Onboarding y offboarding: cómo controlar accesos y datos sin poner en riesgo a tu empresa

Onboarding y offboarding: cómo controlar accesos y datos sin poner en riesgo a tu empresa

Una guía práctica para proteger la información de la empresa desde el ingreso hasta la salida de cada colaborador.

13 de mayo de 2025

Cuando una persona entra o sale de una organización, no solo cambia una dotación o un organigrama. También se abren, modifican o cierran accesos a sistemas, correos, plataformas, documentos, aplicaciones, dispositivos y datos sensibles. En muchas empresas, este proceso todavía se maneja con correos informales, planillas compartidas o solicitudes verbales. El problema es que un pequeño descuido en onboarding u offboarding puede transformarse en una brecha de seguridad, una pérdida de información o un incumplimiento operativo difícil de rastrear.

Aunque suele verse como una tarea administrativa de recursos humanos o de soporte TI, en realidad se trata de un proceso crítico de negocio. El onboarding define con qué permisos comienza a operar una persona. El offboarding determina qué tan rápido y ordenadamente se revocan esos permisos cuando deja la empresa, cambia de rol o termina una relación contractual. Si estos pasos no están bien diseñados, aparecen riesgos como cuentas activas sin dueño, accesos excesivos, fuga de datos, errores en auditorías y dependencia de procesos manuales.

La buena noticia es que este problema se puede abordar con una combinación de políticas claras, automatización, trazabilidad y coordinación entre áreas. No se trata solo de “dar de alta” o “dar de baja” usuarios, sino de gobernar el ciclo de vida del acceso a la información.

¿Qué es onboarding y qué es offboarding?

En términos simples, el onboarding es el proceso de incorporación de una persona a la organización. Incluye aspectos humanos, administrativos y tecnológicos. Desde la perspectiva de seguridad y gestión de accesos, onboarding significa:

  • Crear cuentas corporativas.
  • Asignar permisos según el cargo.
  • Entregar dispositivos y herramientas.
  • Habilitar acceso a sistemas, carpetas, plataformas y aplicaciones.
  • Registrar aprobaciones y responsables.
  • Asegurar que la persona acceda solo a lo necesario para su función.

Por otro lado, el offboarding es el proceso de salida o desvinculación. Puede ocurrir por renuncia, término de contrato, cambio de proveedor, traslado interno o cambio de funciones. Desde el punto de vista tecnológico, implica:

  • Revocar accesos a sistemas y aplicaciones.
  • Bloquear cuentas de correo y plataformas.
  • Recuperar equipos y credenciales.
  • Resguardar o transferir información relevante.
  • Eliminar permisos innecesarios.
  • Mantener evidencia del proceso realizado.

Ambos procesos están estrechamente relacionados. Si el onboarding fue desordenado, el offboarding será aún más complejo, porque nadie tendrá claridad sobre qué accesos se otorgaron, quién los aprobó y qué datos quedaron expuestos.

Por qué onboarding y offboarding son un tema de ciberseguridad

Muchas empresas asocian la ciberseguridad con antivirus, firewalls o ataques externos. Sin embargo, una parte importante del riesgo está dentro de la propia operación diaria. Los accesos mal gestionados son una de las causas más comunes de incidentes internos.

Algunos ejemplos frecuentes:

  • Un excolaborador mantiene acceso a su correo corporativo durante semanas.
  • Un proveedor externo conserva credenciales activas después de terminar un proyecto.
  • Un nuevo trabajador recibe permisos “por si acaso” a más sistemas de los que necesita.
  • Un cambio de cargo no actualiza los accesos anteriores, acumulando privilegios.
  • Archivos críticos quedan en cuentas personales o dispositivos no recuperados.
  • No existe registro de quién aprobó o ejecutó la entrega de accesos.

Estos escenarios no siempre derivan en un ataque intencional. A veces basta un error, una omisión o una falta de coordinación para comprometer información sensible. Por eso, controlar onboarding y offboarding no es solo una buena práctica operativa: es una medida concreta de seguridad informática.

Riesgos más comunes cuando no existe control

1. Cuentas huérfanas

Son cuentas que siguen activas aunque la persona ya no trabaja en la empresa o ya no necesita ese acceso. Estas cuentas son especialmente peligrosas porque muchas veces pasan desapercibidas y pueden ser utilizadas sin levantar alertas inmediatas.

2. Exceso de privilegios

Ocurre cuando una persona tiene más permisos de los necesarios para cumplir su rol. Esto aumenta la superficie de riesgo y facilita errores, accesos indebidos o movimientos no autorizados dentro de la organización.

3. Fuga o pérdida de datos

Si no se define qué ocurre con los archivos, correos, bases de datos o documentos asociados a una persona que sale, la empresa puede perder información valiosa o dejarla expuesta.

4. Falta de trazabilidad

Cuando los accesos se gestionan por correo, chat o solicitudes informales, luego es difícil responder preguntas básicas: ¿quién autorizó este permiso?, ¿cuándo se entregó?, ¿cuándo se revocó?, ¿qué sistemas estaban involucrados?

5. Incumplimientos normativos o contractuales

Dependiendo del rubro, la empresa puede estar obligada a demostrar control sobre el acceso a información sensible, datos personales, registros financieros o plataformas críticas. Sin procesos formales, cumplir auditorías se vuelve mucho más difícil.

6. Sobrecarga operativa para TI

Cuando todo depende de tareas manuales, el equipo de tecnología pierde tiempo en solicitudes repetitivas, seguimiento por correo y correcciones posteriores. Esto retrasa la operación y aumenta la probabilidad de errores.

Qué debería incluir un buen proceso de onboarding

Un onboarding efectivo no consiste solo en crear un usuario en el directorio corporativo. Debe responder a una lógica de control, mínimo privilegio y eficiencia operativa.

Definición del perfil de acceso

Antes de habilitar sistemas, la organización debe tener claridad sobre el rol de la persona y los recursos que realmente necesita. Lo ideal es trabajar con perfiles predefinidos por cargo, área o tipo de función. Esto evita improvisaciones y reduce permisos excesivos.

Por ejemplo, no debería recibir los mismos accesos una persona de finanzas, una de ventas, un desarrollador externo o un analista de recursos humanos. Cada perfil debe tener un conjunto de permisos base, con excepciones justificadas y aprobadas.

Flujo de aprobación

Toda asignación de acceso relevante debería pasar por un flujo de validación. Dependiendo del sistema, puede requerir aprobación de jefatura, dueño del sistema, seguridad o TI. Esto no significa burocracia innecesaria, sino control y responsabilidad.

Creación centralizada de identidades

Mientras más dispersa esté la gestión de cuentas, más difícil será mantener orden. Una buena práctica es centralizar la identidad digital del colaborador, integrando directorio corporativo, correo, herramientas de colaboración y aplicaciones críticas.

Entrega segura de credenciales y dispositivos

Las credenciales iniciales deben entregarse de forma segura, idealmente con cambio obligatorio de contraseña y, cuando sea posible, con autenticación multifactor. Si se asignan notebooks, teléfonos o tokens, también debe quedar registro de entrega.

Capacitación mínima de seguridad

El onboarding es una excelente oportunidad para establecer hábitos correctos desde el primer día. Algunas prácticas básicas que conviene incluir son:

  • Uso seguro de contraseñas.
  • Activación de doble factor.
  • Manejo de información sensible.
  • Reconocimiento de correos sospechosos.
  • Uso adecuado de dispositivos corporativos.
  • Políticas internas de acceso y confidencialidad.

Registro y trazabilidad

Cada alta de acceso debería dejar evidencia: qué se solicitó, quién aprobó, cuándo se ejecutó y sobre qué sistemas. Esto facilita auditorías, revisiones y correcciones futuras.

Qué debería incluir un buen proceso de offboarding

Si el onboarding define el punto de partida, el offboarding es la prueba real del nivel de madurez de una organización. Un proceso de salida bien diseñado debe ser rápido, completo y verificable.

Activación oportuna del proceso

Uno de los errores más comunes es avisar tarde a TI. Si la notificación de salida llega después del último día laboral, ya existe una ventana de riesgo. El proceso debe activarse apenas se confirma la fecha de término o cambio de rol.

Inventario de accesos

No se puede revocar lo que no se conoce. Por eso es clave contar con un inventario actualizado de cuentas, aplicaciones, permisos, grupos, dispositivos y accesos remotos asociados a cada persona.

Revocación coordinada

El offboarding debe contemplar, al menos, los siguientes puntos:

  • Bloqueo de cuenta corporativa.
  • Desactivación de correo electrónico.
  • Revocación de VPN y accesos remotos.
  • Eliminación de permisos en sistemas internos y SaaS.
  • Recuperación de equipos, tarjetas, tokens y credenciales físicas.
  • Cambio de contraseñas compartidas si existieran.
  • Reasignación de archivos, bandejas o documentos críticos.

Resguardo de información

La salida de una persona no debe significar pérdida de conocimiento ni de activos digitales. Es importante definir qué información debe respaldarse, transferirse o quedar disponible para continuidad operacional.

Confirmación de cierre

El proceso no debería darse por terminado hasta contar con una validación final. Esto puede incluir un checklist firmado digitalmente o una confirmación en la plataforma de gestión utilizada.

El principio de mínimo privilegio: una base simple pero poderosa

Uno de los conceptos más importantes en este tema es el principio de mínimo privilegio. Significa que cada persona debe tener acceso solo a lo estrictamente necesario para realizar su trabajo, y nada más.

Aunque parece obvio, en la práctica muchas organizaciones operan al revés: entregan permisos amplios para “evitar problemas”, “avanzar más rápido” o “no abrir tickets después”. El resultado es una acumulación de accesos innecesarios que se vuelve difícil de controlar.

Aplicar mínimo privilegio ayuda a:

  • Reducir el impacto de errores humanos.
  • Limitar la exposición de datos sensibles.
  • Disminuir riesgos de uso indebido.
  • Facilitar auditorías y revisiones.
  • Ordenar la administración de perfiles y permisos.

Este principio debe aplicarse tanto al ingreso como a los cambios internos. Cuando una persona cambia de cargo, no basta con sumar nuevos accesos; también hay que retirar los que ya no corresponden.

Automatización: la clave para escalar sin perder control

En empresas pequeñas, algunos procesos manuales pueden parecer suficientes. Pero a medida que crece la organización, aumenta la cantidad de personas, sistemas, proveedores y excepciones. En ese escenario, depender de correos y planillas deja de ser sostenible.

La automatización de procesos permite convertir onboarding y offboarding en flujos más confiables, rápidos y auditables. Algunas mejoras habituales incluyen:

  • Formularios estandarizados de solicitud.
  • Flujos automáticos de aprobación.
  • Integración con directorio corporativo.
  • Asignación de permisos por perfil.
  • Desactivación automática según fecha de término.
  • Alertas por accesos pendientes de revocar.
  • Registro centralizado de evidencia.

Automatizar no significa perder flexibilidad. Al contrario, permite manejar excepciones de forma controlada, con reglas claras y trazabilidad. Además, libera tiempo del equipo TI para enfocarse en tareas de mayor valor.

La importancia de integrar áreas: RR. HH., TI, seguridad y jefaturas

Un error frecuente es pensar que este tema pertenece a una sola área. En realidad, onboarding y offboarding requieren coordinación entre varias funciones:

  • Recursos humanos informa ingresos, salidas y cambios contractuales.
  • Jefaturas definen necesidades de acceso según funciones reales.
  • TI ejecuta habilitaciones, bloqueos e integraciones técnicas.
  • Seguridad define políticas, controles y revisiones.
  • Administración o facilities puede gestionar credenciales físicas, espacios y activos.

Si cada área opera por separado, aparecen vacíos. Por ejemplo, RR. HH. puede registrar una salida, pero TI no enterarse a tiempo. O una jefatura puede pedir accesos urgentes sin seguir criterios de seguridad. La solución no es sumar más correos, sino diseñar un flujo común con responsables definidos.

Indicadores que vale la pena medir

Lo que no se mide, difícilmente mejora. Para profesionalizar estos procesos, conviene definir algunos indicadores simples pero útiles:

  • Tiempo promedio de habilitación de accesos en onboarding.
  • Tiempo promedio de revocación en offboarding.
  • Porcentaje de solicitudes con aprobación formal.
  • Cantidad de cuentas huérfanas detectadas.
  • Número de accesos excesivos corregidos.
  • Porcentaje de procesos ejecutados dentro de plazo.
  • Incidentes asociados a errores de acceso.

Estos datos permiten detectar cuellos de botella, justificar mejoras y demostrar avances en seguridad y eficiencia.

Errores habituales que conviene evitar

“Después lo regularizamos”

Dar accesos rápidos sin control para resolver una urgencia suele generar problemas posteriores. Lo excepcional termina volviéndose permanente.

Usar cuentas compartidas

Las cuentas genéricas o compartidas dificultan la trazabilidad y hacen más complejo el offboarding. Siempre que sea posible, cada acceso debe estar asociado a una identidad individual.

No revisar accesos históricos

No basta con gestionar ingresos y salidas. También es necesario revisar periódicamente los permisos existentes para detectar acumulación, duplicidad o privilegios obsoletos.

Depender de una sola persona

Si solo alguien “sabe cómo se hace”, el proceso es frágil. Debe existir documentación, estandarización y respaldo organizacional.

Separar seguridad de operación

Cuando la seguridad se ve como un obstáculo, los controles se saltan. El objetivo debe ser diseñar procesos seguros pero ágiles, integrados a la operación real.

Cómo empezar si hoy el proceso es manual

Muchas empresas saben que tienen brechas, pero no saben por dónde partir. Una forma práctica de avanzar es abordar el problema por etapas.

1. Mapear el proceso actual

Identificar cómo se solicita, aprueba, ejecuta y cierra hoy el onboarding y offboarding. Aunque sea informal, es importante documentarlo.

2. Listar sistemas y accesos críticos

No todos los accesos tienen el mismo nivel de riesgo. Conviene priorizar correo, ERP, CRM, plataformas financieras, repositorios documentales, VPN, herramientas cloud y sistemas con datos sensibles.

3. Definir responsables

Cada etapa debe tener un dueño claro. Quién avisa, quién aprueba, quién ejecuta y quién valida el cierre.

4. Crear perfiles estándar

Agrupar accesos por cargo o función reduce improvisación y acelera la gestión.

5. Implementar checklists y evidencia

Aunque todavía no exista automatización, un checklist formal ya mejora mucho el control. Lo importante es que quede registro.

6. Automatizar gradualmente

No es necesario transformar todo de una vez. Se puede comenzar por los sistemas más críticos y luego ampliar cobertura.

Onboarding y offboarding como parte de la transformación digital

Hablar de transformación digital no es solo implementar nuevas plataformas. También implica ordenar procesos internos, reducir dependencia manual y mejorar la gobernanza de la información. En ese contexto, onboarding y offboarding son procesos estratégicos.

Cuando están bien diseñados, la empresa logra:

  • Incorporar personas más rápido y con menos fricción.
  • Reducir riesgos de seguridad y cumplimiento.
  • Mejorar la experiencia del colaborador.
  • Disminuir carga operativa sobre TI.
  • Tener trazabilidad para auditorías y decisiones.
  • Proteger mejor sus datos y activos digitales.

En otras palabras, no se trata solo de seguridad. También se trata de eficiencia, continuidad operacional y madurez organizacional.

El rol de una consultora informática en este desafío

Muchas organizaciones tienen claro el problema, pero no cuentan con tiempo, metodología o capacidades internas para rediseñar estos procesos. Ahí es donde una consultora informática puede aportar valor.

Un acompañamiento especializado permite:

  • Diagnosticar brechas actuales.
  • Diseñar políticas y flujos de acceso.
  • Definir perfiles y matrices de permisos.
  • Integrar herramientas existentes.
  • Automatizar procesos críticos.
  • Incorporar controles de ciberseguridad.
  • Generar evidencia y reportabilidad.

Además, trabajar con una mirada externa ayuda a detectar puntos ciegos que internamente suelen normalizarse, especialmente en empresas que han crecido rápido o que operan con múltiples sistemas desconectados.

Conclusión

Onboarding y offboarding no son trámites secundarios. Son procesos clave para controlar quién accede a qué, durante cuánto tiempo y bajo qué condiciones. Cuando se gestionan mal, se abren riesgos innecesarios para la operación, la seguridad y la continuidad del negocio. Cuando se gestionan bien, la empresa gana orden, trazabilidad, agilidad y protección de datos.

La diferencia entre un proceso frágil y uno maduro no está solo en la tecnología, sino en la combinación de reglas claras, coordinación entre áreas, perfiles bien definidos y automatización donde realmente aporta valor. Si tu organización todavía depende de correos, planillas o memoria individual para controlar accesos, probablemente ya existe una oportunidad concreta de mejora.

En un entorno donde la información es uno de los activos más importantes de cualquier empresa, controlar el ciclo de vida de los accesos dejó de ser opcional. Es una práctica esencial para operar con seguridad y confianza.

Si tu empresa necesita ordenar el ingreso y salida de colaboradores, controlar accesos o proteger mejor su información, en HDTI podemos ayudarte a evaluar brechas, diseñar procesos y avanzar hacia una gestión más segura y eficiente.

Conversemos sobre cómo implementar onboarding y offboarding con trazabilidad, automatización y foco en ciberseguridad para reducir riesgos reales en tu operación.

Solicita una asesoría

Etiquetas:
CiberseguridadSeguridad informática ChileAutomatización de procesosTransformación digitalConsultora informática

¿Necesitas desarrollar software a medida?

En HDTI creamos aplicaciones web, móviles y sistemas personalizados para empresas en Chile.

Conoce nuestro servicio de desarrollo
Marketplaces vs e-commerce propio: cuándo conviene cada uno
Descubre qué modelo se adapta mejor a tu negocio según tus objetivos comerciales, presupuesto y nivel de control.