Una matriz de control de acceso tiene como objetivo proteger la información crítica y confidencial que puede verse en riesgo si no se limita, documenta, comunica ni controla formalmente.
Esta matriz es un documento que visibiliza quiénes tienen acceso a qué plataformas y al mismo tiempo, qué pueden hacer una vez adentro. Nos permite identificar los accesos y permisos de manera rápida sin tener que salir a preguntar cada vez que sea necesario.
Roles
Uno de los desafíos que pueden surgir, si se trata de una startup, es que no tengamos totalmente definidos los roles, áreas y responsabilidades de la empresa; o que una o varias personas presenten varios “sombreros” (diferentes roles y responsabilidades). Esto no nos va a presentar un problema para esta matriz, siempre y cuando estén listados todos los roles.
Una de las primeras tareas que deberemos realizar es el organigrama de la empresa, y una vez que éste esté definido, realizaremos un descriptivo de roles y responsabilidades para así asignar los accesos y permisos del personal en función de sus roles y responsabilidades.
Creación de la matriz paso a paso
- Definir roles y responsabilidades
- Listar los roles
- Agregar las aplicaciones que usa la empresa: recordar listar aquellas que están involucradas en la normativa a certificar en caso de que exista.
- Crear el modelo de accesos y permisos para cada rol
- Relevar la realidad de los accesos y permisos
- Configurar y corregir los accesos: aquellos roles que no encajan en los accesos/permisos definidos para el rol, revisar si es necesario, y si encaja más en algún rol existente o si se debe plantear la creación de un nuevo rol.
- Controlar periódicamente: se debe establecer una fecha en la cuál sean revisados los accesos para detectar incongruencias.
Recomendaciones
- Utilizar una herramienta fácil y directa para realizar la matriz (e.g. Excel).
- Limitar el acceso de lectura y escritura a la matriz.
- Establecer, al menos, un responsable de mantenerla y revisarla.
- Campos necesarios: nombre del rol, herramienta, permiso, activo/inactivo.
- Si es una herramienta con múltiples entornos, separarla.
- Si una persona tiene más de un rol, se sugiere agregar un nuevo campo que sea nombre y apellido.