Canal ético
Campus Virtual
Contacto

Cuando todo depende de dos personas: el caso de las contraseñas y el compliance digital

Hace unos meses, mientras trabajábamos en la implementación de un sistema de compliance para una pyme, nos encontramos con una situación tan habitual como peligrosa: todo el control de accesos digitales ―desde la intranet hasta los servidores web― dependía de dos personas. Técnicamente competentes, sí. Muy comprometidas con su labor, también. Pero el riesgo era evidente: ¿qué ocurriría si mañana no estuvieran disponibles?

Este tipo de situaciones no es anecdótico. En muchas organizaciones, especialmente en pymes, fundaciones o instituciones sin ánimo de lucro, el conocimiento y control de los sistemas digitales se encuentra concentrado en muy pocas manos, sin un plan de respaldo, sin documentación formal y, lo más grave, sin una política clara de gestión de accesos y contraseñas.

En esta entrada quiero mostrar cómo este tipo de situaciones representan un riesgo real para la continuidad operativa, para el cumplimiento normativo y para la seguridad de la información. Y, sobre todo, cómo pueden ser corregidas con medidas proporcionadas y prácticas dentro de un programa de compliance bien diseñado.

Un análisis de riesgos con hallazgos preocupante

Durante nuestro trabajo con esta organización, llevamos a cabo un análisis de riesgos específico sobre la gestión de accesos y contraseñas. El objetivo era identificar vulnerabilidades no cubiertas por la operativa diaria. El resultado puso sobre la mesa varios aspectos críticos:

  1. Concentración de la responsabilidad: el control efectivo de accesos recaía exclusivamente en una persona (el responsable técnico), con un respaldo informal por parte de un segundo técnico. No existía ningún plan de continuidad formalizado en caso de indisponibilidad simultánea, baja o cese.
  2. Ausencia de contraseñas maestras o repositorio documentado: no había un mecanismo seguro ni procedimiento definido que garantizara el acceso a los servicios digitales si ambos técnicos no estuvieran disponibles. El riesgo de “caja negra” era evidente.
  3. Carencia de una política escrita de accesos: si bien las funciones estaban más o menos distribuidas por perfiles, no había un documento aprobado que recogiera cómo se gestionaban las altas, las bajas o las modificaciones. Las decisiones se tomaban por correo o indicaciones orales.
  4. Falta de trazabilidad y controles técnicos complementarios: no se empleaban sistemas de doble autenticación ni existía un sistema sistemático de revisión de logs o accesos sospechosos.
  5. Ausencia de formación o sensibilización al resto del personal: la seguridad digital no era un asunto transversal, sino responsabilidad exclusiva del técnico.

¿Qué nos exige el marco jurídico en estos casos?

Desde el punto de vista normativo, la gestión de accesos y contraseñas no es una opción ni una recomendación técnica. Es una obligación legal derivada de los principales textos normativos europeos y nacionales:

1. RGPD – Reglamento General de Protección de Datos (UE 2016/679)

Su artículo 32 establece que:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.”

Entre estas medidas, el reglamento menciona expresamente:

  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas.
  • Un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas.

2. LOPDGDD – Ley Orgánica 3/2018 de Protección de Datos

Esta ley refuerza la obligación de adoptar políticas preventivas y medidas de seguridad documentadas, en especial en el sector educativo, sanitario o cuando se traten datos especialmente protegidos.

3. Principio de responsabilidad proactiva (accountability)

Implica que no basta con cumplir, sino que hay que ser capaz de demostrar que se cumple. En este contexto, tener una política escrita, aprobada y en vigor sobre accesos y contraseñas es una prueba esencial ante cualquier inspección o incidente.

4. Buenas prácticas: la norma ISO/IEC 27001

Aunque no obligatoria, esta norma internacional sobre gestión de la seguridad de la información establece criterios claros para el control de accesos (familia de controles A.9) y la gestión de credenciales y contraseñas administrativas. Es una referencia sólida para entidades que deseen elevar su nivel de cumplimiento técnico y organizativo.e

La solución: una política interna que da respuesta a riesgos reales

A partir del diagnóstico, redactamos e implantamos una Política Interna de Gestión de Accesos y Contraseñas, aplicable a todos los sistemas de la organización. Uno de los ejes centrales de esta política fue, precisamente, resolver la dependencia crítica de las dos personas clave.

