Segregación de funciones con control híbrido de accesos para mejorar la gestión de la información sensible en una empresa comercializadora de bienes de capital y servicios

Abstract

La presente investigación propone e implementa un modelo híbrido de control de accesos que combina RBAC (Role-Based Access Control), ABAC (Attribute-Based Access Control) y Autorización por Roles y Procesos, con el fin de fortalecer la Segregación de Funciones (SoD) en la gestión de información sensible de una empresa del sector industrial. A partir del diagnóstico organizacional se identificaron brechas en la asignación de privilegios, controles manuales ineficaces y una baja madurez en la gestión de roles. Ante esta problemática, el modelo desarrollado integra la simplicidad estructural del RBAC, la flexibilidad contextual del ABAC y la alineación operativa de Roles y Procesos, garantizando seguridad, escalabilidad y trazabilidad. Luego de la implementación, se permitió reducir el 26 % de los conflictos de riesgo alto y del 16 % de los de riesgo medio, mientras que el 37 % y 21 % respectivamente se mantuvieron por necesidades operativas justificadas. Asimismo, los indicadores de desempeño (KPI) confirmaron una resolución superior al 90 % de los conflictos SoD y un nivel de privilegios excesivos inferior al 5 %, evidenciando la eficiencia del modelo propuesto y su alineamiento con los controles A.5.15, A.5.18 y A.5.19 de la norma ISO/IEC 27001:2022. Por ende, se concluye que el enfoque híbrido constituye una solución costo-efectiva y adaptable a organizaciones medianas que buscan optimizar su control interno y proteger la información crítica sin incrementar la complejidad tecnológica.