(+34) 910 42 42 93 [email protected]

seguridad fuga empleados

Ya sea por despido, ya sea por fin de contrato, o porque el empleado a encontrado otro trabajo que le interesa más, tarde o temprano todas las organizaciones tienen que enfrentarse a la disyuntiva de gestionar los activos informacionales, y por ende asegurar la seguridad de la información a la que un ex-empleado tenía acceso.

La mayoría de post sobre este tema se centran por tanto en el factor puramente social (que el empleado no robe datos, por ejemplo), por lo que aquí vamos a centrarnos en el pre y en el pos fin del trabajo.

¡Vamos a ello!

Como minimizar riesgo ANTES de que el empleado se vaya

El trabajo a nivel de seguridad de la información debería haber empezado literalmente meses antes de que un empleado se vaya, y no únicamente por este hecho, sino por la propia seguridad de la información de los activos informacionales que maneja una compañía.

Por ello, desde CyberBrainers ayudamos a empresas en sus procesos de transformación digital, que normalmente están asociados a un cambio de trabajo del entorno local (archivos y documentos almacenados en el ordenador del trabajador) a uno basado en el trabajo en remoto (archivos y documentos almacenados en un servidor corporativo).

Si se ha diseñado de antemano bien la política de acceso a los activos, y por ende, se ha estructurado correctamente la distribución y permisos para cada miembro de la organización, llegados al momento de decir adiós a un trabajador, a nivel puramente informático bastaría con ese mismo día quitarle los permisos de acceso, y que por gracias a ello, pierda por completo el control de la información corporativa que gestionaba.

El problema es que muchas organizaciones no llegan a este punto con los deberes hechos, y al ocurrir esto, es necesario que previamente se haga un pequeño análisis de a qué información tiene acceso el empleado, y sobre todo se revise con el departamento legal qué tipo de contrato de NDA se firmó.

Como demostraba recientemente en una encuesta (EN) realizada a las 500 empresas líderes de Reino Unido, el 43% de las organizaciones ni siquiera cuenta con una política que prohíba que el personal se lleve información laboral cuando dejan la compañía. Y lo que resulta aún más preocupante: solo el 47% revoca el acceso al edificio como parte del proceso de partida de un trabajador, y solamente el 62% reclama los dispositivos corporativos una vez terminado el acuerdo.

Por si fuera poco, este otro estudio de Tessian (EN) llega a la conclusión de que casi la mitad (45%) de los colaboradores descarga, guarda, envía o filtra documentos relacionados con el trabajo antes de dejar el empleo. Esto ocurre con mayor frecuencia en sectores como tecnología, servicios financieros y negocios, consultoría y gestión.

Con este panorama, es normal que parte de los activos informacionales, que recordemos que son el principal valor de una empresa del siglo XXI, se pierdan cuando se va un trabajador.

Sobre lo primero, daremos algunos tips a continuación.

Sobre lo segundo, en caso de no existir dicho acuerdo, es importante que se firme uno a la hora de gestionar el despido, y que en este se contemple tanto los activos informacionales corporativos que deben estar cubiertos por él, como las posibles consecuencias de no cumplirlo para el ex-empleado.

Cómo minimizar riesgo TRAS el fin del acuerdo empresa-empleado

Una vez el acuerdo de trabajo llegue a su fin, el equipo técnico, o una empresa especializada en gestión de seguridad de la información, deberá revisar todo el contenido y accesos que dependían de dicho trabajador, y cerciorarse de que:

  • La organización sigue teniendo acceso a los mismos: Por razones obvias (es la empresa la dueña de esos activos informacionales, y no el empleado), y que supone asegurarse de que tenemos capacidad para, por ejemplo, acceder al dispositivo de la empresa que le fue cedido al trabajador (si previamente se diseñó una buena política MDM, esto debería estar asegurado, pero en caso contrario el empleado pudo cambiar el acceso al mismo).
  • El empleado ya no tiene acceso a ellos: Cambiando las contraseñas, eliminando si fuera necesario el usuario, y privándole del acceso a la VPN corporativa y/o a los dispositivos de trabajo.

Por último, es siempre recomendable utilizar herramientas de monitorización activa de la Red (crawling web y monitorización de redes sociales) en busca de posibles fugas de información asociadas a potenciales usos maliciosos que el empleado haga de los activos informacionales obtenidos cuando trabajaba en la empresa.

Con estas acciones, minimizamos enormemente la pérdida de conocimiento interno de la compañía, así como la pérdida de control de la información interna que gestionaba el ex-empleado.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.