¿Cómo proteger la información de tu compañía cuando un empleado se marcha?
En un entorno corporativo ideal, la rotación de los empleados dentro de una empresa debería tener lugar de una forma natural. Si el departamento de RR.HH. ha hecho un buen trabajo, los empleados de mayor talento serán retenidos y, probablemente, ascendidos. Mientras que aquellos que no encajen dentro las necesidades de la empresa habrán contado con un programa de formación que les permita incorporarse a un nuevo puesto de trabajo más apropiado. Ambas partes deberían estar en disposición de terminar su relación laboral de una forma amistosa y deseándose el más prometedor de los futuros.
Sin embargo, no nos engañemos. No vivimos en un mundo ideal. Nada garantiza que el despido o la marcha de un empleado no puedan convertirse en el inicio de una serie de hostilidades que terminen en un serio problema de fuga de información confidencial o algo peor.
Los empleados son una de las mayores brechas de seguridad informática de una empresa, y su marcha debería contar con un adecuado protocolo de actuación coordinada por parte de RR.HH., T.I. y cualquier otro departamento que esté involucrado en la gestión de las credenciales y accesos que dichos empleados puedan tener.
Coordina a tus departamentos durante el proceso de despido
Me gustaría insistir en este aspecto porque, a menudo, es tomado a la ligera. El tiempo que transcurre desde que el responsable de RR.HH. comunica el despido al empleado hasta que sus accesos son retirados de forma definitiva resulta crucial. Como veremos en seguida, RR.HH. –o el propio responsable de T.I.- debe llevar a cabo la recopilación de los ordenadores, discos, tarjetas y cualquier otro dispositivo que implique el acceso a información confidencial o realización de operaciones propias del negocio.
Sin embargo, esta actuación debe simultanearse con la retirada por parte de T.I. de los accesos a cualesquiera sistemas en los que el empleado estuviese dado de alta. Igualmente, puede ser necesario que el departamento de finanzas informe a vuestro gestor bancario de que determinado empleado ya no cuenta con autorización alguna para actuar en nombre de la empresa. Podría seguir, pero creo que la idea ha quedado bastante clara. Si estas actuaciones no tienen lugar al mismo tiempo y de forma sistematizada, el peligro de que se produzca un problema de seguridad se incrementa enormemente. Y no, no estamos ante un procedimiento sencillo y fácilmente ejecutable por parte de muchas organizaciones.
Retirada de los dispositivos que sean propiedad de la empresa
Cada uno de los dispositivos que tu empresa proporcione a los empleados debería ser objeto de un escrupuloso inventario. Smartphones, portátiles, pendrives, discos de seguridad, etc. deberán ser inmediatamente retirados en el momento en que el despido sea notificado. Lo mismo puede decirse de cualesquiera llaves, tarjetas o pases de seguridad que obren en manos del empleado.
Cuentas huérfanas y accesos remotos
Las cuentas huérfanas son una de las más frecuentes brechas de seguridad que tienen lugar en el mundo corporativo. El 48% de los usuarios no son eliminados de los sistemas cuando el trabajador deja una organización. De hecho, de acuerdo con una encuesta realizada por Phil Lieberman, el 13% de los responsables de IT reconocen seguir teniendo acceso a los sistemas de sus anteriores empresas, mediante el uso de sus antiguas credenciales. Tanto las cuentas huérfanas, como el acceso remoto a sistemas y bases de datos por parte del empleado deberían eliminarse o revocarse durante el proceso de despido.
Por otra parte, la compartición informal de credenciales entre los empleados es un mal pero frecuente hábito que también puede originar importantes brechas de seguridad. Muy a menudo, el personal de una compañía comparte sus contraseñas, etc. con el fin de agilizar un determinado trámite. Sin embargo, no es algo que suela tenerse en cuenta a la hora de diseñar y mantener una Política de Seguridad Corporativa. Y mucho menos se procede a la restauración de las mismas de forma periódica o cuando se trata de restringir el acceso a personal ya desvinculado con nuestra organización.
El cambio y recuperación de las credenciales de acceso puede tener lugar de forma manual. Sin embargo, la manera más eficiente de atajar estos problemas es a través de la implementación de un Sistema de Gestión de Identidades IdM (“Identity Management Systems”) que permita el desaprovisionamiento de las credenciales de forma simultánea en todos los sistemas y entornos a los que se haya tenido acceso hasta ese momento.
