Cómo una entidad financiera pública convirtió SharePoint en un gestor documental con control real y trazabilidad

Hay una trampa muy común en SharePoint: marcar documentos como “confidenciales” y asumir que eso implica control.

La realidad es más incómoda: si cualquiera puede abrir esos documentos, no hay confidencialidad. Hay una etiqueta. Y, en el mejor de los casos, una falsa sensación de seguridad.

Este caso de éxito cuenta cómo una entidad financiera pública (equipo de operaciones + cumplimiento + auditoría) pasó de un modelo manual y frágil a un sistema documental con estructura, permisos coherentes y trazabilidad, apoyándose en Power Automate + SharePoint, con resultados medibles en pocas semanas.

El contexto

El equipo gestionaba operaciones (deals) e instrumentos en SharePoint. El hábito era “hacer lo correcto”:

• documentos marcados como “confidenciales”

• clasificación manual

• archivado manual

• reportes para auditoría… cuando se pedían

En papel, todo sonaba razonable. En la práctica, el día a día se parecía más a esto:

• búsquedas eternas,

• dudas de “¿quién tiene acceso a qué?”,

• dependencia de 1–2 personas que “se saben el SharePoint”,

• y una auditoría que, cuando llegaba, se convertía en una carrera de fondo con Excel.

El problema real

No era “falta de SharePoint”. Era una brecha de control.

1) “Confidencial” sin cerradura

Etiquetaban como confidencial, pero no existía restricción efectiva de acceso.

Si el control depende de la buena fe o de que la gente “lo haga bien”, no es control.

2) Clasificación y archivado manuales

El sistema dependía de búsquedas y acciones manuales: mover, revisar, ordenar, corregir enlaces…

Eso es lento, frágil y caro.

3) Auditoría sin trazabilidad nativa

Cuando había que demostrar movimientos o criterio de archivado, se reconstruía a mano.

No solo era trabajo: era riesgo.

Enfoque

Aquí no tenía sentido “meter un flujo” y ya.

La solución tenía que ser un sistema completo, basado en 3 capas:

1. Estructura: dónde vive cada cosa

2. Reglas: cuándo se mueve y quién puede acceder

3. Automatismos + huella: ejecutar esas reglas y registrar evidencia (auditoría)

La solución: 3 capas para que “confidencial” sea real

Capa 1 — Estructura: 3 repositorios con lógica por antigüedad

Se definieron bibliotecas separadas para documentación sensible en función del ciclo de vida:

• Protegido (activo + primeros años)

• Archivo restringido (5–10 años)

• Archivo histórico restringido (+10 años)

Esto evita el “cajón de sastre”, facilita permisos por etapa y reduce errores humanos.

Capa 2 — Reglas: permisos por rol y reducción progresiva de acceso

Se establecieron grupos y permisos por perfiles (por ejemplo: publicadores, comité, auditoría, administradores) y una idea clave:

A medida que la documentación envejece, no se mantiene el mismo acceso por defecto.

Esto baja riesgo sin romper la operativa.

Capa 3 — Automatismos: 4 flujos núcleo + lista de auditoría

Se implementaron 4 automatismos que convertían las reglas en rutina:

1. Creación de carpeta protegida y generación de vínculo “Documentos confidenciales” al crear/gestionar una operación.

2. Movimiento a “Protegido” cuando un documento debía quedar aislado.

3. Job periódico para mover a “Archivo 5–10” y actualizar el vínculo.

4. Job periódico para mover a “Archivo +10” y actualizar el vínculo.

Y lo más importante: cada movimiento dejaba huella en una lista de auditoría (origen/destino, fecha, operación, etc.), lista para filtrar y exportar.

Resultado: de gestión manual a sistema con trazabilidad

En 2 meses, el equipo pasó de trabajar “a base de memoria” a trabajar con un sistema que se sostiene solo.

Impacto medible

• +50 horas ahorradas en 2 meses

  Menos búsquedas, menos clasificación manual, menos “pásame el reporte”.

Impacto operativo

• Tranquilidad real

  No depende de que alguien “se acuerde”: hay estructura y reglas ejecutadas automáticamente.

Impacto de cumplimiento

• Auditoría a demanda

  Una lista filtrable/exportable con los movimientos y el criterio aplicado, sin reconstrucción manual.

Lo que hace que esto funcione (y que casi nadie hace al principio)

La mayoría empieza por Power Automate.

En este caso, el orden fue el correcto:

1. Diseñar el mapa: repositorios, roles, reglas

2. Asegurar el control: permisos coherentes

3. Automatizar lo repetible: flujos que ejecutan políticas

4. Dejar evidencia: auditoría operable

Porque la frase clave aquí es:

Estructura antes que tecnología.

Señales de que tu “SharePoint confidencial” no es realmente confidencial

Si te suena alguna, probablemente no necesitas “más SharePoint”: necesitas sistema.

1. Hay documentos marcados como confidenciales, pero sin restricción efectiva.

2. Los reportes tardan días porque dependen de trabajo manual.

3. Tu SharePoint funciona porque “pregúntale a X, que sabe dónde está”.

Si gestionas contratos, RRHH, finanzas o datos de clientes y tu “confidencialidad” depende de la buena fe o de búsquedas manuales, esto se puede ordenar sin rehacer todo.

Si quieres, te preparo un mini diagnóstico en 15 minutos con 2–3 cambios de alto impacto (estructura + permisos + trazabilidad) para tu caso.