Cómo despedir a un perfil de responsabilidad en IT y vivir para contarlo
Imagina un escenario en el que debes despedir a un perfil de responsabilidad en IT, el cual dispone de todo tipo de información privilegiada acerca de la seguridad de la información de tu empresa. No es lo mismo que prescindir de cualquier otro empleado. Es necesario tener en cuenta múltiples facetas, entre las que destacan el acceso a la red interna de la empresa, todas aquellas aplicaciones en las que tiene rol de administrador y, por supuesto, el conjunto de nombres de usuario y contraseñas que conoce y sobre los que tiene control.
Si no se toman las medidas adecuadas, esta persona tiene la capacidad de llevar a cabo acciones que comprometan gravemente la seguridad de su organización. Eliminar o copiar información confidencial crítica, imposibilitar el acceso al sistema o, incluso, sabotearlo gravemente. Se trata de un escenario extremo y, relativamente, improbable. Después de todo, un especialista en IT al que se hayan atribuido semejantes responsabilidades debería comportarse de una forma responsable y profesional incluso después de que se le notifique el despido.
1. Comprueba cuáles son los privilegios de acceso de los que dispone un perfil de responsabilidad en IT y quién más dispone de esos accesos.
Uno de los mayores riesgos que puedes asumir como responsable IT es que la capacidad de acceso a los sistemas de la empresa esté únicamente en manos de un solo empleado. En su lugar, es altamente recomendable que los responsables de otros departamentos tengan acceso al Sistema de Gestión de Identidades (GdI) y que los permisos asignados a su rol les permita bloquear la capacidad de actuación de este usuario en el sistema y, por ende, se merme su capacidad de interactuación con los sistemas de la organización.
2. Implanta un proceso que posibilite la transición entre un perfil de responsabilidad en IT y su sucesor.
La forma en la que la información crítica es transmitida por parte un perfil de responsabilidad en IT a la persona que va a sustituirle debería estar estandarizada y contemplada en la Política de Seguridad Corporativa de la organización. De esa forma, llegado el momento, la transición tendrá lugar de una forma ágil y segura.
Igualmente, esta debería incluir una lista de tareas a realizar con el objetivo de retirar los accesos a todos los sistemas, la entrega de cualesquiera hardwares o equipamientos de los que se haya provisto al responsable en cuestión, así como una entrevista en la que se repasen las responsabilidades adquiridas o los acuerdos de confidencialidad que hayan sido firmados previamente.
3. Lleva a cabo una auditoría externa.
Antes de proceder al despido de un perfil de responsabilidad en IT es muy recomendable someter a la empresa a una auditoría llevada a cabo por un tercero. De esa manera, se minimizan las probabilidades de que dicho empleado perjudique los intereses de la empresa o ponga en peligro la seguridad de la información. La auditoría te permitirá detectar cualquier amenaza, sabotaje o eliminación de pruebas incriminatorias que puedan haberse llevado a cabo.
4 .Refuerza tu atención sobre tu backup
Con diferencia, una de las formas más eficientes de hacer frente a un sabotaje a los sistemas de información corporativos es a través de una buena estrategia de almacenamiento y backup que contemple un Plan de Recuperación ante Desastres (DRP., Disaster Recovery Plan). Lo que nos permitirá restaurar la información de la organización en caso necesario y evitar las grandes pérdidas tanto en términos económicos como de reputación que puede suponer para tu compañía.
5. No permitas que un perfil de responsabilidad en IT sea imprescindible para garantizar la seguridad de la información de tu organización.
La posibilidad de que un perfil de responsabilidad en IT deba ser despedido en algún momento dado no es, ni mucho menos, el único motivo por el cual deberías evitar que esa persona acapare para sí una serie de responsabilidades y privilegios que la hagan imprescindible para asegurar la información corporativa de tu empresa. Una baja laboral o la renuncia voluntaria son escenarios igualmente factibles. Esto puede parecer obvio, pero cuántas veces, nos encontramos con casos en los que dicho profesional dispone de semejante poder dentro de la organización, que despedirla o perderla implicaría tener que lidiar con graves problemas de gestión interna.
Una adecuada asignación de roles y perfiles entre los diferentes responsables de la organización garantizará que este escenario tenga una solución relativamente sencilla o, al menos, predecible y controlable.
6. Evita la criminalización del ex-responsable de IT
Sobra decir que este conjunto de medidas han de ser planteadas desde un punto de vista constructivo y enfocado, tanto en la seguridad, como en la buena gestión de la información corporativa. No se trata de criminalizar a un empleado ni hacerle sentirse como tal, por el sólo hecho de ser despedido. En su lugar, se ha de apelar a su sentido de la profesionalidad y la necesidad de que la empresa pueda seguir llevando a cabo su actividad cuando esa persona ya no forme parte de la misma, o bien sea ascendida o trasladada a otro departamento.
7. Gestiona con cautela los casos conflictivos.
En aquellas circunstancias en las que se sospeche que un perfil de responsabilidad en IT pueda estar llevando a cabo algún tipo de actividad perjudicial para los intereses de la organización y se esté sopesando proceder a un despido inmediato, todo este tipo de medidas cobran una mayor importancia. Es más, algunos preparativos –como la auditoría externa, la verificación y refuerzo de copias de seguridad o la detección y cierre de puertas traseras- deberían realizarse tomando las precauciones oportunas y, en los casos más extremos, fuera del horario laboral.
8. Gestionar los roles del actual equipo de IT
Sobra decir la labor que realiza este departamento dentro de la organización. Restablecer los roles y perfiles del personal que lo compone es un proceso que ha de contemplarse previamente, tanto a nivel de funciones como a nivel de permisos y accesos.
9. Política de Seguridad Corporativa, aun una tarea pendiente de muchas organizaciones.
Todos estos puntos no son más que una explicación de lo que una adecuada Estrategia de Seguridad Corporativa contempla. Pese a que muchas organizaciones ya cuentan con este proceso claramente definido, se trata de una de las tareas pendientes que muchas empresas aun tienen en términos de seguridad corporativa. Y tú, ¿has realizado ya esta importante tarea?
10. La importancia de los Sistemas de Gestión de Identidades.
Llegados a este punto, sobra aclarar el importante papel que los Sistemas de Gestión de Identidades adquieren en las Políticas de Seguridad Corporativas de las compañías. Son, en definitiva, el brazo ejecutor que permite sistematizar todo tipo de procesos en términos de accesos y permisos a la información corporativa.
