Consecuencias operacionales del onboarding no gestionado
El onboarding informal no solo retrasa altas de usuario. Genera acceso excesivo, datos sin propietario, offboarding incompleto y deuda de auditoria que aparece cuando el incidente ya ocurrio.
Contexto de industria: Empresas en crecimiento donde altas, bajas y cambios de puesto dependen de mensajes informales entre RH, direccion y TI.
El onboarding no gestionado rara vez se ve como riesgo tecnico. Parece un problema administrativo: el usuario nuevo espera, el jefe insiste, TI copia permisos de alguien parecido y la operacion continua. El costo aparece despues, cuando nadie puede explicar por que una persona tenia acceso a un buzón, carpeta o sistema que no correspondia a su rol.
Copiar permisos no es una estrategia de identidad
El patron de "copiar al usuario anterior" acelera el alta, pero tambien replica privilegios historicos, excepciones temporales y accesos que ya no tenian propietario. A escala, cada contratacion agrega una capa de incertidumbre a la superficie de acceso.
El offboarding es donde se revela la deuda
Un proceso maduro puede responder tres preguntas: que cuentas se desactivan, que tokens o sesiones quedan vivos y quien hereda la propiedad de datos, grupos, buzones o flujos. Si la baja solo deshabilita la cuenta principal, el acceso residual puede vivir en sesiones, dispositivos personales, cuentas compartidas o integraciones SaaS.
Modelo operativo minimo
- Alta basada en roles, no en usuarios de referencia.
- Aprobacion del owner del sistema para accesos sensibles.
- Fecha de expiracion para accesos temporales.
- Checklist de baja que cubra sesiones, dispositivos, grupos, buzones y datos.
- Revisión mensual de cuentas sin dueño o sin actividad.
La mejora no requiere comprar una plataforma nueva desde el dia uno. Requiere dejar de tratar identidad como tarea reactiva y convertirla en ciclo de vida operable.
La causa raiz es falta de ownership
Cuando un sistema no tiene owner operativo, TI termina tomando decisiones de acceso sin contexto de negocio. Eso acelera el alta, pero debilita auditoria y responsabilidad.
- •Owner por sistema
- •Aprobacion por rol
- •Revision periodica de accesos
- •Registro de excepciones
Las bajas incompletas son incidentes diferidos
Un ex-colaborador puede conservar acceso indirecto por sesiones persistentes, cuentas compartidas, dispositivos no retirados o grupos heredados.
- •Revocar sesiones activas
- •Retirar dispositivos de MDM
- •Transferir ownership de datos
- •Cerrar cuentas compartidas o rotar secretos
Implementacion incremental sin bloquear contrataciones
Primero se normalizan roles y owners. Despues se automatizan altas/bajas. El orden evita friccion con RH y reduce excepciones manuales.
- •Semana 1: inventario de roles
- •Semana 2: owners y aprobadores
- •Semana 3: checklist de baja
- •Semana 4: access review inicial
Disponible bajo NDA o discovery técnico · RUNBOOK
Disponible bajo NDA o discovery técnico · XLSX
El control sostenible no es la automatizacion aislada; es la relacion trazable entre rol, owner, aprobacion, excepcion y baja.
Nuestros ingenieros lo implementan en tu infraestructura
Si estás evaluando esto para tu empresa, podemos entregar un diagnóstico técnico con brechas identificadas, tecnologías recomendadas y costos reales — sin costo y en 24 h.