegio

Clave en ENS.

👉 Cada usuario debe tener:

💣 solo lo necesario

👉 No:

❌ permisos por si acaso
❌ accesos heredados

🧭 Paso 3: Necesidad de conocer

No todo el mundo necesita todo.

👉 Acceso limitado a:

  • información necesaria
  • funciones necesarias

💣 Más acceso = más riesgo

🧭 Paso 4: Quién puede autorizar

No cualquiera puede dar accesos.

👉 Solo:

  • responsables del sistema
  • responsables del activo

👉 Debe existir:

💣 lista clara de autorizadores

🧭 Paso 5: Revisión periódica de accesos

Aquí es donde caen muchas auditorías.

👉 Debes revisar:

  • usuarios activos
  • permisos asignados
  • accesos innecesarios

👉 Ejemplo real:

  • revisión anual
  • listado enviado a responsables
  • validación de accesos

💣 Si no revisas → pierdes control

🧭 Paso 6: Control de accesos remotos

Muy importante.

👉 Accesos remotos deben:

  • estar autorizados
  • estar controlados
  • no estar siempre activos

👉 Ejemplo:

  • VPN con acceso bajo demanda
  • deshabilitado si no se usa

💣 Acceso remoto abierto = riesgo

🧪 Evidencias que sí valen

Esto es lo que te van a pedir:

✔ Buenas evidencias

  • ticket de solicitud de acceso aprobado
  • listado de usuarios con permisos
  • evidencias de revisión periódica
  • documento de autorizadores
  • control de accesos remotos

❌ Malas evidencias

  • accesos sin ticket
  • permisos sin justificar
  • revisiones inexistentes
  • “esto siempre ha sido así”

💣 Sin trazabilidad → no cumple

🧠 Ejemplo real

El auditor revisa:

👉 accesos a un sistema

Detecta:

  • usuarios sin justificación
  • permisos antiguos
  • sin revisión

💣 Resultado:

❌ no conforme

Error típico (muy común)

❌ accesos sin aprobar
❌ exceso de privilegios
❌ no revisar permisos
❌ accesos remotos abiertos

💣 Resultado:

👉 riesgo elevado
👉 pérdida de control
👉 fallo en auditoría

Lo que te van a pedir en auditoría

👉 quién tiene acceso
👉 quién lo autorizó
👉 por qué lo tiene
👉 cuándo se revisó

👉 Y la pregunta clave:

💣 ¿puedes justificar cada acceso?

Conclusión

Dar acceso es fácil.

👉 Controlarlo es lo difícil

💣 La gestión es la clave

👉 Si lo haces bien:

👉 tienes control real

👉 Si lo haces mal:

💣 tienes riesgo continuo

Próximo paso

Seguimos avanzando.

👉 En el siguiente artículo:

op.acc.6 – Autenticación

👉 Veremos:

  • contraseñas
  • 2FA
  • VPN
  • evidencias reales

👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe