Cómo crear políticas de acceso en una empresa pequeña sin complicarlo todo

Estudiometadatos 1

Cómo crear políticas de acceso en una empresa pequeña sin complicarlo todo

Crear políticas de acceso no consiste en llenar la empresa de documentos que nadie lee, sino en decidir con claridad quién puede entrar a cada sistema, con qué permisos, desde dónde y bajo qué condiciones.

En una microempresa, una pyme pequeña o un proyecto profesional que trabaja con herramientas digitales, el problema suele aparecer poco a poco: una cuenta compartida, una contraseña enviada por correo, un antiguo colaborador que conserva acceso, una carpeta en la nube abierta a demasiadas personas o un equipo usado para tareas personales y profesionales al mismo tiempo.

Una política de acceso bien planteada reduce riesgos, ordena la operativa y evita depender de la memoria de una sola persona. No hace falta empezar con un sistema complejo. Lo importante es construir una base práctica, entendible y mantenible.

Este artículo está orientado a negocios pequeños que necesitan seguridad realista: suficiente para proteger información, cuentas, archivos y herramientas, pero sin convertir la administración diaria en una pesadilla burocrática.

Índice

Qué es una política de acceso

Una política de acceso es un conjunto de reglas que indica cómo se concede, usa, revisa y retira el acceso a los sistemas digitales de una organización.

No se limita a contraseñas. Incluye usuarios, permisos, dispositivos, ubicaciones, aplicaciones, carpetas, servidores, cuentas de correo, paneles web, herramientas de facturación, CRM, NAS, plataformas de formación, sistemas de copias de seguridad y cualquier recurso que pueda contener información sensible o permitir acciones importantes.

Una política de acceso responde a preguntas muy concretas:

  • Quién puede acceder a cada sistema.
  • Qué puede hacer dentro de ese sistema.
  • Desde qué dispositivos puede entrar.
  • Qué método de autenticación debe utilizar.
  • Quién aprueba el acceso.
  • Cuándo se revisa ese permiso.
  • Qué ocurre cuando una persona deja de necesitarlo.

El objetivo no es desconfiar de todo el mundo. El objetivo es evitar que un despiste, una cuenta antigua o un permiso excesivo se conviertan en un problema operativo o de seguridad.

Esta idea conecta directamente con otros hábitos básicos de protección digital, como los explicados en cómo gestionar contraseñas desde el móvil y cómo usar el móvil como segundo factor de autenticación.

Por qué importa en una microempresa

En empresas grandes suele haber departamentos de sistemas, auditorías, procedimientos formales y herramientas especializadas. En una microempresa, en cambio, muchas decisiones se toman de forma improvisada porque el tiempo es limitado y las prioridades cambian rápido.

Eso hace que los accesos se acumulen sin demasiado control. Al principio no parece grave, pero con el tiempo aparecen riesgos muy reales:

  • Contraseñas compartidas entre varias personas.
  • Accesos concedidos a proveedores que nunca se revocan.
  • Carpetas con información sensible abiertas a usuarios que no la necesitan.
  • Cuentas críticas sin doble factor de autenticación.
  • Usuarios antiguos que siguen activos tras finalizar una colaboración.
  • Permisos de administrador usados para tareas normales.
  • Recuperaciones de cuenta vinculadas a correos personales.

El problema no suele ser un gran ataque sofisticado, sino una suma de pequeñas debilidades cotidianas.

Una política de acceso sencilla ayuda a poner orden. Permite trabajar con más tranquilidad, delegar mejor, proteger información importante y reducir la dependencia de una persona concreta.

También mejora la continuidad operativa. Si una cuenta se bloquea, una persona se marcha o un dispositivo se pierde, la empresa sabe qué hacer. Este enfoque es especialmente importante cuando se trabaja en movilidad, con herramientas en la nube o con archivos centralizados, como se desarrolla en cómo centralizar archivos empresariales.

Inventario inicial de accesos

Antes de escribir reglas, conviene saber qué existe. Muchas empresas intentan crear políticas de seguridad sin tener claro cuántas cuentas, aplicaciones, dispositivos y permisos están realmente en uso.

El primer paso debe ser un inventario sencillo, aunque sea en una hoja de cálculo. No hace falta una herramienta avanzada para empezar. Lo importante es reunir la información mínima.

