El ciclo IAM en acción: un hospital entre sector público y privado
Un ejemplo de extremo a extremo del ciclo operativo de IAM y JML en una red hospitalaria que opera un ala pública y otra privada — múltiples fuentes autoritativas, médicos de doble afiliación, residentes rotativos, acceso break-glass a expedientes médicos, desaprovisionamiento por vencimiento de licencia y auditoría de nivel HIPAA.
El entorno operativo más difícil que enfrenta la IAM
Ya cubrimos el ciclo operativo y el ciclo de vida JML en profundidad. Ahora los corremos bajo restricciones reales. Empezamos por la salud porque, de todos los sectores, es el que apila más presión sobre la misma maquinaria: urgencia de seguridad del paciente, riesgo de privacidad irreversible, alta rotación y — en este ejemplo — el giro adicional de una organización que vive en dos sectores a la vez.
Conoce a Red de Salud Metro: un sistema regional con un hospital público de 600 camas financiado y en parte dotado por el servicio de salud del gobierno, y una clínica privada anexa que opera en términos comerciales. Mismo campus, en algunos puntos la misma plataforma de expedientes, pero dos nóminas, dos realidades de RR. HH., dos regímenes de cumplimiento — y un solo padrón de médicos que a menudo trabajan en ambos. Si puedes correr JML limpiamente aquí, puedes correrlo en cualquier parte.
La organización y sus poblaciones de identidad
Red de Salud Metro no tiene “empleados”. Tiene seis poblaciones distintas, cada una con su propia forma de ciclo de vida:
| Población | Cantidad | Forma del ciclo de vida | Fuente autoritativa |
|---|---|---|---|
| Personal asalariado del sector público | ~2.400 | Estable, reglas de servicio civil | Sistema de RR. HH. del gobierno |
| Empleados de la clínica privada | ~600 | Empleo comercial | HRIS privado (Workday) |
| Médicos con privilegios / admisión | ~450 | Afiliación, no empleo | Sistema de credencialización |
| Residentes y estudiantes de medicina | ~300 | Rotaciones fijas, alta rotación | Registro de afiliación académica |
| Contratistas (biomédica, limpieza, seguridad) | ~350 | Atados a contrato | Sistema de gestión de proveedores |
| Dispositivos médicos y cuentas de servicio | ~1.800 | Poseídos, no contratados | CMDB |
La primera decisión de diseño es rechazar la tentación de un único feed de RR. HH. Cada población tiene un sistema distinto que guarda la verdad sobre ella, y la plataforma IGA debe agregarlos todos en un registro maestro — uniendo por persona donde las poblaciones se solapan (el caso de doble afiliación más abajo) pero manteniendo las relaciones distintas.
Fuentes autoritativas: varias verdades, coordinadas
La identidad de un clínico nuevo en Red de Salud Metro se ensambla a partir de más de una fuente, y la plataforma debe saber qué fuente gana para qué atributo:
| Atributo | Fuente autoritativa | Por qué |
|---|---|---|
| Nombre legal, ID gubernamental | RR. HH. del gobierno (público) / Workday (privado) | Quien los emplea es dueño de su registro de RR. HH. |
| Licencia médica y especialidad | Sistema de credencialización | Solo la credencialización verifica y renueva la licencia |
| Rotación activa / supervisor | Registro académico | Los residentes pertenecen a un programa de formación, no a una nómina |
| Fecha de fin de contrato | Gestión de proveedores | Los contratistas vencen, no “renuncian” |
| Departamento, ubicación | Fuente que emplea | Atado a la relación de empleo |
Todas estas publican eventos en un bus de mensajes que la plataforma IGA consume — el mismo patrón por eventos que permite terminar el onboarding antes del primer turno del clínico. La regla crucial codificada aquí: la licencia siempre defiere a la credencialización, sin importar quién emplee a la persona. Un médico empleado por la clínica privada todavía tiene su derecho a tocar un expediente gobernado por el registro de licencia de la autoridad de credencialización pública.
Joiner: un médico que trabaja en ambas alas
Considera a la Dra. Elena Ruiz, cardióloga contratada por la clínica privada y con privilegios de admisión en el hospital público — ambos comenzando la misma semana. Esto son dos joiners para un humano, y hacerlo bien significa que la relación con la clínica y la relación con el hospital se aprovisionan por separado pero se reconcilian a una identidad maestra.
sequenceDiagram accTitle: Onboarding de un médico de doble afiliación en Red de Salud Metro accDescr: El sistema de credencialización confirma la licencia activa de la Dra. Ruiz a la plataforma IGA, que crea o reutiliza una identidad maestra. Workday señala la relación de empleo de la clínica privada y el sistema de privilegios del hospital público señala la relación de admisión. La plataforma IGA aprovisiona un conjunto de acceso de clínica y otro separado de hospital, ambos condicionados a la licencia activa, y registra todo en el almacén de auditoría. participant CRED as Credencialización participant IGA as Plataforma IGA participant WD as Workday (privado) participant PUB as Privilegios hospital participant APPS as Sistemas clínicos CRED->>IGA: Licencia activa verificada (Dra. Ruiz) IGA->>IGA: Crear/reutilizar identidad maestra WD->>IGA: Inicia empleo en clínica privada PUB->>IGA: Privilegios de admisión otorgados IGA->>APPS: Aprovisiona acceso de clínica (gated por licencia) IGA->>APPS: Aprovisiona acceso de hospital (gated por licencia) Note over IGA,APPS: Dos relaciones, una identidad, ambas auditables
Lo que hace esto correcto y no solo cómodo: el rol de clínica le da a la Dra. Ruiz acceso a la agenda y facturación de la clínica y a su porción del EMR; el privilegio de hospital le da acceso a los expedientes de cardiología de hospitalización y a la entrada de órdenes. Ninguno de los dos conjuntos se filtra al otro. Si su contrato con la clínica terminara mañana, el acceso de clínica se desaprovisionaría mientras sus privilegios de hospital — una relación separada — quedarían intactos. Un humano, dos relaciones, dos conjuntos de acceso gobernados de forma independiente.
Mover: cuando un residente se vuelve adscrito
El Mover insignia en un hospital docente es el residente que termina su formación y se vuelve médico adscrito. Todo en su base de acceso cambia a la vez: deja la autoridad del registro académico y entra a RR. HH. público o a la nómina privada; su acceso supervisado y limitado se vuelve privilegio independiente; y una pila de permisos del programa de formación debe retirarse, no arrastrarse.
Un Mover correcto aquí recalcula el conjunto de acceso esperado completo a partir de la nueva relación y reconcilia en ambas direcciones:
- Otorgar: derechos de entrada de órdenes independientes, autoridad de prescripción dentro de su licencia, alcance EMR de nivel adscrito.
- Retirar: las restricciones supervisadas del residente, los recursos compartidos del programa de formación, el acceso del registro académico — los permisos que tenían sentido solo mientras estaba en formación.
- Reevaluar: segregación de funciones y cualquier conflicto que cree la nueva autoridad.
El modo de fallo es el universal de el artículo de JML: otorgar el acceso del nuevo adscrito mientras se deja en pie el viejo acceso de residente, de modo que un médico veterano acumula en silencio una década de permisos del programa de formación que nadie recuerda haber otorgado. En un hospital eso no es solo desorden — es una vía de acceso a sistemas y poblaciones de pacientes que el adscrito ya no tiene razón clínica de tocar.
Leaver: los ritmos de salida en la salud
Las salidas en Red de Salud Metro llegan en tres ritmos muy distintos, y el flujo Leaver debe manejar cada uno:
- Salidas de cohorte programadas: residentes y estudiantes se van en oleadas al final de cada rotación. Se manejan atando cada identidad de cohorte a una fecha de fin fija para que el acceso auto-expire — un patrón just-in-time a escala de población, seguido de reconciliación para barrer rezagados.
- Vencimiento de contratista: el contrato de la empresa de ingeniería biomédica termina; el sistema de gestión de proveedores dispara la terminación, y el acceso a las consolas de gestión de dispositivos y a los módulos EMR relevantes se revoca. Los contratistas vencen en silencio, así que una fecha de fin de contrato faltante o extendida se trata como una excepción que requiere revisión.
- Salida urgente: un clínico despedido por un incidente grave necesita el acceso cortado en minutos, las sesiones terminadas y una revisión forense de cada expediente que tocó. Esto no puede esperar a un batch nocturno.
