Skip to main content
Principios y recomendaciones para una gestión segura y eficiente de usuarios y permisos.

Principios Fundamentales

1. Principio de Mínimo Privilegio

Definición: Otorgar solo los permisos estrictamente necesarios para realizar el trabajo. Hacer:
  • Empezar con permisos mínimos
  • Agregar permisos según necesidad demostrada
  • Revisar y remover permisos no utilizados
Evitar:
  • Dar acceso de administrador “por si acaso”
  • Copiar permisos de otros sin analizar
  • Mantener permisos obsoletos

2. Gestión por Grupos

Definición: Siempre asignar permisos a grupos, nunca directamente a usuarios. Beneficios:
  • Escalabilidad (fácil agregar/quitar usuarios)
  • Consistencia (todos en un rol tienen mismos permisos)
  • Mantenimiento (cambios en un lugar afectan a todos)
  • Auditoría (más fácil ver quién puede hacer qué)

3. Separación de Responsabilidades

Definición: Diferentes personas para diferentes funciones críticas. Ejemplo:
  • Quien crea órdenes ≠ Quien las aprueba
  • Quien registra datos ≠ Quien los elimina
  • Operadores ≠ Supervisores ≠ Administradores

Gestión de Usuarios

Convenciones de Nombres

Usernames:
  • Usa formato consistente en toda la organización
  • nombre.apellido (más legible)
  • iniciales+apellido (más corto)
  • codigo_empleado (más sistemático)
Grupos:
  • Usa mayúsculas y guiones bajos: OPE_PLANTA, SUP_CALIDAD
  • Nombres descriptivos que indiquen función: Supervisores de Calidad
  • Evita nombres personales: ❌ Grupo_de_Juan

Ciclo de Vida del Usuario

1

Creación

  • Usar contraseña temporal fuerte
  • Asignar a grupos apropiados inmediatamente
  • Documentar fecha y motivo de creación
2

Gestión Activa

  • Revisar permisos cada 3-6 meses
  • Actualizar grupos cuando cambien responsabilidades
  • Monitorear actividad (última conexión)
3

Desactivación/Eliminación

  • Desactivar (no eliminar) empleados que se retiran
  • Mantener histórico para auditorías
  • Documentar fecha y motivo de desactivación

Gestión de Grupos

Organización de Grupos

Por Función: 
✅ Supervisores de Calidad
✅ Operadores de Planta
✅ Inspectores de Producto
✅ Administradores de Sistema
Por Departamento: 
✅ Departamento de Calidad
✅ Departamento de Producción
✅ Departamento de Logística
Combinado (recomendado): 
✅ Calidad - Supervisores
✅ Calidad - Inspectores
✅ Producción - Operadores
✅ Producción - Supervisores

Cantidad de Grupos por Usuario

CantidadEvaluaciónAcción
1-2 grupos✅ ÓptimoIdeal para la mayoría
3-5 grupos⚠️ AceptableRevisar posibles sobreposiciones
6+ grupos❌ ProblemáticoRediseñar estructura de grupos

Gestión de Permisos

Asignación de Roles

Niveles de acceso:

Solo Lectura

Para: Auditores, consultoresPuede: Ver información

Lectura/Escritura

Para: Operadores, supervisoresPuede: Ver y modificar

Administrador

Para: Administradores de sistemaPuede: Todo, incluido eliminar y configurar

Revisión Periódica

Frecuencia recomendada:
  • Mensual: Usuarios con permisos de administrador
  • Trimestral: Usuarios estándar
  • Semestral: Estructura completa de grupos
Qué revisar:
  • ✅ Permisos aún necesarios
  • ✅ Usuarios inactivos (> 90 días)
  • ✅ Grupos con permisos excesivos
  • ✅ Cumplimiento de mínimo privilegio

Seguridad

Contraseñas

Ver: Gestión de Contraseñas Resumen:
  • Contraseñas temporales para nuevos usuarios
  • Cambio periódico cada 90 días
  • Mínimo 8 caracteres con complejidad
  • Comunicación solo por canales seguros

