Los permisos en redes sociales parecen sencillos hasta que intentas gestionarlos de verdad. ¿Quién debería tener acceso a qué? ¿Qué roles tienen sentido para qué personas? ¿Cómo mantienes la seguridad mientras permites que tu equipo y socios hagan su trabajo?
Esta guía explica cómo pensar en los permisos de redes sociales para un restaurante, quién debería tener qué nivel de acceso y cómo evitar los errores más habituales.
Por qué importan los permisos
Tus cuentas de redes sociales son activos empresariales valiosos. Contienen años de contenido, miles de seguidores, comunicaciones directas con clientes y acceso a presupuestos de marketing de pago. Tratarlos con descuido es un riesgo real.
Una buena gestión de permisos te protege de varios problemas. Exempleados o agencias que retienen el acceso. Daños accidentales de personas con más acceso del que necesitan. Brechas de seguridad que comprometen tus cuentas. Confusión sobre quién es responsable de qué.
Un poco de planificación previa evita muchos dolores de cabeza posteriores.
El principio de mínimo privilegio
La regla fundamental de la gestión de permisos es simple. Da a las personas el acceso mínimo que necesiten para hacer su trabajo, y nada más.
Si alguien solo necesita escribir textos, no necesita acceso de administrador. Si solo gestionan anuncios, no necesitan publicar contenido orgánico. Si solo necesitan ver analíticas, no necesitan privilegios de edición.
Empieza con el conjunto de permisos más pequeño posible y amplíalo solo cuando sea necesario. Este enfoque minimiza el riesgo y mantiene la seguridad de tu cuenta.
Roles comunes en las plataformas
Las diferentes plataformas usan diferentes nombres de roles, pero los conceptos subyacentes son similares. Entender los tipos te ayuda a elegir correctamente independientemente de la plataforma.
Propietario o superadministrador. Control total, incluida la capacidad de eliminar a otros usuarios. Debe reservarse para el propietario real del negocio y quizás una persona de respaldo. Nunca lo des a agencias externas.
Administrador. Control amplio sobre la cuenta, pero sin la capacidad de eliminar al propietario. Apropiado para miembros senior del equipo que necesitan acceso operativo completo.
Creador de contenido o editor. Puede publicar, editar y responder a mensajes, pero no puede cambiar la configuración de la cuenta ni gestionar otros usuarios. Este es el nivel correcto para la mayoría de los gestores de contenido y agencias que se encargan de publicar.
Anunciante. Puede crear y gestionar campañas de pago pero tiene capacidad limitada para publicar contenido orgánico o cambiar la configuración de la cuenta. Apropiado para especialistas en medios de pago.
Moderador o gestor de comunidad. Puede responder a comentarios y mensajes, pero no puede publicar contenido nuevo. Útil para roles de atención al cliente.
Analista o espectador. Puede ver estadísticas y datos, pero no puede hacer ningún cambio. Apropiado para fines de informes o acceso de solo lectura.
La mayoría de las plataformas ofrecen roles que se corresponden aproximadamente con estas categorías, aunque los nombres exactos difieran.
Quién debería tener qué acceso
Aquí se explica cómo pensar en el acceso para diferentes tipos de personas en tu operación de restaurante.
Tú, el propietario. Acceso de propietario completo en cada cuenta. Esta es tu base. Siempre debes poder hacer cualquier cosa en cualquier cuenta conectada a tu negocio.
Tu responsable o segunda persona al mando. Acceso de administrador en las cuentas principales, con los roles de respaldo necesarios. Esta persona debería poder gestionar la mayoría de las tareas si no estás disponible.
Tu creador de contenido o gestor de redes sociales. Acceso de creador de contenido o editor en las plataformas que gestiona. No necesita acceso a facturación ni gestión de usuarios.
Un fotógrafo o videógrafo freelance. Sin acceso directo a la cuenta. Entrega archivos a ti o a tu gestor de contenido, que luego publica desde su propio acceso.
Una agencia de anuncios de pago. Acceso de anunciante en tus cuentas de anuncios. Acceso de creador de contenido en páginas e Instagram solo si también gestiona el contenido orgánico. Nunca a nivel de administrador.
Una agencia de marketing de servicio completo. Acceso de creador de contenido o editor en páginas e Instagram, acceso de anunciante en cuentas de anuncios. Posiblemente acceso de administrador si son de total confianza y lo gestionan todo.
Una agencia de relaciones públicas o prensa. Normalmente sin acceso directo a la cuenta. Gestionan las comunicaciones por separado y se coordinan contigo o con tu gestor de contenido para cualquier contenido publicado.
Tu encargado de sala. Sin acceso a redes sociales a menos que gestione específicamente la atención al cliente a través de mensajes directos. En ese caso, dale acceso de moderador o gestor de comunidad.
Nuevas incorporaciones o empleados en período de prueba. Empieza con el acceso más limitado posible. Amplíalo una vez que hayan demostrado ser de confianza.
El principio en todos estos casos es el mismo. Da el acceso mínimo necesario, y trata la ampliación del acceso como una decisión de confianza.
Las plataformas en la práctica
Las diferentes plataformas gestionan los permisos de forma ligeramente diferente. Esto es lo que debes saber sobre las principales.
Facebook e Instagram comparten permisos a través de Meta Business Manager. Añades usuarios a Business Manager y luego los asignas a páginas, cuentas de Instagram y cuentas de anuncios específicas con roles específicos. Es el sistema más flexible pero también el más complejo.