Qué sistemas deben inventariarse

El inventario debe incluir todos los recursos digitales que intervienen en la actividad del negocio:

  • Correo electrónico corporativo.
  • Microsoft 365, Google Workspace u otras suites de productividad.
  • Panel de WordPress y hosting.
  • Dominio y DNS.
  • Herramientas de facturación y contabilidad.
  • CRM, formularios y sistemas de atención al cliente.
  • NAS, servidores internos o carpetas compartidas.
  • Herramientas de automatización.
  • Cuentas de redes sociales y publicidad.
  • Plataformas LMS o sistemas de formación online.
  • Copias de seguridad y almacenamiento externo.

Qué datos registrar

Para cada sistema conviene registrar, como mínimo:

  • Nombre del servicio.
  • URL o ubicación de acceso.
  • Responsable interno.
  • Usuarios con acceso.
  • Tipo de permiso de cada usuario.
  • Correo de recuperación asociado.
  • Si tiene doble factor activado.
  • Fecha de última revisión.
  • Proveedor o contacto técnico, si existe.

Este inventario no debe contener contraseñas en texto plano. Las contraseñas deben gestionarse con un sistema adecuado, no dentro de una hoja compartida. La hoja sirve para saber quién tiene acceso a qué, no para almacenar secretos.

Si el negocio utiliza almacenamiento propio o compartido, también conviene relacionar este inventario con la estructura de carpetas y permisos. Para empresas que usan servidores internos o NAS, resulta útil revisar conceptos próximos a cómo usar un NAS como servidor empresarial.

Cómo definir niveles de permisos

Una política de acceso útil debe evitar dos extremos: dar permisos de administrador a todo el mundo o bloquear tanto el sistema que nadie pueda trabajar.

El criterio más importante es el principio de mínimo privilegio: cada persona debe tener solo los permisos necesarios para hacer su trabajo, ni más ni menos.

Permiso de lectura

Permite consultar información, pero no modificarla. Es adecuado para documentación, informes, materiales de referencia o datos que una persona necesita revisar pero no editar.

Permiso de edición

Permite crear, modificar o eliminar contenido dentro de un área concreta. Debe concederse cuando la persona participa activamente en ese proceso.

Permiso de aprobación

Permite validar cambios, publicar contenidos, aprobar presupuestos, confirmar envíos o cerrar tareas importantes. No siempre coincide con el permiso de edición.

Permiso de administración

Permite cambiar configuración, crear usuarios, modificar permisos, instalar plugins, conectar servicios o alterar parámetros críticos. Debe estar muy limitado.

El permiso de administrador no debería utilizarse para trabajar a diario. Lo recomendable es usar cuentas normales para tareas comunes y reservar la cuenta administrativa para cambios concretos.

Permisos por áreas de trabajo

En una empresa pequeña suele ser más práctico organizar permisos por áreas:

  • Administración y facturación.
  • Marketing y contenidos.
  • Soporte o atención al cliente.
  • Formación y plataforma LMS.
  • Infraestructura técnica.
  • Dirección o gestión general.

Así se evita revisar permisos sistema por sistema sin contexto. Primero se define qué hace cada área y después se asignan accesos coherentes.

Cuentas personales, compartidas y nominativas

Uno de los puntos más delicados en la gestión de accesos es decidir cuándo usar cuentas individuales y cuándo aceptar cuentas compartidas.

La regla general debe ser sencilla: siempre que sea posible, cada persona debe tener su propia cuenta.

Cuentas nominativas

Una cuenta nominativa identifica a una persona concreta. Es la opción más segura y trazable porque permite saber quién hizo cada acción, cuándo entró y qué permisos tiene.

Debe utilizarse en:

  • Correo corporativo.
  • Paneles de administración.
  • Herramientas de facturación.
  • CRM y atención al cliente.
  • WordPress y sistemas de publicación.
  • NAS o servidores con permisos por usuario.
  • Plataformas LMS.

Cuentas compartidas

Las cuentas compartidas son cómodas, pero generan problemas: no se sabe quién hizo qué, la contraseña circula entre varias personas y al cambiar un miembro del equipo hay que modificar el acceso para todos.