Auditoría

Registrar cambios importantes:
  • Creación/eliminación de usuarios
  • Cambios significativos en permisos
  • Creación/eliminación de grupos
  • Incidentes de seguridad
Bitácora debe incluir:
  • Fecha y hora
  • Quién hizo el cambio
  • Qué se cambió
  • Motivo del cambio

Usuarios Inactivos

Política recomendada:
  • > 30 días: Revisar necesidad de acceso
  • > 90 días: Desactivar automáticamente
  • > 180 días desactivado: Considerar eliminación
Excepción: Usuarios con histórico crítico para auditorías (mantener desactivados indefinidamente)

Onboarding y Offboarding

Incorporación de Nuevo Empleado

1

Antes del primer día

  • Crear usuario con contraseña temporal
  • Asignar a grupos según rol
  • Validar permisos necesarios
2

Primer día

  • Entregar credenciales en persona
  • Forzar cambio de contraseña
  • Capacitar en uso del sistema
3

Primera semana

  • Validar que tiene accesos necesarios
  • Ajustar permisos según feedback
  • Documentar cualquier permiso adicional requerido
Ver: Caso de Uso - Onboarding

Salida de Empleado

1

Notificación de salida

  • Agendar desactivación para último día laboral
  • Preparar documentación de cambios
2

Último día

  • Remover de todos los grupos (desactivar)
  • Cambiar contraseña a una desconocida
  • Documentar fecha y motivo de salida
3

Post-salida

  • Mantener usuario desactivado (no eliminar)
  • Revisar si hay transferencia de responsabilidades
  • Documentar en bitácora

Casos Especiales

Usuarios Temporales

Para: Trabajadores de temporada, consultores, pasantías Prácticas:
  • Usar convención de nombre: nombre.apellido.temp
  • Crear grupo específico: Trabajadores Temporales
  • Agendar revisión en fecha de fin de contrato
  • Desactivar al finalizar período (no eliminar inmediatamente)
Ver: Caso de Uso - Trabajadores Temporales

Usuarios de Servicio/Sistema

Para: Integraciones, APIs, procesos automatizados Prácticas:
  • Usar convención: svc_nombre_servicio
  • Grupo específico: Servicios Automatizados
  • Contraseñas muy fuertes (20+ caracteres)
  • Documentar qué sistema usa la cuenta
  • Revisar permisos trimestralmente

Métricas y KPIs

Indicadores de Salud

MétricaObjetivoFrecuencia
% usuarios con password cambiado últimos 90 días> 90%Mensual
Usuarios inactivos > 90 días< 5%Mensual
Promedio de grupos por usuario2-3Trimestral
Usuarios con permisos admin< 10%Mensual

Indicadores de Cumplimiento

MétricaObjetivoFrecuencia
Tiempo de onboarding de nuevos usuarios< 2 horasPor usuario
Tiempo de respuesta a incidentes de seguridad< 1 horaPor incidente
% de usuarios con auditoría trimestral100%Trimestral
Documentación de cambios críticos100%Por cambio

Checklist de Implementación

Configuración Inicial

  • Definir estructura de grupos según organización
  • Crear grupos base (administradores, operadores, supervisores)
  • Asignar roles a cada grupo según responsabilidades
  • Documentar estructura y motivo de decisiones
  • Establecer políticas de contraseñas
  • Definir frecuencias de revisión
  • Crear plantillas de onboarding/offboarding

Mantenimiento Mensual

  • Revisar usuarios inactivos > 30 días
  • Desactivar usuarios inactivos > 90 días
  • Auditar usuarios con permisos de administrador
  • Verificar cambios de contraseñas
  • Revisar logs de accesos anómalos
  • Actualizar documentación de cambios

Revisión Trimestral

  • Auditar permisos de todos los usuarios activos
  • Validar cumplimiento de mínimo privilegio
  • Revisar estructura de grupos (¿sigue siendo óptima?)
  • Analizar métricas de uso
  • Capacitar nuevos administradores si es necesario
  • Actualizar procedimientos según aprendizajes

Documentación Relacionada

¿Necesitas ayuda? Consulta el FAQ o contacta a [email protected]