En pymes, la mayoría de sustos de seguridad y de “operación rota” no llegan por un ciberataque sofisticado. Llegan por algo mucho más normal: entra alguien nuevo y se le da acceso “como sea”, o se va alguien y nadie hace el cierre completo. Meses después aparecen contraseñas compartidas, herramientas duplicadas y accesos que siguen abiertos.

En el blog ya he tocado auditoría de accesos y rotación de contraseñas. Esto no lo repite: es el paso anterior y más rentable cuando hay movimiento de equipo. Si montas un onboarding/offboarding decente, haces menos auditorías de urgencia y rotas menos “a lo loco”.

Paso 1 (10–15 min): define el paquete de herramientas “base” por rol. No lo hagas por persona. Haz 3–5 roles típicos (administración, comercial, marketing, soporte, técnico/operaciones) y apunta qué necesita cada uno: correo, Drive/OneDrive, calendario, CRM, facturación, gestor de tareas, ads, etc. Trade-off: más roles = más precisión, pero más mantenimiento. Yo prefiero pocos roles y excepciones documentadas.

Paso 2 (10–15 min): crea una plantilla de alta con dueño y orden. Una hoja simple vale. Columnas: herramienta, acción (crear usuario / invitar / asignar licencia), responsable (quién lo hace), y verificación (cómo comprobar que funciona). El orden importa: primero correo corporativo, luego accesos críticos, luego extras.

Paso 3 (10–15 min): checklist de baja: revocar, recuperar y reasignar. En una baja hay tres verbos: revocar accesos (quitar usuario/roles), recuperar activos (portátil, llaves, 2FA si aplica), y reasignar propiedad (documentos, cuentas publicitarias, números de teléfono, dominios). Lo que más se olvida es lo último: se detecta cuando intentas editar un recurso y el propietario era la cuenta del ex empleado.

Paso 4 (10–15 min): regla de oro: nada crítico en cuentas personales. Parece básico, pero en pymes pasa muchísimo con anuncios, redes sociales y herramientas de analítica. Señal de riesgo: “solo lo controla X porque lo creó él”. Si no puedes transferir la propiedad, ese sistema está mal montado.

Paso 5 (15–20 min): automatiza lo que se repite con una herramienta que ya tengas. Si usas n8n/Make, puedes automatizar al menos: aviso interno cuando alguien entra/sale, creación de tareas en tu gestor (Asana/Trello/Notion), y recordatorios si una baja no se completa en 24–48h. No hace falta automatizar el alta entera para ganar mucho: con evitar olvidos ya reduces riesgo.

Errores comunes (y cómo detectarlos): 1) Accesos compartidos (una sola cuenta para varios). Se detecta porque no puedes atribuir acciones a una persona y no puedes revocar sin bloquear a todos. 2) Una única cuenta administradora. Se detecta porque “si esa persona no está, no se puede hacer nada”. 3) Baja incompleta. Se detecta cuando, semanas después, siguen llegando notificaciones o facturas de licencias a nombre de alguien que ya no está.

Cómo medir resultado: mide (1) tiempo medio de alta (desde “empieza” hasta “puede trabajar”), (2) tiempo medio de baja (hasta revocar accesos críticos) y (3) número de incidencias por accesos (contraseñas perdidas, no puedo entrar, permisos mal dados). En empresas pequeñas, bajar ese ruido suele liberar horas reales cada mes.

Cuándo compensa delegar: si tenéis muchas herramientas, varios dominios, o manejáis datos sensibles (salud, finanzas, menores, etc.), compensa que alguien os deje un sistema de roles y propiedad bien diseñado. También si queréis integrar altas/bajas con un directorio corporativo (Google/Microsoft) y que la baja “arrastre” permisos de forma automática: ahí ya hay más piezas y merece hacerlo con pruebas.

Nota técnica (para coordinar con un proveedor): pide tres cosas: 1) dos administradores por sistema, 2) roles/grupos por departamento, y 3) un registro de “propiedad” de activos clave (dominios, cuentas de ads, perfiles de redes). Con eso, las bajas dejan de ser una ruleta.