Propuesta de implementación de un modelo hibrido RBAC/ABAC para la gestión de accesos en Humanconsult SPA con enfoque zero trust

Abstract

El presente estudio tiene como finalidad el determinar la factibilidad estratégica, técnica y económica de la implementación de un sistema de control de acceso híbrido RBAC/ABAC con enfoque Zero Trust para HumanConsult SpA, capaz de aplicar mínimo privilegio dinámico mediante evaluaciones contextuales (rol, dispositivo, ubicación, horario, sensibilidad del dato y riesgo). El objetivo es elevar la seguridad sin friccionar la operación, resguardando la continuidad del negocio en áreas críticas de TI, RR.HH. y Finanzas. Asimismo, el proyecto pretende fortalecer la gobernanza de identidades (onboarding/offboarding y recertificación periódica), estandarizar políticas de autorización y mejorar la trazabilidad y auditoría de accesos. Para mantener la solución vigente frente a cambios tecnológicos y regulatorios, se propone un ciclo de mejora continua (PDCA), con MFA, segmentación por criticidad e integración de eventos a analítica/monitoreo. En su desarrollo, el proyecto diagnosticó brechas del esquema actual (privilegios excesivos, cuentas huérfanas, ausencia de controles contextuales y MFA, y trazabilidad limitada) sobre procesos clave. Con esa base, modeló la arquitectura híbrida RBAC/ABAC y definió la matriz de roles y atributos, junto con ejemplos de políticas condicionales alineadas a Zero Trust. Posteriormente, estableció una hoja de ruta con piloto de 60 días, KPIs (cumplimiento de políticas, tiempos de respuesta, incidentes evitados), y lineamientos para la recertificación periódica. También se contempló la integración con SIEM/logging para correlación y detección de anomalías, y un plan de capacitación para usuarios clave. Finalmente, se realizó el análisis económico (infraestructura, capital humano, costos fijos/variables) y la evaluación costo–beneficio (CB) y ganancia total neta (GTN). Bajo supuestos moderados (prevención de al menos un incidente significativo), la propuesta resultó viable desde el Año 1 y más favorable en régimen, dejando artefactos listos para ejecución (políticas, criterios de segmentación, KPIs, plan de piloto y recertificación) y recomendaciones para el escalamiento progresivo en toda la organización.

This project addresses the access management challenges faced by HumanConsult SpA, a company that currently lacks strong identity and access controls. The research identifies critical weaknesses such as orphan accounts, the absence of multi-factor authentication, outdated security policies, and insufficient alignment with ISO/IEC 27001 standards. To overcome these issues, the project proposes a hybrid access control model that integrates Role-Based Access Control (RBAC) with Attribute-Based Access Control (ABAC), under the principles of Zero Trust Architecture. The methodology applied includes a situational analysis, the PDCA cycle, and the identification of organizational processes with the highest risk exposure. The proposed model defines user roles, security attributes, and access policies, supported by testing scenarios to validate its effectiveness. Additionally, the project incorporates an economic analysis to evaluate the costs, benefits, and return on investment of the implementation. The results demonstrate that the hybrid RBAC/ABAC model significantly improves access control, strengthens compliance with international standards, and reduces operational risks associated with unauthorized access. The conclusions highlight that the solution is technically feasible, economically viable, and adaptable to the organizational context of HumanConsult SpA.