¿Qué hay del uso de las soluciones BYOD y COPE?
Hace poco, ya nos referíamos a la creciente tendencia dentro del mundo empresarial a incorporar planes de movilidad. En un entorno en el que los empleados pueden trabajar desde cualquier sitio, han comenzado a proliferar soluciones como BYOD (“Bring Your Own Device” o Trae tu propio dispositivo) y COPE (“Corporate-Owned, Personally-Enabled” o Propiedad de la empresa y uso personal permitido).
Este contexto plantea nuevos retos en lo que se refiere a la seguridad corporativa, máxime cuando se produce un despido. Uno de los principales handicaps a los que se enfrentan los responsables de IT hoy es la falta de control sobre la exportación y/o compartición de información corporativa a través de dispositivos externos y tecnologías cloud/web públicas y gratuitas. Una problemática no resuelta que, sin duda, supone una de las principales brechas de seguridad para las organizaciones. Y es por esto que el 80% de los responsables de IT aún prefieren mantener la información más sensible de su organización dentro de su propio sistema. Algo que, sin embargo, pone freno al desarrollo e implementación de unas ya imparables tendencias para el desarrollo de negocio. Ante este contexto, de cara a hacer frente a los problemas de movilidad cada vez más frecuentes dentro de las empresas, la implantación de un servicio en la nube con accesos provisionados conforme a roles y perfiles supondría una solución mucho más segura y útil que su ignorancia o rechazo. Se permite así el control de los accesos a los servicios cloud por parte de los responsables en cuestión.
Retirada de las tarjetas de crédito y cambio de claves de acceso a las cuentas bancarias
Determinados empleados pueden contar con privilegios, tales como una tarjeta de crédito o el acceso a las cuentas bancarias de la empresa. Una vez se informe del despido, deben tomarse las medidas adecuadas para impedir el acceso por parte de dichos empleados a los recursos económicos corporativos.
¿Cómo gestionar todos estos procesos con la rapidez y seguridad que requieren?
Como ya hemos comentado, son muchos los procesos y varios los departamentos a coordinar en el momento en el que un trabajador deja de tener vinculación con nuestra organización. Y este procedimiento no siempre se cumple con la rigurosidad que exige la salvaguarda de la información corporativa. Entonces, ¿cómo solucionar esta problemática?
Desde mi punto de vista y tras mis veinte años de experiencia en el sector de la tecnología, creo que toda organización necesita de una Política de Seguridad Corporativa que contemple, entre otros, estos procedimientos, así como herramientas que permitan su articulación. En este sentido, los sistemas de gestión de identidad o [highligts]IdM[/highlights] (“Identity Management Systems”) y el resto de tecnologías integrales de gestión de la movilidad empresarial (EMM) permiten realizar, a golpe de clic, la automatización de todos y cada uno de los puntos a tener en cuenta en este proceso. Así, estas tecnologías nos posibilitan una velocidad de reacción impensable con procedimientos manuales. Éstas son algunas de sus funciones:
- La modificación o eliminación selectiva y de forma remota de información corporativa almacenada en diversos dispositivos. (EMM)
- El desaprovisionamiento automático de las cuentas de aquellos usuarios que ya no forman parte de la organización. (IdM)
- El cambio y recuperación de las credenciales de acceso a diversos sistemas internos o externos a la propia organización. (IdM)
- La monitorización, autorización y revocación del acceso a dichos sistemas. (IdM)
La importancia de la prevención
Aunque contar con un IdM garantiza el cumplimiento de la Política de Seguridad Corporativa, por obvio que parezca, no hay que olvidar la importancia de las medidas preventivas.
Firma de un acuerdo de política de uso de tecnología y la información
Como requisito previo a la incorporación de un empleado a su puesto, siempre debería tener lugar la firma de un acuerdo de uso aceptable de la tecnología de la información dentro de la empresa (“Technology Acceptable Use Policy Agreement”).
De esta forma, dicho empleado será consciente de los límites a los que está sometido en lo que concierne a la información corporativa y no podrá argumentar un desconocimiento de los mismos.
Durante la reunión en la que se le notifique el despido, este acuerdo debería serle presentado a modo de recordatorio y como guía fundamental para llevar a cabo el resto de medidas de control.
Como has podido comprobar, la protección de la información confidencial corporativa responde a una adecuada combinación de técnicas y herramientas preventivas y de ejecución, junto con una ponderación del grado de confianza que se deposita en los empleados.