Cuando los empleados dejan una empresa, se suelen dar por sentados los procesos predefinidos de IT y RRHH para el llamado offboarding. El proceso suele consistir, por ejemplo, en devolver las tarjetas de acceso o el hardware, tareas bastante cotidianas. Sin embargo, no es el caso de la seguridad informática, que tiende a descuidarse y puede aportar complejidades impensadas. ¿Posibles consecuencias? Amenazas a la seguridad y fugas de datos no deseadas.
Los motivos para dejar un trabajo pueden variar; sin embargo, no todas las despedidas son de mutuo acuerdo. Antes de que los lugares de trabajo se digitalizaran, los ex compañeros robaban lápices o realizaban mal su trabajo para vengarse del empresario. Pero hoy en día, los futuros ex empleados enfadados pueden dañar la seguridad digital de la empresa copiando en secreto datos confidenciales, robando contactos comerciales o incluso manipulando o borrando archivos vitales de la red de la empresa. Según diversas encuestas, esto ocurre con especial frecuencia en los sectores tecnológico, financiero, de gestión y de consultoría. Lo que podría considerarse como una simple rebeldía en el mundo offline puede convertirse en un delito en el mundo digital.
Por lo tanto, a la hora de dar de baja a los empleados, el departamento de seguridad informática debe desempeñar un papel fundamental. Las medidas deben ir mucho más allá de la recogida de las tarjetas de acceso, los ordenadores portátiles y los teléfonos inteligentes y la desactivación del correo electrónico del empleado. Debe denegarse todo acceso a plataformas de mensajería, herramientas en línea, servicios en la nube y redes. Estas medidas aún no se incluyen en las listas de control de la incorporación de empleados de muchas empresas o solo se han adaptado o desarrollado de forma limitada.
Evita incidentes y daños
Tanto si los empleados roban datos para impresionar a un nuevo jefe, como si simplemente los cogen o borran por resentimiento, el impacto potencial en la empresa puede ser grave. Las fugas de datos resultantes pueden tener, entre otras, las siguientes consecuencias
- Costes de investigación, reparación y saneamiento
- Costes legales derivados de las demandas, incluidas las demandas colectivas
- Multas reglamentarias
- Daño a la marca y a la reputación
- Pérdida de ventaja competitiva
De compañero de trabajo a saboteador
El proceso de incorporación puede ser especialmente complicado si el empleado que se marcha tomó la decisión de dejar la empresa con antelación, y simplemente no había informado a la dirección de sus intenciones. En este caso, el empleado puede representar un peligro potencial durante un periodo de tiempo más largo. Los expertos suelen clasificar a este tipo de personas internas como un riesgo para la seguridad debido a su comportamiento negligente o a sus intenciones delictivas.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) también ha abordado el problema de los insiders y lo ha incluido en la lista de las 15 principales amenazas. El informe 2021 Threat Landscape muestra que los insiders son los responsables directos de las pérdidas de datos de todo tipo. Este grupo de empleados es más propenso a involucrarse en ataques de ingeniería social, que, junto con los correos electrónicos maliciosos y los enlaces manipulados, pertenecen a los vectores de ataque más peligrosos. No importa si el empleado/persona interna que se marcha simplemente actuó de forma negligente o abrió deliberadamente las puertas a los piratas informáticos; es necesario abordar el peligro que suponen los autores internos.
Consejos para una baja segura
1. Comunicar las políticas de forma clara y comprensible
Tus empleados pueden pensar que los datos que producen en el trabajo les pertenecen. Unas políticas claras y estructuradas les ayudan a comprender mejor los límites de su participación en la propiedad intelectual. Además de las directrices correspondientes, incluye sanciones claramente formuladas en caso de incumplimiento. Es aconsejable respaldar estas especificaciones con ejemplos concretos, utilizando listas de clientes o dibujos técnicos como casos prácticos. Aunque estos documentos puedan haber sido creados por los empleados, en realidad pertenecen a la empresa.
2. Apóyate en la supervisión continua
Utiliza tecnologías de control que monitoricen e informen continuamente de las actividades sospechosas, respetando las leyes locales de protección de datos.
3. Definir directrices y procesos concretos
Lo que ya se considera estándar cuando se trata de la incorporación de nuevos empleados suele descuidarse cuando éstos se marchan. Si defines de antemano los flujos de trabajo y los procesos, crearás las condiciones óptimas para una baja fluida y eficaz.
4. Realiza copias de seguridad periódicas
No dejes que los empleados que se marchan te roben los datos para siempre. Utiliza soluciones eficaces de copia de seguridad y recuperación de datos para asegurarte de que siempre tienes una copia y puedes garantizar la continuidad del negocio. "Combina soluciones de copia de seguridad en la nube y locales y cumple la regla 3-2-1: ten tres copias en dos ubicaciones internas diferentes y al menos una fuera de la empresa", dice Greg Bak, director de desarrollo de productos de Xopero Software. Las copias de seguridad pueden ser una medida preventiva muy útil.
5. Prueba el software de prevención de pérdida de datos (DLP)
Evita que personas no autorizadas accedan a los datos internos y los compartan implementando un software fiable de prevención de pérdida de datos. También te ayuda a gestionar el flujo de datos y a estar informado de cómo se manejan. El software de DLP que ofrece, por ejemplo, Safetica, también te ayuda a detectar las amenazas internas al tiempo que cumple con la normativa de privacidad de datos.
6. Almacenar los datos en la nube
¿Otra medida preventiva? No confíes solo en los discos duros, y pide a los empleados que almacenen siempre los datos en la nube, preferiblemente incluso los archivos de trabajo en curso, para que sean accesibles a más usuarios. La unidad de disco del ordenador u otro dispositivo de un empleado nunca debe ser el único lugar donde se guarden los datos.
En la era digital, las empresas ya no pueden permitirse que nadie les robe su valiosa propiedad intelectual, especialmente los empleados que se marchan, que podrían haber manejado datos sensibles mientras trabajaban en la empresa. Ya sea de forma consciente o inconsciente, las fugas de datos pueden perjudicar la imagen de la empresa y causar daños financieros. Por lo tanto, la incorporación cuidadosa de los empleados debe convertirse en una parte integral de la seguridad informática de tu empresa.