En los tres, la disciplina de desactivar-primero-eliminar-después importa más que de costumbre: los expedientes clínicos que la persona redactó, firmó o cofirmó deben seguir siendo atribuibles por años, así que la cuenta se desactiva y se retiene — nunca se elimina el día uno — hasta que el reloj regulatorio de retención se agote.
El reto distintivo: el acceso break-glass
La restricción que hace única a la salud es que negar el acceso puede matar a alguien. Un médico de urgencias frente a un paciente inconsciente trasladado de otra unidad puede no tener derechos vigentes a ese expediente — y no tener tiempo de presentar una solicitud de acceso. La respuesta es el break-glass: una anulación de emergencia controlada.
flowchart TB accTitle: Flujo de acceso de emergencia break-glass accDescr: Un clínico solicita acceso de emergencia a un expediente fuera de sus derechos normales. El sistema otorga el acceso de inmediato, pero marca la sesión como break-glass, escribe un evento de auditoría de alta prioridad, acota el acceso en el tiempo y abre automáticamente una revisión posterior obligatoria por la oficina de privacidad, que o aclara el acceso como justificado o lo escala como violación. REQ[El clínico necesita un expediente<br/>fuera de sus derechos normales] --> GRANT[Otorgar acceso de inmediato] GRANT --> FLAG[Marcar sesión como break-glass] FLAG --> LOG[Evento de auditoría de alta prioridad] FLAG --> BOX[Acotar el acceso en el tiempo] LOG --> REVIEW[Revisión posterior obligatoria<br/>por oficina de privacidad] REVIEW -->|justificado| CLEAR[Aclarar y documentar] REVIEW -->|no justificado| ESC[Escalar como violación]
El principio de diseño es prevención cambiada por detección, nunca por rendición de cuentas. El clínico entra al instante — sin cola de aprobación entre él y un paciente que se muere — pero el sistema vuelve ese acceso ruidoso: una entrada de log de alta prioridad, una ventana acotada en el tiempo y una revisión no opcional después. La mayoría de los eventos break-glass resultan plenamente justificados y se documentan como tales; los pocos que no, se vuelven investigaciones de privacidad. Crucialmente, todos se revisan, que es lo que evita que la anulación se vuelva en silencio una puerta trasera.
Desaprovisionamiento impulsado por la licencia
El segundo control específico de la salud es la suspensión automática al vencer la licencia. Como el sistema de credencialización es autoritativo para la licencia, alimenta las fechas de vencimiento a la plataforma IGA, que programa el ciclo de vida alrededor de ellas: recordatorios al médico y a la oficina de credencialización en las semanas previas, y — si la licencia no se renueva para la fecha de vencimiento — suspensión automática del acceso a todos los sistemas clínicos.
Esto no es higiene opcional. La regulación exige que solo personal con licencia vigente llegue a la información de salud protegida, y con cientos de médicos en ciclos de renovación rodantes, el seguimiento manual es imposible. El ciclo operativo convierte una obligación de cumplimiento en una transición de estado programada que simplemente ocurre.
Dispositivos médicos y cuentas de servicio: identidades que no son personas
La mayor población individual de Red de Salud Metro no son los clínicos — son los ~1.800 dispositivos médicos y cuentas de servicio del CMDB. Bombas de infusión, estaciones de trabajo de imagenología, analizadores de laboratorio y las cuentas de integración que mueven datos entre el EMR y una docena de sistemas auxiliares son todas identidades: se autentican, conservan acceso y — sin gobernanza — son el objetivo más blando del edificio.
Estas identidades no humanas rompen los supuestos de JML de maneras instructivas. No “ingresan” por RR. HH. y nunca “renuncian”, así que su ciclo de vida lo posee el CMDB y el equipo de ingeniería biomédica, no el HRIS. Un dispositivo se aprovisiona cuando se pone en servicio, se re-acota cuando se mueve entre unidades, y debe desaprovisionarse cuando se da de baja — un evento de leaver que, en la práctica, es el que más se omite. Una estación de imagenología retirada cuya cuenta de servicio todavía conserva acceso vivo al EMR es una huérfana con un puerto de red.
Los principios de gobierno reflejan el ciclo de vida humano con un giro:
- Cada dispositivo y cuenta de servicio tiene un dueño humano nombrado. Una identidad que nadie posee es una identidad que nadie dará de baja.
- Las credenciales rotan y se guardan en bóveda, nunca se comparten en una hoja de cálculo — el mismo riesgo de acceso fijo que veremos enfrentar a la startup con los tokens de CI.
- El retiro es un evento de leaver rastreado, reconciliado contra el CMDB, porque que la cuenta de un dispositivo sobreviva al dispositivo es justo lo que la reconciliación de huérfanas existe para atrapar.
La identidad no humana tiene su propio dominio más adelante en el programa; el punto aquí es que un hospital no puede correr JML para personas e ignorar en silencio la población mayor de cosas. A los atacantes no les importa si la credencial que roban pertenece a un cardiólogo o a un tomógrafo.
Auditoría: reconstruir quién tocó un expediente
La salud es el sector donde el pilar de auditoría deja de ser higiene y se vuelve el producto. Bajo HIPAA, un paciente puede preguntar quién accedió a su expediente, y el hospital debe responder — completa y creíblemente. Cada evento de ciclo de vida anterior (joiner, mover, break-glass, leaver, suspensión por licencia) emite hacia un almacén de auditoría justamente para que esa pregunta pueda responderse meses o años después.
Este es el pilar de auditoría de el ciclo operativo hecho concreto y con peso legal. Corre transversalmente a las tres etapas de acceso, registrando no solo inicios de sesión sino acceso a nivel de expediente: qué clínico abrió el expediente de qué paciente, cuándo, desde dónde y bajo qué autoridad — rutinaria, por rol o break-glass.
Dos patrones hacen la auditoría confiable y no teatral:
- La atribución sobrevive a la persona. Como los leavers se desactivan y retienen en lugar de eliminarse, un expediente que una enfermera que se fue accedió hace tres años sigue siéndole atribuible. Elimina la cuenta demasiado pronto y el rastro desarrolla agujeros justo donde una investigación los necesita.
- Las anomalías se sacan a la luz, no solo se almacenan. Un hospital que solo guarda logs tiene teatro de cumplimiento. Uno maduro corre detección sobre ellos — el empleado que abre el expediente de una celebridad, el clínico que hojea expedientes de pacientes que nunca trató, la ráfaga de acceso justo antes de una renuncia. Esta es la costura donde IAM se conecta con la detección de amenazas de identidad, un dominio posterior.
La lección se generaliza mucho más allá de la salud: la auditoría solo es tan buena como la disciplina de ciclo de vida que la sostiene. No puedes reconstruir quién hizo qué si tus identidades están fusionadas, tus leavers eliminados y tu break-glass sin registrar. El hospital solo vuelve las consecuencias imposibles de ignorar.
Dos relojes de RR. HH.: el problema de la cadencia público–privada
La estructura de doble sector crea un dolor de cabeza operativo más sutil que el médico de doble afiliación: las dos mitades de Red de Salud Metro corren su RR. HH. en relojes distintos. El sistema de RR. HH. del gobierno que alimenta al hospital público se mueve a paso de servicio civil — los cambios se procesan por lotes de un día para otro, las aprobaciones pasan por comités, y un cambio de rol puede tardar una semana en aterrizar. El Workday de la clínica privada es casi en tiempo real. La misma plataforma IGA consume ambos, y un único flujo rígido no puede servir a los dos.
Si diseñas JML a la cadencia de la fuente lenta, la clínica privada sufre fricción innecesaria el día uno; si lo diseñas a la cadencia de la fuente rápida, tus automatizaciones asumen eventos que el sistema público no entregará por días. La resolución es tratar la latencia misma como un atributo de la fuente:
- Los joiners del lado público se pre-staged agresivamente, porque el evento autoritativo llega tarde — la identidad se construye por delante del feed lento y se activa al confirmar.
- Los joiners del lado privado montan el evento en tiempo real directamente, con pre-staging mínimo.
- Los leavers urgentes del lado público no pueden esperar al lote nocturno, así que reciben una anulación manual en tiempo real — el mismo patrón de romper-la-norma que el flujo de salida urgente.
