Drets d'usuari en equips IT: guia per a desenvolupadors

Introducció

En el sector IT i desenvolupament de programari, la gestió dels drets d'usuari dins dels equips és molt més que una simple qüestió d'organització interna. Condiciona la seguretat dels sistemes, el compliment normatiu i la productivitat col·lectiva. Segons un estudi IBM Security de 2024, el 74 % de les violacions de dades impliquen un abús o robatori de drets d'accés privilegiats. Davant d'equips sovint distribuïts, multiprojecture i fortament automatitzats, definir qui té accés a què — i per què — s'ha convertit en un objectiu estratègic de primera línia. Aquest article et guia pas a pas en l'estructuració dels drets d'usuari: models d'autorització, millors pràctiques operacionals, integració en els fluxos de desenvolupament i impacte en la signatura electrònica dels lliurables tècnics.

---

Entendre els models de gestió dels drets d'accés

Abans de configurar qualsevol cosa, és essencial triar el model conceptual correcte de gestió dels drets. Cada arquitectura d'equip IT necessita un paradigma diferent.

El model RBAC: l'estàndard de la indústria

El Role-Based Access Control (RBAC) és el model més estès en els entorns de desenvolupament. Consisteix a assignar permisos no pas als individus directament, sinó a rols predefinits (desenvolupador junior, tech lead, enginyeria DevOps, administrador de sistemes, etc.), i després associar cada usuari a un o diversos rols.

Avantatges del RBAC:

• Gestió simplificada en altes/baixes (offboarding)
• Auditoria clara: sabem exactament què pot fer cada rol
• Reducció del risc d'escalada de privilegis no intentada

En la pràctica, un desenvolupador junior tindrà accés només als entorns de desenvolupament i staging, mai a producció. Un tech lead podrà validar pull requests i activar pipelines CI/CD, mentre que només l'administrador DevOps senior disposarà de les claus d'accés als secrets de producció.

El model ABAC per a entorns complexos

L'Attribute-Based Access Control (ABAC) va més enllà que el RBAC condicionant els drets a atributs contextuals: ubicació de l'usuari, hora de connexió, classificació del projecte, sensibilitat del repositori de codi. Aquest model és especialment adequat per a equips que gestionen projectes per a clients del sector financer, sanitat o defensa, on els requisits d'aïllament són màxims.

Concretament, un enginyer pot tenir accés a un repositori Git al matí des de les oficines de l'empresa, però se li pot denegar l'accés el cap de setmana des d'una adreça IP residencial no aprovada — fins i tot tenint el mateix rol.

El principi del menor privilegi com a fil conductor

Quin sigui el model escollit, el principi del menor privilegi (Least Privilege Principle) ha de guiar tota política de drets. Aquest principi, inscrit en les recomanacions de l'ANSSI i formalitzat en la norma ISO/IEC 27001, estableix que cada usuari o procés només ha de disposar dels drets estrictament necessaris per complir les seves missions.

En un context DevOps, això implica especialment no compartir mai comptes de servei genèrics, utilitzar secrets amb vida útil limitada (tokens efímers), i mai concedir drets d'administrador per defecte.

---

Estructurar els drets per entorn i per projecte

Una equip de desenvolupament de programari rarament treballa sobre un únic projecte o un únic entorn. La segmentació dels drets ha de reflectir aquesta realitat operacional.

Aïllar els entorns dev, staging i producció

La separació estricta dels entorns és una bona pràctica fonamental. En la majoria dels equips madurs, els drets s'estructuren així:

• Entorn de desenvolupament: accessible a tots els desenvolupadors del projecte, amb permisos amplis per fomentar l'experimentació
• Entorn de staging/prova: accés restringit als desenvolupadors seniors i als enginyers QA; cap desplegament manual possible sense validació
• Entorn de producció: accés reservat als administradors de sistemes i als pipelines automatitzats (CI/CD) amb autenticació multifactor obligatòria

Aquesta segmentació redueix drasticament la superfície d'atac i limita les conseqüències d'una compromissió de compte.

Gestionar els drets en les eines de desenvolupament col·laboratiu

Les plataformes com GitHub, GitLab o Bitbucket ofereixen sistemes de drets granulars que mereixen una atenció especial. En GitHub Enterprise, per exemple, els nivells de permís inclouen: Read, Triage, Write, Maintain i Admin — cadascun amb capacitats precisament definides.

Bona pràctica: definir una matriu RACI dels accessos per a cada repositori crític, formalitzada en la documentació interna del projecte. Aquesta matriu recull qui és Responsable, Aprovador, Consultat i Informat per a cada tipus d'acció sobre el repositori.

Per a les eines de gestió de projectes (Jira, Linear, Notion), penseu també en aplicar el mateix nivell de rigor: un prestador extern només hauria de tenir accés als tiquets que el concerneixen, mai a la roadmap estratègica completa.

Automatitzar la gestió dels drets en els pipelines CI/CD

Els drets no només concerneixen els humans. En una arquitectura moderna, els comptes de servei, els tokens d'API i els agents CI/CD són tantes entitats no humanes que disposen de permisos. La seva gestió és sovint negligida i constitueix un vector d'atac major.

Recomanacions pràctiques:

• Utilitzar un gestor de secrets dedicat (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) en lloc de variables d'entorn en clar
• Configurar tokens d'API amb vida útil curta amb rotació automàtica
• Auditar regularment els drets dels comptes de servei i eliminar els que ja no s'utilitzen

Aquestes pràctiques s'inscriuen en una estratègia de compliment documentari i traçabilitat que Certyneo acompanya especialment a través de la signatura electrònica de les polítiques de seguretat internes.

---

Integrar la gestió dels drets en el cicle de vida dels col·laboradors

La gestió dels drets no és una configuració estàtica: ha d'evolucionar contínuament amb els canvis en l'equip.

Procés d'incorporació estructurat

L'arribada d'un nou desenvolupador o prestador ha de desencadenar un procés d'atribució de drets formalitzat, idealment automatitzat per mitjà d'una eina d'Identity Governance and Administration (IGA) o, com a mínim, per mitjà d'un formulari de sol·licitud d'accés amb validació directiva.

L'aprovisionament automàtic a partir del sistema RRHH (per mitjà de connectors SCIM cap a Active Directory, Okta o Google Workspace) garanteix que els drets s'atribueixen des del primer dia i sobretot es revoquen l'últim dia. Segons una enquesta Ponemon Institute (2023), el 58 % de les empreses admeten que els antics empleats pot que encara tinguin accés a sistemes després de la seva sortida.

Aquest procés d'incorporació sovint inclou la signatura de cartes informàtiques, polítiques de seguretat o clàusules de confidencialitat — documents per als quals la signatura electrònica a l'empresa ofereix una traçabilitat legal irreprotxable.

Revisions periòdiques dels drets (Access Reviews)

La DORA (Digital Operational Resilience Act) i els referents de seguretat com SOC 2 o ISO 27001 exigeixen revisions periòdiques dels drets d'accés — generalment trimestrals o semestrals. Aquests audits consisteixen a demanar a cada director que confirmi o revoqui els drets de cada membre del seu equip.

Aquestes revisions han de ser documentades i traçables. La signatura electrònica dels informes d'auditoria de drets constitueix una bona pràctica per garantir la seva integritat i no-rebuig — un tema que detalla la nostra guia completa de signatura electrònica.

Gestionar els casos particulars: prestadors, autònoms i becaris

Els intervinents externs representen un desafiament específic. Necessiten prou accés per treballar eficaçment, però han de ser aïllats de les dades sensibles i dels sistemes crítics.

Millors pràctiques:

• Crear comptes diferents per als prestadors (mai compartir compte intern)
• Aplicar una data de caducitat automàtica als comptes externs
• Restringir els accessos a la xarxa per mitjà d'una VPN dedicada o una arquitectura Zero Trust
• Fer signar un acord de confidencialitat (NDA) abans de qualsevol accés — idealment per signatura electrònica conforme eIDAS per a valor probatori màxim

---

Compliment, auditoria i governança dels drets en l'equip IT

La gestió dels drets no es resumeix a una configuració tècnica: s'inscriu en un marc de governança més ampli.

Mantenir un registre de les habilitacions

Tota organització que tracti dades personals o que gestioni sistemes crítics ha de mantenir un registre de les habilitacions actualitzat. Aquest document recull, per a cada sistema i cada aplicació:

• Els usuaris habilitats i els seus nivells d'accés
• Les dates d'atribució i revisió dels drets
• Les validacions directives associades

En el context del RGPD (article 32), aquest registre forma part de les mesures tècniques i organitzatives apropiades que ha de demostrar el responsable del tractament. La seva absència pot ser sancionada per la CNIL.

Registre i monitorig dels accessos

El fet de simplement atribuir drets no és suficient: s'ha de supervisar el seu ús. Les solucions SIEM (Security Information and Event Management) com Splunk, Elastic SIEM o Microsoft Sentinel permeten detectar comportaments anòmals: connexió fora dels horaris habituals, descàrrega massiva de fitxers, accés a recursos inusuals.

La directiva NIS2, transposada en dret francès a finals de 2024, imposa a les entitats essencials i importants (de les quals moltes ESN i editors de programari crítics) implementar capacitats robustes de detecció i registre.

El paper de la signatura electrònica en la governança dels drets

La formalització de les polítiques de drets d'accés, les cartes d'usuari i els acords de confidencialitat per mitjà de documents signats electrònicament reforça considerablement la governança. A diferència d'un simple correu electrònic d'acord, un document signat amb una solució conforme eIDAS ofereix una prova d'integritat i identitat que serà admissible en cas de litigi.

Certyneo permet especialment parametritzar fluxos de signatura amb rols precisos— per exemple, exigir la signatura del RSSI abans de la posada en producció d'una política de seguretat — que s'integra naturalment en una política de gestió de drets madura. Podeu estimar els guanys operacionals d'aquesta estratègia gràcies al calculador ROI signatura electrònica.

Marc legal aplicable a la gestió dels drets d'usuari en equips IT

La gestió dels drets d'usuari en una organització IT no és només una qüestió de configuració tècnica: està enquadrada per un conjunt de textos reglamentaris vinculants, la desconeixença dels quals exposa les organitzacions a sancions significatives.

RGPD — Reglament (UE) 2016/679

L'article 5 del RGPD planteja el principi de minimització de dades, que s'estén per analogia al principi de minimització dels accessos: un usuari només ha d'accedir a les dades estrictament necessàries per a les seves missions. L'article 25 (protecció de dades des de la concepció) i l'article 32 (seguretat del tractament) imposen la implementació de mesures tècniques i organitzatives apropiades, entre les quals figura explícitament el control dels accessos.

La CNIL ha precisat en la seva doctrina que l'incompliment de les normes de qualificació constitueix un manquement a l'article 32. Multes de fins al 4 % de la facturació mundial o 20 milions d'euros poden ser imposades.

Directiva NIS2 — Directiva (UE) 2022/2555

Transposada a França per la llei del 17 d'octubre de 2024, la directiva NIS2 amplia considerablement l'àmbit de les entitats sotmeses a obligacions de ciberseguretat. Ara inclou molts editors de programari, prestadors de serveis IT i ESN. L'article 21 de NIS2 imposa especialment mesures de control dels accessos, de gestió de les identitats i de registre dels eventos de seguretat.

Reglament eIDAS — Reglament (UE) 910/2014 i eIDAS 2.0

Per a la documentació formal de les polítiques de drets (cartes, polítiques de seguretat, acords de tractament), el reglament eIDAS confereix valor jurídic complet a les signatures electròngiques qualificades. L'article 25 del reglament especifica que una signatura electrònica qualificada té un efecte jurídic equivalent a una signatura manuscrita. L'article 26 defineix els requisits aplicables a les signatures electròngiques avançades, especialment l'unicitat de l'enllaç amb el signatari i la detectabilitat de qualsevol modificació posterior.

