AyP Digital

Captura de Datos

Software ePaper A&P

Ver todos los servicios
Destacado

ePaper A&P

Gestión documental en la nube. Accede desde cualquier lugar.

Conocer más
Digitalización de Documentos Captura OCR / ICR Fichas Ópticas OMR ePaper A&P Desktop ePaper A&P SaaS
Blog Empresa Contacto
Contáctenos
Ciberseguridad

Gestión de Permisos y Accesos en Repositorios Documentales

Guía de gestión de permisos y accesos documentales: RBAC, ABAC, principio de mínimo privilegio, auditoría de accesos y normativa peruana para empresas.

Sebastián Herrera
17 min de lectura
Compartir:

Puntos Clave

  • El 45% de las brechas de datos en empresas peruanas involucran acceso indebido a documentos — un sistema de permisos bien implementado es la primera línea de defensa
  • RBAC (Role-Based Access Control) es el estándar para empresas medianas; ABAC (Attribute-Based Access Control) agrega granularidad basada en clasificación del documento
  • El principio de mínimo privilegio reduce la superficie de ataque: cada empleado accede solo a los documentos que necesita para su función
  • La Ley 29733 y la normativa SBS exigen control de acceso documentado y auditable para datos personales y documentos financieros

En toda organización, no todos los empleados deben ver todos los documentos. Las planillas de sueldos no son para el equipo de marketing, los contratos de adquisición no son para el personal de limpieza, y los expedientes de auditoría interna no son para los auditados. Sin embargo, en la práctica, la mayoría de empresas peruanas opera con permisos excesivamente permisivos: carpetas compartidas donde “todos” tienen acceso, repositorios sin clasificación de confidencialidad, y cero auditoría sobre quién accede a qué.

El resultado previsible: fugas de información, violaciones a la Ley 29733 de datos personales, riesgos ante auditorías de la SBS, y vulnerabilidad ante empleados malintencionados o negligentes. Este artículo explora cómo implementar un sistema robusto de permisos y accesos documentales.

El Problema del Acceso Excesivo

Situación Típica en Empresas Peruanas

Problema Frecuencia Riesgo
Carpetas compartidas “para todos” 75% de empresas Cualquier empleado accede a documentos confidenciales
Ex-empleados con acceso activo 30-40% de empresas Acceso post-cese a información sensible
Sin registro de quién accede 60% de empresas Imposible investigar incidentes
Permisos heredados 50% de empresas Empleado cambia de área pero mantiene accesos anteriores
Archivos sensibles sin protección 65% de empresas Planillas, contratos, datos de clientes accesibles a todos

Impacto de Brechas de Acceso

Tipo de Brecha Costo Promedio Normativa Afectada
Fuga de datos personales S/ 50,000 - S/ 500,000 Ley 29733 (multas 0.5-100 UIT)
Acceso a información financiera S/ 100,000 - S/ 1,000,000 SBS normativa, Ley de Bancos
Filtración de contratos S/ 200,000 - S/ 5,000,000+ Daño comercial, litigios
Manipulación de expedientes Variable Responsabilidad penal (falsificación)

Modelos de Control de Acceso

RBAC: Control Basado en Roles

flowchart TB
    subgraph "Roles"
        R1[Gerente General]
        R2[Jefe de Contabilidad]
        R3[Analista de RRHH]
        R4[Asistente Administrativo]
    end
    
    subgraph "Permisos"
        P1[Leer todos los documentos]
        P2[Leer/Editar docs financieros]
        P3[Leer/Editar legajos de personal]
        P4[Leer docs públicos e internos]
    end
    
    subgraph "Documentos"
        D1[Contratos Confidenciales]
        D2[Estados Financieros]
        D3[Planillas y Legajos]
        D4[Políticas Internas]
    end
    
    R1 --> P1 --> D1 & D2 & D3 & D4
    R2 --> P2 --> D2 & D4
    R3 --> P3 --> D3 & D4
    R4 --> P4 --> D4

Comparativa de Modelos

Modelo Descripción Complejidad Granularidad Mejor Para
DAC (Discretionary) El dueño del doc define quién accede Baja Baja Equipos pequeños, ad-hoc
RBAC (Role-Based) Permisos asignados a roles organizacionales Media Media Empresas medianas, estructura clara
ABAC (Attribute-Based) Permisos basados en atributos (rol + clasificación + contexto) Alta Alta Empresas reguladas, alta seguridad
ReBAC (Relationship-Based) Permisos basados en relaciones entre entidades Alta Muy Alta Sistemas complejos, multi-tenant

ABAC: Control Granular por Atributos

ABAC evalúa múltiples atributos para decidir el acceso:

Atributo Tipo Ejemplos Evaluación
Usuario Rol, departamento, nivel, ubicación “Analista”, “Finanzas”, “Lima” ¿Quién solicita?
Documento Clasificación, tipo, área, estado “Confidencial”, “Contrato”, “Legal” ¿Qué se solicita?
Acción Leer, editar, descargar, imprimir, compartir “Descargar” ¿Qué quiere hacer?
Contexto Hora, dispositivo, red, ubicación “Horario laboral”, “Red corporativa” ¿Desde dónde/cuándo?

Ejemplo de política ABAC: “Un Analista de Créditos (rol) puede Leer (acción) Expedientes de Crédito (tipo) clasificados como Confidenciales (clasificación) solo durante Horario Laboral (contexto) desde la Red Corporativa (contexto)”.

Clasificación de Documentos para Control de Acceso

Niveles de Clasificación

Nivel Descripción Quién Accede Ejemplos
Público Sin restricción Todos Políticas publicadas, catálogos
Interno Solo empleados Todos los empleados Manuales, comunicados
Confidencial Solo roles autorizados Roles específicos Contratos, información financiera
Restringido Solo personas nombradas Lista nominativa Planillas, investigaciones, M&A

Matriz de Permisos por Clasificación y Acción

Clasificación Leer Editar Descargar Imprimir Compartir Externo
Público Todos Autores Todos Todos Permitido
Interno Empleados Roles autorizados Empleados Empleados Prohibido
Confidencial Roles específicos Roles específicos Con aprobación Con marca de agua Con aprobación especial
Restringido Personas nombradas Personas nombradas Prohibido Prohibido Prohibido

Auditoría de Accesos

Registro de Auditoría

Campo Descripción Ejemplo
Timestamp Fecha y hora exacta 2025-05-24T09:15:32Z
Usuario Identificación completa juan.perez@empresa.com
Acción Operación realizada VIEW, DOWNLOAD, EDIT, PRINT, SHARE
Documento ID y nombre del documento DOC-2025-1847: Contrato-Proveedor-X.pdf
Clasificación Nivel del documento accedido Confidencial
Resultado Éxito o denegación GRANTED / DENIED
IP/Dispositivo Origen del acceso 190.187.xx.xx / Laptop-JP-01
Justificación Motivo (si es acceso excepcional) “Solicitud #4521 aprobada por Gerencia Legal”

Monitoreo Inteligente

flowchart TB
    A[Accesos a Documentos] --> B[Log Centralizado]
    B --> C{Análisis IA}
    C -->|Normal| D[Registro Estándar]
    C -->|Sospechoso| E[Alerta de Seguridad]
    C -->|Violación| F[Bloqueo + Escalamiento]
    
    E --> G[Investigación<br/>por CISO/Seguridad]
    F --> H[Notificación inmediata<br/>a Gerencia + Legal]

Indicadores de acceso sospechoso:

  • Acceso fuera de horario laboral a documentos confidenciales
  • Descarga masiva de documentos (>50 en una hora)
  • Acceso a documentos de otras áreas sin justificación
  • Acceso desde ubicaciones geográficas inusuales
  • Patrón de acceso previo a fecha de renuncia

Normativa Peruana

Requisitos por Regulador

Normativa Requisito de Control de Acceso Evidencia Requerida
Ley 29733 Control de acceso a datos personales, registro de tratamiento Logs de acceso, matriz de permisos
SBS Circular G-140 Gestión de accesos a información financiera, segregación de funciones Certificación periódica de accesos
Ley 27444 Acceso controlado a expedientes administrativos Registro de consultas y modificaciones
ISO 27001 Control de acceso como parte del SGSI Política de acceso, logs, revisiones
DS 098-2025 Acceso seguro a plataformas de gobierno digital Autenticación, autorización, auditoría

Implementación Práctica

Hoja de Ruta

Fase Semanas Actividades
1. Inventario 1-3 Mapeo de repositorios, clasificación de documentos, roles actuales
2. Diseño 4-6 Definición de roles, matriz de permisos, política de clasificación
3. Implementación 7-12 Configuración en SGD/SharePoint, migración de permisos, pruebas
4. Auditoría 13-14 Activación de logging, dashboards de monitoreo, alertas
5. Operación 15+ Revisiones trimestrales, recertificación, mejora continua

ROI

Concepto Valor Anual
Implementación S/ 40,000 - S/ 150,000
Reducción riesgo de brechas S/ 100,000 - S/ 500,000
Evitar multas Ley 29733 S/ 50,000 - S/ 400,000
Cumplimiento SBS/auditorías S/ 30,000 - S/ 100,000
ROI primer año 200-500%

Conclusión

La gestión de permisos y accesos documentales es la base de la seguridad de la información empresarial. En un mundo donde los documentos digitales contienen datos personales protegidos por ley, información financiera regulada por la SBS, y secretos comerciales cuya filtración puede costar millones, operar con carpetas compartidas “para todos” es un riesgo inaceptable.

Implementar RBAC como mínimo — o ABAC para entornos regulados — combinado con clasificación de documentos, auditoría continua y revisiones periódicas de permisos, transforma la seguridad documental de un punto ciego en una fortaleza organizacional.

En AyP Digital, implementamos sistemas de control de acceso documental: desde la clasificación de información hasta la configuración de permisos RBAC/ABAC, auditoría de accesos y cumplimiento de Ley 29733 y normativa SBS. Contáctanos al +51 942 867 653 o escribe a ventas@aypdigital.com.

Etiquetas

permisos control de acceso RBAC ABAC seguridad documental auditoría Ley 29733 gestión documental

Preguntas Frecuentes

RBAC (Role-Based Access Control) asigna permisos a roles organizacionales en vez de a personas individuales. Un 'Analista de Créditos' tiene acceso a expedientes crediticios; un 'Asistente de RRHH' tiene acceso a legajos de personal. Cuando un empleado cambia de puesto, solo se cambia su rol y los permisos se ajustan automáticamente. Esto reduce errores y simplifica la administración.
Usar clasificación de confidencialidad (público, interno, confidencial, restringido) combinada con ABAC: solo usuarios con el atributo 'clearance=confidencial' y el rol correcto pueden acceder. Agregar cifrado at-rest para documentos restringidos, marca de agua dinámica en visualización, y auditoría de cada acceso. Los documentos confidenciales nunca deben ser descargables sin aprobación.
Revisión trimestral mínima para permisos estándar, mensual para accesos a documentos confidenciales/restringidos. Además: revisión inmediata en cada cambio de puesto, baja de personal, o reestructuración organizacional. La SBS exige certificación periódica de accesos (access recertification) para entidades financieras.

¿Te interesa este tema?

Escribir por WhatsApp Enviar consulta por email
Sigue leyendo

Artículos Relacionados