¿Qué se considera una cuenta crítica?

Correo principal, Microsoft 365, paneles cloud, dominios, copias, accesos remotos, hosting, ERP, CRM o cualquier cuenta con capacidad de afectar a varios usuarios o servicios esenciales.

¿El problema es que exista un proveedor con acceso?

No necesariamente. El problema suele ser no saber qué acceso tiene, quién lo autorizó, cómo se revisa y cómo se revoca si cambia la relación o aparece una incidencia.

Terceros y control

Accesos de terceros y cuentas críticas: lo peligroso no es tenerlos, sino no controlarlos

Muchas empresas dependen de proveedores, mantenedores o colaboradores con acceso a partes sensibles del entorno. Eso puede ser normal. Lo que no conviene es no tener trazabilidad, responsables claros ni forma ordenada de revisión y revocación.

Riesgos habituales

Situaciones que suelen aparecer cuando nadie ordena este frente

Accesos heredados de antiguos proveedores
Cuentas críticas sin responsable interno claro
Contraseñas compartidas entre varias partes
Paneles o dominios fuera del control directo de la empresa

Falta de MFA en servicios sensibles
Dependencia de una sola persona para accesos clave
Ausencia de inventario básico de credenciales críticas
Revocaciones improvisadas cuando ya hay un problema

Base mínima

Qué conviene dejar claro aunque no exista una gran política formal

Qué cuentas son críticas y quién responde internamente por cada una
Qué terceros tienen acceso y para qué lo necesitan
Cómo se valida un acceso nuevo o un cambio sensible
Cómo se revisa y revoca el acceso cuando deja de hacer falta
Dónde conviene exigir MFA, cuentas individuales y permisos mínimos

Relacionadas

Páginas que suelen encajar juntas

Responsabilidades sobre seguridad y accesos

Gestión de altas, bajas y permisos IT

MFA y acceso seguro para empresas

Cuentas compartidas y contraseñas críticas

Coordinación con proveedores tecnológicos

Documentación e inventario IT para empresas

Solicitar revisión