Sign in Subscribe

ENS desde dentro (V): Proceso de autorización — quién decide qué (y cómo demostrarlo)

Cómo definir y controlar autorizaciones en ENS con trazabilidad real. Quién decide qué, cómo registrarlo y cómo demostrarlo en auditoría.

Proceso de autorización en ENS: cómo definir quién decide, registrar autorizaciones y demostrar evidencias en auditoría
Serie ENS desde dentro | Proceso de autorización

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/

👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/procedimientos-seguridad-ens/

Introducción

Hasta ahora hemos construido la base:

👉 Política de seguridad
👉 Normativa
👉 Procedimientos

Todo parece bien definido.

Pero hay una pregunta clave que muchas organizaciones no saben responder:

👉 ¿Quién decide qué se puede hacer y qué no?

Y aquí es donde empiezan muchos problemas reales:

  • cambios sin control
  • accesos concedidos sin validar
  • decisiones sin trazabilidad

💣 En ENS esto no es opcional.

Qué es realmente una autorización en ENS

Una autorización no es un trámite.

👉 Es una decisión formal.

Significa que:

  • alguien evalúa una solicitud
  • alguien la aprueba (o la rechaza)
  • y alguien asume explícitamente la responsabilidad

💣 Y lo más importante:

👉 debe quedar registrado

La clave: si no puedes demostrarlo, no existe

Puedes tener procesos muy bien definidos…

pero si no puedes responder:

👉 quién autorizó
👉 qué autorizó
👉 cuándo lo hizo
👉 y por qué

💣 entonces no cumples ENS

👉 En auditoría, esto no se discute: o hay evidencia, o no existe.

Qué debe incluir un proceso de autorización

En la práctica, un proceso de autorización debe definir claramente:

  • quién puede autorizar
  • qué tipo de acciones requieren autorización
  • cómo se solicita
  • dónde se registra
  • cómo se valida

👉 En un procedimiento real de autorizaciones, como el que se define en el ENS dentro de los procedimientos de control y autorización (PS.1), se establece precisamente esto: responsabilidades, alcance y registro de las autorizaciones dentro del sistema.

El registro de autorizaciones (el punto crítico)

Aquí es donde todo se gana… o se pierde.

👉 No basta con autorizar
👉 Hay que dejar evidencia

¿Qué debe registrar una autorización?

Como mínimo:

  • solicitante
  • acción solicitada
  • sistema afectado
  • motivo
  • autorizador
  • fecha
  • resultado (aprobado / denegado)

💥 Esto puede estar en:

  • herramienta de tickets
  • sistema ITSM
  • Excel controlado
  • aplicación interna

👉 Lo importante no es la herramienta.

💣 Es la trazabilidad.

Ejemplos reales de autorizaciones

Para aterrizarlo en situaciones reales, en ENS hay una serie de acciones que SIEMPRE deberían estar autorizadas:

👉 Utilización de instalaciones (habituales y alternativas)
👉 Entrada de equipos en producción
👉 Entrada de aplicaciones en producción
👉 Establecimiento de enlaces de comunicaciones con otros sistemas
👉 Utilización de medios de comunicación (habituales y alternativos)
👉 Utilización de soportes de información
👉 Uso de equipos móviles (portátiles, tablets, móviles…)
👉 Uso de servicios de terceros (proveedores, outsourcing, etc.)

¿Qué significa esto en la práctica?

No se trata solo de listar actividades.

👉 Se trata de que cada una de estas acciones:

  • tenga un autorizador definido
  • siga un proceso claro
  • deje evidencia

Ejemplos aterrizados

👉 Entrada de equipos en producción
Antes de conectar un servidor o equipo al entorno productivo:

  • debe solicitarse
  • debe validarse
  • debe aprobarse

👉 Entrada de aplicaciones en producción
Antes de desplegar software:

  • debe existir autorización
  • debe quedar registro
  • debe poder justificarse

👉 Uso de servicios de terceros
Antes de integrar un proveedor:

  • debe evaluarse
  • debe autorizarse
  • debe quedar documentado

👉 Uso de equipos móviles
Antes de permitir acceso desde dispositivos:

  • debe definirse el uso
  • debe autorizarse
  • debe controlarse

💣 Si estas acciones no están autorizadas…

👉 no hay control
👉 no hay trazabilidad
👉 no hay cumplimiento ENS

La matriz de autorizadores (quién puede decidir)

Otro punto clave:

👉 No todo el mundo puede autorizar todo

Debe existir una matriz clara donde se defina:

  • quién autoriza cada tipo de acción
  • en qué sistemas
  • bajo qué condiciones

💣 Esto evita:

  • decisiones arbitrarias
  • errores
  • riesgos innecesarios

👉 Esta matriz suele materializarse en procedimientos, herramientas ITSM o incluso controles dentro de Active Directory o sistemas de gestión.

Error típico (y muy común)

❌ “Lo aprueba cualquiera”
❌ “Se habló por Teams”
❌ “Sí, esto se hace así siempre”
❌ “No hace falta registrarlo”

💣 Resultado:

👉 en auditoría → no hay evidencia

Lo que te van a pedir en una auditoría

Directo y sin rodeos:

👉 evidencia de autorizaciones
👉 coherencia en quién autoriza
👉 trazabilidad
👉 consistencia

👉 Y la pregunta clave:

💣 ¿Puedes demostrar que todo lo que se hace está autorizado?

Cierre del bloque organizativo

Con esto, ya tienes definido el marco organizativo completo:

  • Política de seguridad ✔️
  • Normativa ✔️
  • Procedimientos ✔️
  • Proceso de autorización ✔️

👉 Ya tienes un sistema definido.

Próximo paso

Hasta aquí hemos definido cómo debería funcionar la seguridad.

👉 A partir de ahora, vamos a ver si realmente funciona.

👉 En el siguiente artículo entraremos en la gestión del sistema en ENS (PS00):

auditoría, control y mejora continua.

👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe