Procedimiento de Alta y Baja de Usuarios
Proceso para habilitar y deshabilitar accesos a usuarios.
Quieres aprender más?
Descarga el Kit de Ciberseguridad.
📋 Información General
Documento: Procedimiento de Alta y Baja de Usuarios
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Equipo RRHH, Administradores de TI, Supervisores, Equipo de Seguridad
🎯 Propósito
Establecer un proceso estandarizado y seguro para la gestión del ciclo de vida completo de usuarios en DivisionCero, desde el onboarding hasta el offboarding, asegurando que los accesos sean provistos oportunamente a empleados legítimos y revocados completamente al finalizar su relación laboral, manteniendo la seguridad de los activos de información.
🏢 Alcance
Este procedimiento aplica a:
- Todos los empleados directos de DivisionCero
- Contratistas y consultores externos
- Personal temporal y practicantes
- Terceros que requieren acceso a sistemas corporativos
- Cuentas de servicio y aplicaciones
- Todos los sistemas SaaS utilizados por la organización
📚 Definiciones
- Onboarding: Proceso de incorporación de un nuevo usuario al entorno tecnológico
- Offboarding: Proceso de desvinculación y revocación de accesos de un usuario
- Cuenta Huérfana: Cuenta de usuario que permanece activa sin usuario legítimo asignado
- Acceso Temporal: Permisos otorgados por tiempo limitado con expiración automática
- Propietario de Datos: Responsable de autorizar accesos a sistemas específicos
- Transferencia de Conocimiento: Proceso de documentar y transferir responsabilidades
🛡️ Procedimiento
Proceso de Alta de Usuarios (Onboarding)
Fase 1: Solicitud y Autorización
1. Solicitud Inicial
- RRHH crea ticket en sistema de gestión con información del nuevo empleado
- Incluye: datos personales, rol, área, supervisor, fecha de ingreso
- Adjunta documentación: contrato laboral, autorización de supervisor
- Define tipo de empleado: permanente, temporal, contratista, practicante
2. Revisión y Aprobación
- Supervisor directo aprueba solicitud y define permisos iniciales
- Propietario de datos autoriza accesos específicos según rol
- Equipo de seguridad valida cumplimiento de políticas de acceso
- RRHH confirma completitud de documentación legal
3. Planificación de Accesos
- Se define matriz de accesos basada en rol organizacional
- Se identifican sistemas críticos vs. estándar para el puesto
- Se establecen fechas de activación según cronograma de incorporación
- Se documenta justificación de negocio para cada acceso solicitado
Fase 2: Creación de Cuentas y Credenciales
4. Provisión de Identidad Digital
- Administradores de TI crean cuenta en Active Directory/Azure AD
- Se asigna username siguiendo convención: [email protected]
- Se genera contraseña temporal segura y se configura cambio obligatorio
- Se habilita autenticación multifactor en todos los sistemas requeridos
5. Configuración de Perfiles de Acceso
- Se asignan grupos de seguridad según rol y responsabilidades
- Se configuran permisos en aplicaciones SaaS (Microsoft 365, AWS, etc.)
- Se provisionan licencias necesarias para herramientas de trabajo
- Se establecen políticas de acceso condicional según ubicación/dispositivo
6. Entrega de Equipos y Configuración
- Se asigna hardware corporativo (laptop, móvil) según política BYOD
- Se instala software estándar y herramientas específicas del rol
- Se configuran certificados digitales y VPN corporativa
- Se activan controles de endpoint detection and response (EDR)
Fase 3: Inducción y Validación
7. Capacitación en Seguridad
- Usuario completa módulo de capacitación en ciberseguridad
- Se entrega copia de políticas de seguridad y uso aceptable
- Se confirma entendimiento de responsabilidades y obligaciones
- Se documenta aceptación de términos y condiciones de uso
8. Verificación de Accesos
- Usuario prueba acceso a todos los sistemas asignados
- Se valida funcionamiento de MFA en dispositivos configurados
- Se confirma recepción de credenciales y documentación
- Administradores verifican logs de acceso exitoso inicial
Timeframe del Onboarding:
- Día -5: Recepción de solicitud y inicio de preparación
- Día -1: Configuración de cuentas y permisos
- Día 1: Entrega de equipos y capacitación inicial
- Día 2: Validación de accesos y resolución de problemas
Proceso de Baja de Usuarios (Offboarding)
Fase 1: Notificación y Planificación
9. Notificación de Salida
- RRHH notifica oficialmente salida del empleado con al menos 5 días hábiles
- Se especifica fecha exacta de terminación de relación laboral
- Se identifica si es salida voluntaria, despido o finalización de contrato
- Se evalúa nivel de riesgo asociado al empleado saliente
10. Planificación de Transición
- Se identifican responsabilidades críticas y conocimiento a transferir
- Se programa sesiones de transferencia de conocimiento con reemplazos
- Se documenta acceso a sistemas críticos y contactos importantes
- Se planifica cronograma de revocación de accesos escalonado
Fase 2: Transferencia de Responsabilidades
11. Documentación de Sistemas y Procesos
- Usuario documenta sistemas bajo su responsabilidad
- Se transfieren credenciales de cuentas de servicio si aplica
- Se actualiza documentación de procedimientos operativos
- Se entregan llaves de acceso físico y dispositivos corporativos
12. Transferencia de Datos
- Se respaldan archivos personales relevantes para la organización
- Se transfiere propiedad de documentos corporativos
- Se actualiza propietario en sistemas de gestión documental
- Se confirma no retención de información confidencial personal
Fase 3: Revocación de Accesos
13. Desactivación Inmediata (Día de Salida)
- Se desactiva cuenta principal en Active Directory/Azure AD
- Se bloquea acceso a email corporativo y aplicaciones Microsoft 365
- Se revoca acceso VPN y redes inalámbricas corporativas
- Se desactivan tokens de MFA y certificados digitales
14. Revocación Extendida (Primeros 2 días)
- Se elimina acceso a aplicaciones SaaS de terceros
- Se revoca permisos en sistemas de desarrollo y producción
- Se cancelan licencias de software y herramientas especializadas
- Se actualiza directorio corporativo y listas de distribución
15. Limpieza y Cierre (Primera semana)
- Se formatea completamente equipos corporativos asignados
- Se eliminan cuentas locales y perfiles de usuario
- Se recuperan dispositivos móviles y se realiza wipe remoto
- Se audita y elimina cualquier acceso residual identificado
Fase 4: Validación y Cierre
16. Auditoría Post-Offboarding
- Se ejecuta reporte de accesos activos del usuario
- Se valida eliminación completa de todos los sistemas
- Se confirma retorno de todos los activos corporativos
- Se documenta cualquier excepción o problema identificado
Timeframe del Offboarding:
- Día -5: Notificación y planificación de transición
- Día -1: Transferencia de conocimiento y responsabilidades
- Día 0: Revocación inmediata de accesos críticos
- Día +2: Revocación completa de todos los accesos
- Día +7: Auditoría final y cierre del proceso
Casos Especiales
Ausencias Prolongadas
- Suspensión temporal de cuentas por ausencias >30 días
- Mantenimiento de acceso a email para comunicaciones críticas
- Reactivación automática al retorno con validación de identidad
- Monitoreo de accesos durante período de ausencia
Cambios de Rol Interno
- Evaluación de accesos actuales vs. nuevo rol
- Revocación de permisos no aplicables al nuevo puesto
- Provisión de nuevos accesos según matriz del rol destino
- Período de transición con accesos duales si es necesario
Terminación de Alto Riesgo
- Revocación inmediata de todos los accesos
- Monitoreo continuo de intentos de acceso post-terminación
- Investigación forense de actividades recientes
- Notificación a equipo legal y de seguridad
👥 Roles y Responsabilidades
- RRHH: Iniciar procesos de alta/baja, coordinar cronogramas, validar documentación
- Supervisores: Autorizar accesos, facilitar transferencia de conocimiento
- Administradores TI: Ejecutar provisión/revocación técnica de accesos
- Propietarios de Datos: Autorizar accesos específicos a sistemas bajo su responsabilidad
- Equipo de Seguridad: Validar cumplimiento, auditar procesos, investigar anomalías
- Usuario Saliente: Colaborar en transferencia, entregar activos, mantener confidencialidad
📊 Cumplimiento y Medición
Métricas de Proceso:
- Tiempo promedio de onboarding (objetivo: menos de 2 días hábiles)
- Tiempo de revocación completa en offboarding (objetivo: menos de 1 día)
- Porcentaje de casos completados dentro de SLA establecido
- Número de cuentas huérfanas identificadas mensualmente
Indicadores de Calidad:
- Porcentaje de usuarios con accesos completos al primer día
- Número de escalaciones por accesos faltantes o excesivos
- Efectividad de transferencia de conocimiento (medida por supervisor)
- Ausencia de accesos residuales en auditorías post-offboarding
Auditorías y Revisiones:
- Revisión mensual de cuentas inactivas >30 días
- Auditoría trimestral de cumplimiento de procedimientos
- Validación semestral de matriz de accesos por roles
- Reporte anual de mejoras implementadas al proceso
🚨 Incumplimiento
Riesgos del Incumplimiento:
- Acceso no autorizado por empleados desvinculados
- Cuentas huérfanas explotadas por atacantes
- Violación de principio de menor privilegio
- Incumplimiento de regulaciones de protección de datos
Medidas Correctivas:
- Investigación inmediata de accesos no revocados
- Implementación de controles compensatorios temporales
- Capacitación adicional a responsables del proceso
- Mejoras en automatización para prevenir recurrencia
📖 Referencias
- ISO 27001:2022 - A.9.2 Gestión de acceso de usuarios
- NIST SP 800-53 - AC-2 Account Management
- Política de Control de Acceso de DivisionCero
- Política de Gestión de Identidades
- Procedimiento de Gestión de Accesos Privilegiados
📝 Control de Versiones
| Versión | Fecha | Cambios | Autor |
|---|---|---|---|
| 1.0.0 | Enero 2025 | Versión inicial | Equipo GRC |
¿Te ha resultado útil esta página?
Última modificación: 25 de agosto de 2025