«¿Se va tan pronto, señor Solo?». Esta famosa cita puede sonar bien en las películas, pero en un entorno empresarial, que un empleado abandone la empresa puede acarrear algunos problemas graves de seguridad de no tratarse adecuadamente. Hablemos del porqué y qué se puede hacer para prevenir estos riesgos.
Dos tipos de bajas de empleados
En general, hay dos tipos de bajas: las previstas y las imprevistas. Ambas son diferentes y deben tratarse en consecuencia.
1. Baja prevista
En esta situación, el empleado abandona la organización según lo previsto, normalmente después de un período de tiempo designado tras presentar la comunicación de baja.
La mayoría de las organizaciones tienen planes de contingencia para las bajas previstas. Por lo general, se pide al empleado que rellene unos cuantos formularios, visite los departamentos pertinentes para que cada uno de ellos compruebe que no quedan asuntos pendientes (por ejemplo, que se hayan devuelto todos los préstamos, que se hayan cerrado todas las cuentas de usuario, etc.). Una vez completados estos pasos, el empleado es libre de abandonar la organización.
Entonces, ¿este proceso es a prueba de errores? Desde el punto de vista informático, la respuesta es un gran «¡no!». Según nuestra experiencia, una auditoría siempre encontrará alguno de estos defectos:
- Cuentas de usuario que nunca se cerraron, aunque los empleados ya no estén en la empresa.
- Cuentas de usuario en uso pertenecientes a empleados que dejaron la organización hace mucho tiempo.
… entre otras situaciones terroríficas desde la perspectiva de IT.
2. Baja inesperada/imprevista
En esta situación, el empleado deja de trabajar inmediatamente. Las razones pueden ir desde el despido inmediato debido a un fraude, situaciones de incapacidad médica, que al empleado le toque la lotería, etc.
El factor común que comparten los ejemplos anteriores es que no tiene tiempo para preparar la baja y necesita actuar inmediatamente para minimizar los riesgos.
Las bajas inesperadas son mucho peores que las previstas. Las personas desaparecen, pero sus rastros quedan atrás y pueden utilizarse para cometer fraudes y revelar información sensible por empleados no autorizados o piratas informáticos.
Imagínese identificar una brecha de seguridad en la cuenta de Juan, un empleado que dejó su organización hace un mes. Identificar quién ha estado usando la cuenta de Juan pasado un mes desde que se fuera de la empresa puede ser una pesadilla para el departamento de IT o para cualquiera que investigue la cuenta.
A fin de estar preparado para esto, debe implementar procesos adecuados que le eviten una montaña de problemas de seguridad cuando un empleado abandone su organización.
3 cosas que puede hacer para establecer un sólido plan de contingencia para las bajas de los empleados
Si usted es el CISO, o es el responsable de la seguridad y las autorizaciones, es muy importante que se prepare para las bajas previstas e imprevistas con la suficiente antelación.
Aquí tiene tres puntos cruciales para asegurar una salida fluida del empleado:
(1) Automatizar el proceso de solicitud de baja. Debería convertir todos los procesos manuales de solicitud de baja en automáticos. También necesitará implementar un flujo de trabajo que bloquee o elimine automáticamente las cuentas de usuario relevantes en la fecha de baja prevista. Esto asegurará que las solicitudes se documenten, se aprueben correctamente y que no se dejen agujeros de seguridad abiertos.
(2) Coordinar los sistemas de RR. HH. y de negocio. Debe tener un proceso que coordine los eventos en el sistema de RR. HH. con las cuentas de usuario en todos los sistemas críticos. Un buen proceso se ejecuta automáticamente cuando identifica el evento de baja en el sistema de recursos humanos; acto seguido, elimina todas las cuentas de usuario del negocio, incluidos los sistemas SAP y otros, en la fecha prevista de la baja. De esta forma, queda garantizado que no quedarán rastros después de una baja y la cuenta antigua no podrá utilizarse indebidamente.
(3) Eliminar automáticamente las cuentas inactivas. Si un usuario no utiliza su cuenta de Windows ni su cuenta de SAP durante más de 15 días, lo más probable es que esté ausente. El empleado puede estar de vacaciones o de baja médica, y ambos casos deben considerarse. Algunas empresas optan por bloquear automáticamente las cuentas de usuario inactivas (lo que se recomienda), mientras que otras emiten un correo electrónico al jefe del empleado para preguntarle «¿Este empleado sigue trabajando aquí?». Si no hay respuesta o la respuesta es no, el sistema bloquea automáticamente las cuentas del usuario. Cualquiera que sea la preferencia que tenga en cuanto a la automatización del bloqueo de usuarios, es fundamental que tenga un sistema que supervise regularmente las cuentas de los usuarios inactivos.
Lo que Xpandion tiene que decir al respecto
Según nuestra experiencia, los procesos automatizados son la mejor solución para las situaciones de bajas laborales previstas e imprevistas. Debido a que con frecuencia recibimos preguntas sobre cómo manejar estas situaciones, hemos incluido los procesos de flujo de trabajo relevantes en nuestro software ProfileTailor.
¿Tiene cuestiones sobre otro problema de IT o quiere saber más sobre los planes de contingencia de las bajas de los empleados?
Pregúntenos.
