La seguridad en una pequeña empresa no suele vulnerarla un hacker. La erosiona una baja de empleado que nadie terminó de tramitar. Alguien se va, se desactiva su cuenta principal y otras once herramientas mantienen su acceso activo sin más, porque nadie recordó que estaba en ellas. Doce herramientas significan doce modelos de permisos y doce lugares donde revocar accesos — y las cuentas que olvidas son tu verdadera postura de seguridad, diga lo que diga tu política.
El problema de los permisos fragmentados.
Cada herramienta tiene su propia idea de los roles, su propio panel de administración, su propia definición de quién puede ver y hacer qué. No existe un único lugar que conozca la respuesta a «¿a qué puede acceder esta persona en todo nuestro negocio?». Así que otorgar el acceso correcto el primer día son doce decisiones separadas, y revocarlo el último día son doce acciones separadas, y la duodécima es la que nadie hace.
Your security posture isn't your policy. It's the list of accounts you forgot to close. In a twelve-tool stack, that list is never empty.
Dónde aprieta.
Salida (offboarding). Un empleado que se va con acceso activo a una sola herramienta olvidada —la plataforma de correo, el almacén de archivos, el CRM— es una exposición real, y cuantas más herramientas uses, más larga será la cola de cuentas olvidadas. Exceso de permisos. Because setting precise access in twelve tools is tedious, people get over-granted “to be safe,” which is the opposite of safe. Invisibilidad. Ninguna auditoría aislada puede responder a quién-puede-tocar-qué, así que en realidad no puedes conocer tu propia exposición.
Un modelo, un interruptor.
Cuando el negocio funciona sobre una sola plataforma, el acceso es un único modelo y la baja es una sola acción. Asignas un rol y significa lo mismo en todas partes, porque hay un único "todas partes". Das de baja a una persona y queda fuera de todo el negocio de golpe — sin once puertas traseras olvidadas, porque no hay puertas traseras. Puedes responder "¿qué puede ver esta persona?" desde una sola pantalla, lo que significa que de verdad puedes gobernar el acceso en lugar de confiar en que recordaste los doce paneles.
Los permisos parecen un detalle administrativo hasta el día en que son una portada. El número de sitios donde tienes que conceder y revocar acceso es el número de sitios donde puedes equivocarte, y una sola plataforma convierte ese número en uno. Un alta de baja limpia no debería depender de acordarte de las doce herramientas. Debería ser un único interruptor.