Encima se superponen las reglas estructurales del sector público: protecciones de antigüedad del servicio civil, acuerdos sindicales que limitan qué cambios de acceso pueden acompañar a un cambio de rol, y obligaciones de registros públicos que tiran en dirección distinta del mandato de privacidad de HIPAA. Ninguna de estas cambia la forma de JML — joiner, mover, leaver siguen aplicando — pero sí cambian su tiempo y aprobaciones. Esa es la verdadera lección de una organización de doble sector: el ciclo de vida debe absorber dos cadencias, o una mitad de la casa pasará sus días peleando con el flujo construido para la otra.
Medir la IAM en salud
Red de Salud Metro toma prestadas las métricas de JML de el artículo del ciclo de vida pero las inclina hacia los controles que mantienen seguros a los pacientes y satisfechos a los auditores. Las métricas no son sobrecarga de reporteo — en un hospital regulado son la evidencia de que los principios de “mínimo necesario” y rendición de cuentas son reales:
| Métrica | Cómo se ve lo bueno |
|---|---|
| Tiempo de aprovisionamiento (clínico nuevo) | Acceso funcional antes del primer turno, no la primera semana |
| Plazo de suspensión por licencia | Acceso suspendido exactamente al vencimiento, con recordatorios disparados semanas antes |
| Completitud de revisión de break-glass | 100% de los eventos revisados, el grueso en días |
| Tasa de huérfanas de dispositivos y cuentas de servicio | En tendencia a cero vía reconciliación con el CMDB |
| Tasa de auto-desaprovisionamiento de cohortes | Acceso de rotación expirando a tiempo sin offboarding manual |
Dos de estas merecen énfasis porque son donde los profesionales ven a los hospitales reprobar auditorías. La completitud de revisión de break-glass es la prueba honesta de si el acceso de emergencia es una anulación controlada o una puerta trasera silenciosa: si los eventos se apilan sin revisar, el control existe solo en papel, y un número descontrolado señala un modelo de acceso tan apretado que los clínicos rompen el vidrio rutinariamente solo para hacer su trabajo — un hallazgo en sí mismo. El plazo de suspensión por licencia es la métrica que prueba que el gating por licencia de verdad corre; un auditor escogerá a un médico cuya licencia caducó y pedirá ver el timestamp exacto en que se cortó el acceso, y “suspendemos al vencimiento, automáticamente, aquí está el log” es una conversación muy distinta de “alguien revisa una hoja de cálculo cada mes”.
El punto más profundo es que la salud vuelve medible lo que todo sector debería medir de todas formas. Un número de tiempo de desaprovisionamiento que puedas defender, una tasa de huérfanas en tendencia a cero y un rastro de auditoría completo son las señales universales de un programa que funciona — el hospital solo opera bajo un regulador que de verdad pedirá verlas, y por eso su instrumentación tiende a ser más honesta que la mayoría.
La telesalud y el perímetro que se expande
La presión más nueva sobre el ciclo de vida de Red de Salud Metro es la telesalud. Clínicos remotos — algunos empleados, algunos especialistas afiliados que consultan entre regiones — ahora llegan a los expedientes de pacientes desde fuera de los muros del hospital, en dispositivos que el hospital puede no poseer. Esto estira cada control que hemos discutido: la identidad debe probarse a un nivel de aseguramiento más alto porque no hay lector de gafete confirmando que la persona está físicamente presente, y la decisión de acceso debe pesar el contexto de dispositivo y red, no solo las credenciales.
Los profesionales se apoyan aquí en estándares de prueba de identidad — NIST SP 800-63 define los niveles de aseguramiento de identidad precisamente para el problema de “no puedo verte en persona” — y en conditional access que trata a un dispositivo doméstico no gestionado distinto de una estación del hospital. La forma del ciclo de vida no cambia (un especialista de telesalud sigue siendo joiner, mover o leaver), pero el joiner ahora incluye verificación de identidad más fuerte, y la autenticación se apoya en el contexto igual que el JIT de la startup y las verificaciones de postura de dispositivo de la consultora. La telesalud es un anticipo de un tema al que todo el programa regresa: a medida que el perímetro se disuelve, la identidad y el contexto se vuelven el plano de control, y el ciclo operativo tiene que aprovisionar y gobernar a personas que nunca conocerá físicamente.