Solo deberían aceptarse cuando el servicio no permita usuarios independientes o cuando se trate de una cuenta funcional muy controlada. Incluso en ese caso, conviene documentar quién tiene acceso y revisar la contraseña periódicamente.

Cuentas personales usadas para trabajo

Utilizar cuentas personales para tareas profesionales suele parecer una solución rápida, pero crea dependencia y desorden. Por ejemplo, registrar un dominio, una herramienta de publicidad o una cuenta crítica con un correo personal puede provocar problemas si esa persona deja el proyecto.

Los servicios importantes deben depender de correos corporativos o cuentas controladas por la empresa, no de identidades personales difíciles de recuperar.

Este criterio es especialmente importante en sitios web, hosting y herramientas conectadas al negocio. En proyectos WordPress, también conviene evitar accesos improvisados y revisar buenas prácticas relacionadas con cómo independizarte de plugins pesados, porque muchos riesgos aparecen al combinar permisos excesivos con dependencias técnicas mal controladas.

Contraseñas, doble factor y recuperación

Una política de acceso no sirve de mucho si las contraseñas son débiles, se reutilizan o se comparten por canales inseguros.

La seguridad práctica empieza por tres medidas básicas: contraseñas únicas, doble factor de autenticación y procedimientos de recuperación bien definidos.

Contraseñas únicas

Cada servicio importante debe tener una contraseña distinta. Reutilizar la misma contraseña en varios sistemas es una de las prácticas más peligrosas, porque una filtración externa puede abrir la puerta a múltiples cuentas internas.

Lo recomendable es utilizar un gestor de contraseñas y generar claves largas, únicas y aleatorias. La memoria humana no está diseñada para gestionar decenas de credenciales seguras.

Doble factor de autenticación

El doble factor añade una capa de protección adicional. Aunque alguien robe o adivine una contraseña, no podrá entrar sin el segundo factor.

Debe activarse, como mínimo, en:

  • Correo corporativo.
  • Panel de hosting.
  • Dominio y DNS.
  • WordPress.
  • Herramientas financieras.
  • Servicios de almacenamiento.
  • Cuentas de publicidad y redes sociales.
  • Gestor de contraseñas.

Para profundizar en este punto, resulta útil revisar cómo usar el móvil como segundo factor de autenticación, especialmente si el equipo trabaja desde distintos dispositivos.

Recuperación de cuentas

La recuperación suele olvidarse hasta que ocurre un bloqueo. Una buena política debe definir:

  • Qué correo se usa para recuperar cada cuenta.
  • Quién conserva los códigos de recuperación.
  • Dónde se guardan las claves de emergencia.
  • Qué hacer si se pierde un móvil con doble factor.
  • Quién puede solicitar el restablecimiento de una cuenta crítica.

Los códigos de recuperación no deben guardarse en el mismo lugar que la contraseña principal. Si todo depende de un único dispositivo o una única cuenta, la empresa queda expuesta a bloqueos innecesarios.

Altas, bajas y cambios de permisos

Una política de acceso tiene que contemplar el ciclo completo de vida de un usuario. No basta con dar acceso cuando alguien empieza a colaborar. También hay que modificar permisos cuando cambia su función y retirarlos cuando deja de necesitarlos.

Alta de usuarios

Cuando una persona entra en el proyecto, debe recibir solo los accesos necesarios para su tarea. Lo ideal es usar una lista de comprobación:

  • Correo corporativo creado.
  • Cuenta en herramientas necesarias.
  • Permisos asignados según rol.
  • Doble factor activado.
  • Normas básicas de uso comunicadas.
  • Responsable de aprobación registrado.

Esta lista evita improvisaciones y reduce olvidos.

Cambio de rol

Cuando una persona cambia de función, sus permisos deben revisarse. Es frecuente añadir nuevos accesos y olvidar retirar los anteriores. Con el tiempo, esto crea usuarios con demasiados privilegios acumulados.

La revisión debe comprobar qué permisos siguen siendo necesarios y cuáles deben eliminarse.

Baja de usuarios

La baja es el punto más crítico. Cuando una persona deja de trabajar con la empresa, sus accesos deben retirarse de forma ordenada y rápida.

Una baja completa debería incluir:

  • Desactivar o eliminar cuentas nominativas.
  • Cambiar contraseñas de cuentas compartidas a las que tuviera acceso.
  • Retirar permisos en carpetas, NAS y servicios en la nube.
  • Revisar accesos a WordPress, hosting y dominio.
  • Revocar sesiones abiertas si el sistema lo permite.
  • Recuperar dispositivos o borrar datos corporativos.
  • Actualizar el inventario de accesos.

Una baja mal gestionada puede dejar puertas abiertas durante meses. Y en empresas pequeñas esto ocurre más de lo que parece, no por mala fe, sino por falta de procedimiento.

Acceso remoto y trabajo fuera de la oficina

Las políticas de acceso deben adaptarse al trabajo real. Si una persona trabaja desde casa, desde un portátil, desde el móvil o durante viajes, la política debe contemplarlo.

No sirve diseñar normas pensando solo en una oficina fija si el negocio funciona con movilidad profesional.

Dispositivos autorizados

Conviene definir qué dispositivos pueden acceder a información corporativa:

  • Ordenadores de empresa.
  • Portátiles personales autorizados.
  • Móviles configurados con medidas mínimas.
  • Tablets utilizadas para tareas concretas.

Si se permite el uso de dispositivos personales, deben existir normas mínimas: bloqueo de pantalla, sistema actualizado, cifrado cuando sea posible, antivirus si procede y separación entre uso personal y profesional.

Este enfoque se relaciona con contenidos como cómo convertir el móvil en una herramienta profesional y cómo trabajar viajando sólo con un smartphone, donde la seguridad depende tanto del dispositivo como de los hábitos de uso.

Acceso a archivos internos

Si la empresa usa un NAS, servidor propio o carpetas centralizadas, el acceso remoto debe diseñarse con cuidado. No conviene abrir servicios internos directamente a Internet sin protección adecuada.

Para acceso remoto a recursos internos, suele ser preferible usar VPN, permisos por usuario, doble factor si está disponible y registros de conexión.

La idea no es hacer una infraestructura compleja, sino evitar accesos directos mal protegidos. Este punto conecta de forma natural con cómo montar una VPN empresarial simple.

Redes WiFi públicas

Las redes públicas de hoteles, cafeterías, estaciones o centros de coworking no deben tratarse como redes de confianza. Si se accede a sistemas críticos desde estas redes, conviene usar VPN, evitar operaciones sensibles innecesarias y comprobar siempre la autenticidad de los sitios.

La política debe indicar qué tareas pueden hacerse desde redes externas y cuáles deberían reservarse para entornos controlados.

Errores comunes al crear políticas de acceso

Muchas políticas de acceso fracasan porque nacen demasiado ambiciosas, demasiado genéricas o desconectadas de la operativa diaria.

Copiar una política pensada para una gran empresa

Una microempresa no necesita el mismo nivel documental que una multinacional. Copiar una política enorme puede generar rechazo y abandono. Es mejor empezar con reglas simples que se cumplan de verdad.

No revisar usuarios antiguos

Los accesos olvidados son una de las principales fuentes de riesgo. Cada cierto tiempo debe revisarse quién sigue teniendo entrada a cada sistema.

Usar siempre cuentas de administrador

Trabajar a diario con permisos máximos aumenta el impacto de cualquier error. Una eliminación accidental, una instalación incorrecta o una cuenta comprometida pueden causar más daño si el usuario tiene privilegios excesivos.

Compartir contraseñas por correo o mensajería

Enviar contraseñas por email, chat o documentos compartidos crea rastros inseguros. Lo adecuado es usar métodos de compartición controlados, preferiblemente dentro de un gestor de contraseñas.

No preparar la recuperación

Activar doble factor sin guardar códigos de recuperación puede bloquear cuentas críticas. La seguridad debe proteger, no dejar a la empresa sin acceso a sus propios sistemas.

Confundir confianza con falta de control

Confiar en una persona no significa darle acceso ilimitado a todo. Los permisos deben responder a necesidades operativas, no a relaciones personales.

Modelo simple de política de acceso para empezar

Una política de acceso inicial puede ser breve y práctica. Lo importante es que sea comprensible y aplicable.

Regla 1: cada persona tendrá usuario propio siempre que sea posible

Las cuentas nominativas permiten trazabilidad, revocación individual y mejor control. Las cuentas compartidas solo se usarán cuando no exista alternativa razonable.