El documento recoge expresamente:

“El responsable técnico y su técnico de respaldo mantienen actualizada una relación privada y segura de URLs, usuarios y contraseñas maestras necesarias para restaurar o intervenir sobre los sistemas.”

Esta medida ―sencilla pero estratégica― garantiza que, incluso ante situaciones de emergencia o ausencia total del personal técnico, la organización puede acceder y recuperar sus sistemas sin bloqueos.

Además, la política incluye otros elementos clave:

  • Asignación de accesos por perfiles funcionales, con privilegios estrictamente necesarios.
  • Bloqueo preventivo de cuentas inactivas tras 12 meses sin renovación.
  • Prohibición de cuentas compartidas o genéricas.
  • Uso de gestores profesionales de contraseñas (Proton Pass).
  • Revisión periódica y trazabilidad mínima de modificaciones.
  • Recomendación de implantar doble autenticación y sistemas de auditoría de accesos (logs).

Compliance que protege, compliance que previene

Este caso ilustra con claridad una idea que defendemos firmemente en nuestro despacho: el compliance no se limita a evitar sanciones. Bien diseñado, protege el funcionamiento de la organización, anticipa crisis y refuerza la confianza de todas las partes interesadas.

Una buena política de accesos y contraseñas no es un apéndice informático: es un instrumento jurídico y organizativo que forma parte del ADN de una cultura empresarial madura.

¿Quieres saber si tu organización está realmente preparada para afrontar un incidente digital o una baja inesperada de tu personal técnico clave?
 Te ayudo a revisar tus procesos, redactar las políticas necesarias y formar a tu equipo dentro de un enfoque integral de cumplimiento normativo. Agenda una sesión inicial de 20 minutos y empezamos a trabajar juntos.

Resuelve tus dudas en una sesión de claridad de 20 minutos

Concertar una cita aquí

David J. Pardo Arquero

Especialista en derecho laboral y de empresa, liderazgo, facilitación de procesos y desarrollo organizacional.

Abogado y socio-director.

Abogado con más de 20 años de experiencia en desarrollo de organizaciones y personas desde la perspectiva del liderazgo y la facilitación de procesos: en gestión y organización de equipos de trabajo en diversas áreas de competencias jurídicas civil, laboral, fiscal y administrativa, y en áreas transversales como la negociación, la gestión y la dirección-gerencia de empresas.

Miembro de la Junta Directiva de la Confederación de Empresas de Córdoba (CECO) y de la Asociación Nacional de Laboralistas (ASNALA).

Artículo publicado por:

David J. Pardo Arquero

También ha publicado:

¿Cuándo un despido por ineptitud puede ser considerado represalia?

El nuevo Plan Anticorrupción: el compliance deja de ser voluntario 

Integrar la sostenibilidad en el compliance: una exigencia legal y estratégica para las empresas

¿Qué puede hacer una empresa cuando un directivo tiene comportamientos tóxicos?

Registro horario: ¿Qué hacer si la inspección de trabajo llama a tu puerta?

La proporcionalidad en los complementos salariales: interpretaciones jurisprudenciales y cumplimiento normativo

Servicios relacionados:

Servicios de Compliance

Compliance

¿Tienes una consulta?

Nuestro equipo ha habilitado un canal directo de consultas para este servicio.

Acceder

Formulario de contacto

¿Prefieres chatear?

Nuestro equipo ha habilitado un canal directo de consultas para este servicio.

Acceder

Empiece hoy a implementar la herramienta que evita delitos y atenúa la responsabilidad penal de los administradores de bienes de La Iglesia

La prevención es la mejor manera para disuadir a personas subordinadas de cometer algún delito o conducta irregular dentro de su institución.

Tener una herramienta que evite la responsabilidad penal de los administradores de la institución en caso de finalmente suceda, se convierte en el mejor escudo para proteger la imagen y reputación de su institución y sus administradores.

Información sobre el Reglamento General de Protección de Datos Responsable: Rich & Asociados, S.L.P. Finalidad: Prestarle el servicio solicitado y contestar a las cuestiones planteadas. Legitimación: Consentimiento del interesado aceptando la política de privacidad. Destinatarios: Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. En todo caso, los datos que nos facilitas están ubicados en servidores cuya sede se encuentra dentro del territorio de la UE o gestionados por Encargados de Tratamiento acogidos al acuerdo “Privacy Shield”, aprobado por el Comité Europeo de Protección de Datos. Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.