Lo que enseña este caso
Red de Salud Metro destila las lecciones de IAM en salud que se generalizan incluso fuera del sector:
| Lección | El principio generalizable |
|---|---|
| Una persona, muchas relaciones | Gobierna el acceso por relación, no por humano |
| La licencia anula al empleo | La fuente autoritativa correcta por atributo, no por persona |
| Las cohortes llegan y se van en oleadas | Acota poblaciones enteras en el tiempo; no hagas offboarding uno por uno |
| Negar puede ser peligroso | A veces cambias prevención por detección — pero nunca por auditoría |
| Los expedientes sobreviven a la persona | Desactiva y retén; la eliminación es el último paso, no el primero |
La conclusión más profunda es la estructura de doble sector: cuando una organización abarca dos regímenes de empleo, la identidad se comparte pero las relaciones no, y un programa de IAM que las colapsa en una sola pierde la capacidad de aprovisionar, desaprovisionar y auditar cada una de forma independiente. Mantén el humano singular y las relaciones plurales.
Tres preguntas para autoevaluarte
- El contrato con la clínica privada de una médica de doble afiliación termina, pero conserva sus privilegios del hospital público. Describe exactamente qué debe desaprovisionarse, qué debe permanecer y cómo el rastro de auditoría prueba la diferencia.
- Tu cola de revisión de break-glass tiene 400 eventos este mes y el equipo de privacidad puede revisar 50. ¿Qué te dice ese número sobre tu modelo de acceso, y qué cambiarías para que el break-glass sea raro y no rutinario?
- Un residente se vuelve adscrito. Lista los permisos que retirarías, los que otorgarías, y explica por qué omitir el paso de “retirar” es más peligroso en un hospital que en la mayoría de las demás organizaciones.
Preguntas frecuentes
¿Por qué la IAM en salud es más difícil que en la mayoría de los sectores?
Porque un hospital tiene varias poblaciones de identidad distintas (personal asalariado, médicos con privilegios, residentes rotativos, contratistas, dispositivos) gobernadas por fuentes autoritativas diferentes, montadas sobre una regulación estricta que ata el acceso a una licencia médica activa y exige auditar por completo quién vio qué expediente. La mezcla de alta rotación, urgencia de seguridad del paciente y un riesgo de privacidad irreversible es rara en otros sectores.
¿Qué es un médico de doble afiliación en términos de IAM?
Un médico que ejerce en más de un entorno — por ejemplo el hospital público y una clínica privada afiliada — bajo una sola licencia profesional pero dos relaciones organizacionales. En IAM este es el caso difícil: un humano, una credencial, pero dos contextos de empleo con fuentes autoritativas distintas y alcances de acceso distintos que deben mantenerse separados y auditables.
¿Qué es el acceso break-glass en un hospital?
Break-glass es una anulación de emergencia controlada que permite a un clínico llegar a un expediente al que normalmente no tiene derechos — por ejemplo un médico de urgencias atendiendo a un paciente inconsciente fuera de su unidad. El acceso se otorga al instante pero se registra intensamente y dispara una revisión posterior automática, cambiando prevención por velocidad de seguridad del paciente sin renunciar a la rendición de cuentas.
¿Cómo debe manejar un hospital a un médico cuya licencia vence?
El sistema de credencialización, como fuente autoritativa de la licencia, debe alimentar las fechas de vencimiento a la plataforma IGA para que el acceso a sistemas clínicos se suspenda automáticamente en cuanto la licencia caduca, con recordatorios disparados en las semanas previas. La regulación exige que solo personal con licencia vigente llegue a la información de salud protegida, así que esto no puede depender de que alguien se acuerde de revisar.
¿Cómo se desaprovisiona a residentes y estudiantes rotativos?
Atando su identidad a una fecha de fin de rotación fija para que el acceso auto-expire, en lugar de depender de un offboarding manual. Los residentes y estudiantes llegan y se van en oleadas programadas, así que un hospital maduro trata cada cohorte como un conjunto de identidades acotadas en el tiempo — un patrón just-in-time a escala de población — y reconcilia después para atrapar cualquier cuenta que la automatización dejó pasar.