Regla 2: los permisos se concederán por necesidad real

Nadie debe tener acceso a información o funciones que no necesite para su trabajo. Los permisos se asignarán por rol y se revisarán periódicamente.

Regla 3: las cuentas críticas tendrán doble factor

Correo, hosting, dominio, WordPress, facturación, almacenamiento, publicidad y gestor de contraseñas deberán protegerse con doble factor siempre que el servicio lo permita.

Regla 4: las contraseñas serán únicas y gestionadas de forma segura

No se reutilizarán contraseñas entre servicios. No se guardarán en documentos sin protección ni se enviarán por canales inseguros.

Regla 5: toda alta, baja o cambio de rol actualizará los permisos

Cuando una persona entra, cambia de función o deja el proyecto, se revisarán sus accesos. La baja incluirá retirada de permisos y cambio de credenciales compartidas cuando corresponda.

Regla 6: el acceso remoto deberá estar autorizado

El trabajo desde fuera de la oficina deberá realizarse desde dispositivos razonablemente protegidos y mediante métodos de acceso adecuados. Los sistemas internos no se expondrán directamente sin control.

Regla 7: se hará una revisión periódica

Al menos una vez cada trimestre, se revisará el inventario de accesos para detectar usuarios antiguos, permisos innecesarios, cuentas sin doble factor y servicios críticos sin responsable claro.

Este modelo puede parecer sencillo, pero ya mejora mucho la situación de muchas pequeñas empresas. A partir de aquí se puede evolucionar hacia controles más avanzados, integración con directorios de usuarios, registros de actividad o herramientas de gestión centralizada.

La clave es empezar con una política que encaje con la realidad del negocio. Una política simple que se cumple vale más que un documento perfecto que nadie aplica.

Preguntas frecuentes sobre políticas de acceso

¿Una microempresa necesita una política de acceso formal?

Sí, aunque no tiene que ser un documento complejo. Basta con definir reglas claras sobre usuarios, permisos, contraseñas, doble factor, altas, bajas y revisión periódica. Cuanto antes se ordene, menos difícil será corregirlo después.

¿Es malo compartir una cuenta entre varias personas?

No siempre se puede evitar, pero debe ser una excepción. Las cuentas compartidas dificultan saber quién hizo cada acción y obligan a cambiar la contraseña cuando una persona deja de necesitar acceso. Siempre que el servicio lo permita, es mejor usar cuentas individuales.

¿Qué cuentas deberían tener doble factor obligatorio?

Como mínimo, el correo corporativo, el dominio, el hosting, WordPress, herramientas de facturación, almacenamiento de archivos, gestor de contraseñas, cuentas de publicidad y servicios que permitan recuperar otros accesos.

¿Cada cuánto hay que revisar los permisos?

En una empresa pequeña, una revisión trimestral suele ser un buen punto de partida. También debe revisarse cada vez que una persona entra, cambia de función o deja de colaborar con el negocio.

¿Dónde deben guardarse las contraseñas?

Las contraseñas deben guardarse en un gestor de contraseñas, no en hojas de cálculo, documentos de texto ni mensajes de correo. El inventario de accesos puede indicar quién tiene permiso, pero no debería contener las claves en claro.

¿Qué diferencia hay entre permiso de usuario y permiso de administrador?

El permiso de usuario permite realizar tareas normales. El permiso de administrador permite cambiar configuración, crear usuarios, modificar permisos o alterar el funcionamiento del sistema. Por seguridad, las tareas diarias deberían hacerse con cuentas no administrativas.

¿Cómo afecta el teletrabajo a las políticas de acceso?

El teletrabajo obliga a definir desde qué dispositivos se puede acceder, qué medidas mínimas deben cumplir, cómo se protegen las conexiones y qué sistemas pueden usarse desde redes externas. No basta con permitir el acceso: hay que hacerlo de forma controlada.

¿Qué es lo primero que debería hacer una empresa que no tiene nada organizado?

Lo primero es crear un inventario de sistemas y usuarios. Después conviene identificar cuentas críticas, activar doble factor, eliminar accesos antiguos y separar permisos de administrador de permisos de uso diario.

Written by 

Visit Website