Dret del treball i obligacions de l'empresari

En dret français, l'empresari és responsable de la seguretat dels sistemes informàtics posats a disposició dels treballadors (article L.4121-1 del Codi del Treball). La jurisprudència del Tribunal de Cassació ha confirmat diverses vegades que la manca de control dels accessos comporta la responsabilitat de l'empresari en cas de violació de dades. El règim intern o la carta informàtica, que la validesa és enquadrada per l'article L.1321-1 del Codi del Treball, ha de formalitzar les normes d'ús dels sistemes i els drets associats.

Escenaris d'ús: gestió dels drets en equips IT

Escenari 1 — Una ESN que gestiona projectes per a diversos clients simultàniament

Una empresa de serveis numèrics d'uns 80 desenvolupadors intervé simultàniament en una desena de projectes clients, dels quals alguns en sectors regulats (finances, sanitat). Abans de la implementació d'una política de drets estructurada, els accessos es gestionaven de manera improvisada: els desenvolupadors conservaven accessos a projectes antics finalitzats, i alguns tokens d'API eren compartits entre diverses equips.

Després del desplegament d'una solució IGA amb atribució de drets basada en rols RBAC per projecte i integració d'un gestor de secrets centralitzat, l'empresa ha reduït en un 65 % el nombre d'accessos órfans detectats en les auditories trimestrals. El temps de revocació dels accessos en finalitzar missions ha passat de 3 dies laborals a menys de 2 hores gràcies a l'automatització del desaprovisionament. Les cartes de confidencialitat signades electrònicament abans de cada accés projecte han permès constituir un dossier probatori en una auditoria client en el sector bancari.

Escenari 2 — Una startup SaaS en hipercreïxement

Una startup editora d'un programari SaaS B2B passa de 12 a 45 desenvolupadors en 18 mesos. El creixement ràpid genera una acumulació de drets no controlats: els becaris que han marxat ainda tenep accés als repositoris, els drets d'administrador s'han concedit temporalment per resoldre un incident però mai han estat revocats.

En adoptar un model Zero Trust combinat amb revisions d'accés semestrals formalitzades i signades electrònicament pels tech leads, la startup ha reduït en un 40 % la seva superfície d'atac (mesurada pel nombre de drets d'accés actius per usuari). La implementació d'un procés d'incorporació documentat — incloent la signatura electrònica de la carta informàtica des del primer dia — ha reforçat també la postura de compliment SOC 2 Type II necessària pels seus clients nord-americans.

Escenari 3 — Un departament IT intern d'un grup industrial

El departament IT d'un grup industrial de mida intermèdia (1.200 empleats) gestiona una equip de 35 persones encarregades del desenvolupament i manteniment d'aplicacions de negoci crítiques. En una auditoria ISO 27001, es constata que els drets d'accés als entorns de producció no estan documentats formalment i que no es realitza cap revisió periòdica.

La implementació d'una matriu de les habilitacions, revisada trimestralment i la qual cada versió és signada electrònicament pel RSSI i la DSI, ha permès obtenir la certificació ISO 27001 en l'auditoria de renovació. El retard de tractament de les sol·licituds d'accés s'ha reduït de 5 dies a menys de 4 hores gràcies a un flux de treball digital integrat, reduint els bloqueigs operacionals i millorant la satisfacció dels equips de negoci.

Conclusió

La gestió dels drets d'usuari en una equip IT i desenvolupament de programari és un pilar central de la seguretat, el compliment i la productivitat organitzacional. En adoptar un model estructurat — RBAC o ABAC segons la complexitat de vostra entorn —, en aplicar el principi del menor privilegi, en automatitzar l'atribució i la revocació dels accessos, i en documentar formalment les vostres polítiques de qualificació, reduïu drasticament els vostres riscos i compliu amb els requisits del RGPD, de NIS2 i dels referents com ISO 27001.

La signatura electrònica juga un paper creixent en aquesta governança: cartes informàtiques, polítiques de seguretat, NDA amb prestadors — tants documents pels quals Certyneo ofereix una solució conforme eIDAS, traçada i integrable en els vostres fluxos existents.

Preparats per estructurar la vostra gestió dels drets i per formalitzar els vostres documents de seguretat? Descobreix les ofertes Certyneo o contacta els nostres experts per a un acompanyament personalitzat.