TikTok ofrece un acceso a cuentas de empresa más simple, con menos opciones de roles. Para la mayoría de los restaurantes, el acceso a TikTok se gestiona a través del inicio de sesión directo de una sola persona o equipo usando las funciones de seguridad de la cuenta.
Google Business Profile usa roles de gestor, con opciones para propietario, gestor y gestor del sitio. Para la mayoría de los restaurantes, un propietario y uno o dos gestores es suficiente.
Twitter o X tiene el concepto de delegados y equipos, aunque es menos robusto que el sistema de Meta.
Las herramientas de contenido y programación suelen usar sus propios sistemas de permisos superpuestos a los de la plataforma. Concedes acceso a la herramienta una vez y luego gestionas quién usa la herramienta por separado.
El problema de las contraseñas
Muchos restaurantes siguen gestionando el acceso mediante contraseñas compartidas. Es una mala idea por varias razones.
Las contraseñas compartidas no pueden revocarse de forma selectiva. Una vez que alguien tiene la contraseña, cambiarla afecta a todos. La actividad no puede atribuirse a personas específicas. No sabes quién hizo qué. La autenticación en dos pasos se vuelve impráctica. Los códigos tienen que ir a un teléfono al que todos puedan acceder. La seguridad se rompe completamente. Las malas prácticas de seguridad de una persona comprometen a todos.
Usa el acceso por roles siempre que sea posible. Compartir contraseñas es aceptable solo como último recurso en plataformas que no ofrecen acceso por roles, e incluso entonces debe hacerse a través de un gestor de contraseñas seguro, no aplicaciones de mensajería.
Autenticación en dos pasos
Independientemente de cómo gestiones los permisos, la autenticación en dos pasos en la cuenta del propietario es esencial. Es la capa adicional que mantiene tu cuenta segura incluso si una contraseña está comprometida.
Usa una aplicación de autenticación como Google Authenticator o Authy, no códigos basados en SMS. El 2FA por SMS tiene vulnerabilidades conocidas que lo hacen menos seguro que las opciones basadas en aplicaciones.
Requiere 2FA en cada cuenta de nivel administrador. Para roles de nivel inferior, suelen aplicarse los requisitos de la plataforma, pero animar a todos los usuarios a activarlo es una buena práctica.
El hábito de auditoría
Cada pocos meses, revisa quién tiene acceso a tus cuentas. Comprueba la lista de usuarios de cada plataforma y asegúrate de reconocer a todos.
Si ves cuentas que no deberían tener acceso, elimínalas. Si los roles son más altos de lo que deberían ser, redúcelos. Si alguien dejó el equipo hace meses y todavía tiene acceso, eso es un incidente de seguridad esperando ocurrir.
Esta auditoría lleva unos quince minutos y previene los problemas más comunes relacionados con los permisos.
Desconectar correctamente
Cuando alguien deja tu equipo o termina su trabajo, revoca de inmediato todo su acceso. No esperes unos días o semanas. Hazlo el mismo día, idealmente en pocas horas.
Crea una lista de verificación de cada plataforma y activo al que tenían acceso. Trabájala metódicamente y verifica cada eliminación. Olvidar una sola puede crear problemas.
Cambia cualquier contraseña compartida que pueda estar en riesgo, aunque esto no debería ser necesario si estás usando el acceso por roles.
Documenta qué eliminaste y cuándo. Esto te protege si surgen preguntas más adelante.
El enfoque de documentación
Mantén un documento o hoja de cálculo sencilla que liste a cada persona que tiene acceso a tus cuentas de redes sociales. Incluye su nombre, rol, a qué cuentas puede acceder, la fecha en que se concedió el acceso y cuándo debe revisarse.
Esto parece burocracia, pero en la práctica ahorra tiempo. Cuando necesitas añadir a alguien nuevo, puedes ver qué roles concedes habitualmente. Cuando alguien se va, tienes una lista clara de qué revocar. Cuando auditas, tienes una base con la que comparar.
Una hoja de cálculo básica es suficiente. No necesitas software especial.
Comunicar las expectativas
Cuando concedes acceso a cualquier persona, comunica qué esperas que haga con él. No asumas que la gente entenderá los límites.
Diles qué pueden hacer, qué no deben tocar, cuándo preguntar antes de hacer cambios y con quién contactar si algo va mal. Ponlo por escrito si la relación es formal, para que no haya confusión más adelante.
Las expectativas claras evitan las situaciones incómodas en las que alguien hace cambios que no querías o ignora cambios que necesitabas.
Herramientas e integraciones
Las herramientas de contenido diseñadas para restaurantes suelen conectarse a través de integraciones oficiales de plataformas. No requieren compartir contraseñas y pueden revocarse a través de la configuración de la plataforma si dejas de usar la herramienta.
Prefiere siempre herramientas que usen integraciones oficiales sobre las que piden tus credenciales de inicio de sesión reales. El enfoque de integración oficial es más seguro y más fácil de gestionar.
Revisa periódicamente las herramientas conectadas a tus cuentas. Elimina las que ya no uses. Las integraciones no utilizadas son un riesgo olvidado.
La mentalidad continua
La gestión de permisos no es una tarea única. Es un hábito continuo que forma parte de llevar tu restaurante.
Cuando añades un nuevo miembro del equipo, piensa en qué acceso necesita. Cuando alguien se va, elimina su acceso de inmediato. Cuando empiezas a trabajar con una nueva agencia, concede acceso limitado primero y amplíalo solo a medida que crece la confianza. Cuando las herramientas cambian, revisa lo que está conectado.
Estas pequeñas acciones continuas mantienen tus activos de redes sociales seguros y gestionables durante años, lo que importa más que cualquier medida de seguridad puntual que puedas implementar.