Sign in Subscribe

ENS desde dentro (XVI): Segregación de funciones (op.acc.3) — que nadie tenga todo el control

La segregación de funciones evita que una sola persona tenga control total. Aprende cómo separar roles, limitar privilegios y demostrarlo en auditoría ENS (op.acc.3).

ENS desde dentro (XVI): segregación de funciones en el sistema, representada con iconos de roles y restricciones sobre fondo tecnológico azul.
Segregación de funciones en el ENS (op.acc.3): separación de roles y control de privilegios para evitar que una sola persona tenga acceso total al sistema.

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/

👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-requisitos-acceso-op-acc-2

Introducción

Ya sabes:

👉 quién es cada usuario
👉 qué permisos tiene

Pero hay un problema:

💣 ¿y si alguien puede hacerlo todo?

👉 Aquí entra op.acc.3

Qué pide realmente el ENS

Muy claro:

👉 separar funciones
👉 evitar conflictos
👉 limitar el poder de una sola persona

💣 Nadie debería tener control total

🧭 Paso 1: Separar roles críticos

Esto es la base.

👉 Ejemplo claro:

  • desarrollo
  • sistemas
  • producción

💣 No deben mezclarse

👉 Caso típico:

  • desarrollador con acceso a producción

💣 Resultado:

❌ riesgo alto
❌ no conforme

🧭 Paso 2: Separar quien autoriza y quien ejecuta

Clave en auditoría.

👉 No debe pasar:

  • el mismo usuario solicita acceso
  • el mismo usuario lo aprueba

💣 Eso rompe el control

👉 Correcto:

  • usuario solicita
  • responsable aprueba
  • IT ejecuta

🧭 Paso 3: Limitar privilegios críticos

Hay funciones sensibles:

  • configuración
  • administración
  • seguridad

👉 Deben estar separadas

💣 Ejemplo:

  • admin de sistemas ≠ auditor
  • operador ≠ supervisor

🧭 Paso 4: Control en aplicaciones

Esto se ve muy claro en auditoría.

👉 Ejemplo real:

  • usuario entra en aplicación
  • no ve opciones de configuración

💣 Eso es correcto

👉 Lo contrario:

  • usuario normal con opciones de admin

💣 No conforme

🧭 Paso 5: Separación en Active Directory

Muy típico en entornos reales.

👉 Ejemplo:

  • desarrolladores fuera de grupos de producción
  • admins en grupos controlados
  • usuarios sin privilegios elevados

💣 Si mezclas grupos, pierdes control

🧪 Evidencias que sí valen

Esto es lo que te van a pedir:

✔ Buenas evidencias

  • captura de usuario sin acceso a configuración
  • grupos en AD separados (dev / prod / admin)
  • roles definidos en aplicaciones
  • separación de funciones documentada y aplicada

❌ Malas evidencias

  • “cada uno sabe lo que hace”
  • roles no definidos
  • permisos mezclados
  • acceso excesivo

💣 Si no está limitado, no vale

🧠 Ejemplo real

El auditor revisa:

👉 accesos a producción

Detecta:

  • desarrolladores con acceso directo
  • sin control
  • sin separación

💣 Resultado:

❌ no conforme

Error típico (muy común)

❌ desarrolladores en producción
❌ admins con todos los roles
❌ usuarios con acceso a configuración
❌ auditor con permisos operativos

💣 Resultado:

👉 riesgo elevado
👉 pérdida de control
👉 fallo en auditoría

Lo que te van a pedir en auditoría

👉 separación de roles
👉 evidencias de restricción
👉 control de privilegios
👉 ausencia de conflictos

👉 Y la pregunta clave:

💣 ¿puede una sola persona hacerlo todo?

Conclusión

El problema no es el acceso.

👉 Es el exceso de poder

💣 La segregación reduce riesgo

👉 Si lo haces bien:

👉 tienes control real

👉 Si lo haces mal:

💣 tienes un punto único de fallo

Próximo paso

Seguimos avanzando.

👉 En el siguiente artículo:

op.acc.4 – Gestión de derechos de acceso

👉 Veremos:

  • altas
  • bajas
  • revisiones
  • evidencias reales

👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe