Asignación y rotación de roles

Asignar un rol es fácil. Mantener el acceso al día durante años de cambios de equipo es lo que separa una iglesia bien administrada de una que tiene 12 ex-voluntarios con acceso a donaciones.

Cuándo asignar un rol

Asigne el rol cuando la persona ya necesita la función. No asigne “para que tenga acceso” sin un caso de uso. El acceso sin uso es deuda de seguridad.

Cuándo rotar un rol

Auditoría trimestral

Cada trimestre, ejecute esta lista en Configuración → Equipo → Auditoría:

1. Filtre por usuarios sin actividad en 90 días.
2. Para cada uno, decida: ¿realmente sigue activo?
3. Desactive a los inactivos.
4. Filtre por rol org_admin y finance. Confirme que no haya más de 2-3 personas en cada uno.
5. Revise asignaciones con alcance “todos los campuses” — ¿son justificadas?

Plantilla de off-boarding

Cuando alguien deja el equipo:

1. Desactivar usuario en Configuración → Equipo
2. Si tenía sesión activa, forzar logout (botón aparece junto a Desactivar)
3. Si era org_admin, promover a otra persona ANTES de desactivar
4. Si tenía 2FA con app, recordarle desinstalarla del teléfono personal
5. Notificar al equipo (opcional pero recomendado)

Plantilla de on-boarding

1. Invitar con el rol mínimo necesario
2. Acompañar la primera sesión (15 min)
3. Si necesita más permisos, súbalos uno por uno, no de golpe
4. Verificar que tenga 2FA activo a la semana

¿Quién puede ver el histórico de roles?

Cualquier org_admin. Vaya a la ficha del usuario → Historial de roles. Ahí ve cada cambio: quién lo hizo, cuándo, y por qué (si se documentó).