Si bien es esencial proteger sus datos de los ciberataques externos y educar a los empleados sobre las amenazas internas, ¿qué sucede si una amenaza interna se convierte en una externa? A menudo se pasa por alto el riesgo que representan los empleados que se van, pero puede ser significativo y perjudicial para la seguridad de los datos de una empresa.
En este artículo, le brindaremos orientación sobre cómo proteger sus datos sensibles y confidenciales cuando un empleado deja la empresa. ¿Qué debe tener en cuenta en el proceso de desvinculación de empleados?
Los riesgos de la salida de empleados
Por mucho que quiera creer que sus empleados solo quieren lo mejor para su empresa, debe mantener un nivel saludable de duda por el bien final de todos. Si no protege los datos de su empresa de los malos, incluso los buenos sufrirán.
Eso no quiere decir que los empleados que se marchan mágicamente se vuelvan malos de la noche a la mañana; La amenaza interna es algo a tener en cuenta incluso en situaciones en las que nadie está siendo despedido. La pérdida de datos puede deberse a una acción malintencionada o involuntaria. Por ejemplo:
- Los empleados a menudo tienen acceso a información confidencial, como datos de clientes o secretos comerciales, que pueden ser mal utilizados o filtrados .
- Un exempleado podría compartir información confidencial con su nuevo empleador, dándole acceso a información valiosa o haciendo que usted pierda su ventaja competitiva.
- Si un empleado se va en malos términos, puede causar daño intencionalmente a una empresa al eliminar o modificar datos o incluso usarlos para beneficio personal.
- Los empleados bien intencionados pueden dejar accidentalmente información confidencial en sus dispositivos, como computadoras portátiles o teléfonos inteligentes, a la que luego pueden acceder personas no autorizadas.
Para evitar que tales cosas le sucedan a su empresa, debe contar con un proceso de desvinculación de empleados. Como dicen: “Al no prepararte, te estás preparando para fracasar”.
Con políticas claras de desvinculación, no lo tomarán por sorpresa cuando un empleado se vaya y podrá proteger los datos confidenciales de su empresa siguiendo un proceso paso a paso basado en una lista de verificación de desvinculación.
Desarrollo de un plan de desvinculación
Desea que las salidas de los empleados sean fluidas y, en un mundo perfecto, sin negatividad alguna. Los procesos de recursos humanos detrás de esto son una cosa, y los aspectos técnicos de la partida de un empleado son otra. Cada paso relacionado con la protección de los datos de la empresa ante la salida de un empleado debe establecerse en un plan de desvinculación.
De esta manera, en caso de terminación del empleo, podrá elaborar el plan de desvinculación y seguir su lista de verificación de desvinculación sin dejar nada al azar o la imaginación.
Plan de desvinculación de su empresa debe cubrir estas áreas principales:
- Comunicación : una vez que informe al empleado de la terminación (o viceversa), es una buena práctica hacerle espera en los próximos días. Esta es también la oportunidad perfecta para recordarle el acuerdo de confidencialidad que firmaron cuando se unieron a la empresa.
- Acceso y dispositivos : Revoque el acceso del empleado de cualquier red de la empresa, correo electrónico, bases de datos y cualquier software que utilice su empresa. Haga un seguimiento de esto con cualquier sistema de terceros que use, como servicios en la nube o cuentas de redes sociales. Tenga un proceso configurado para recopilar todos los dispositivos propiedad de la empresa del empleado.
- Entrevista de salida : como paso final del proceso de desvinculación, realice una entrevista para obtener comentarios del empleado y aproveche la oportunidad para recordarle sus obligaciones de confidencialidad y otros requisitos legales.
No se trata solo de prepararse para una transición sin problemas cuando un empleado se va amistosamente, sino también de anticipar los riesgos potenciales que podrían poner en riesgo su negocio. Un plan de desvinculación eficaz es como una red de seguridad que evita que los datos confidenciales de su empresa caigan en las manos equivocadas en todas las situaciones posibles.
Hay escenarios que requieren una cuidadoso proceso de desvinculación. Independientemente de las circunstancias, debe cubrir todas sus bases para garantizar una transferencia segura de datos y equipos.
Tal vez necesite despedir a un empleado (o grupo de empleados) y esté esperando una investigación o acción legal. O bien, está tratando con un trabajador remoto o implementando una política de traer su propio dispositivo (BYOD).
Es crucial adaptar su plan de retiro para abordar los desafíos únicos de cada situación que podría ocurrir en su organización en particular.
Creación de una checklist de desvinculación
Una parte práctica de un plan de desvinculación es una "checklist de desvinculación": es una herramienta que se utiliza para garantizar que no se pase por alto nada durante el proceso de desvinculación de los empleados. Esto garantiza que se completen todas las tareas necesarias, sin dejar espacio para descuidos que podrían comprometer la información confidencial de la empresa o provocar la pérdida de datos.
La checklist de desvinculación ayudará al empleado que se va a terminar su trabajo y completar todas las tareas administrativas asociadas con dejar la empresa.
Aquí hay ejemplos de lo que debe incluir una checklist de desvinculación de empleados:
- Recuérdeles la confidencialidad : recuerde al empleado sus obligaciones de confidencialidad y asegúrese de que no se lleve ninguna información confidencial ni la comparta con nadie.
- Recuperar los activos de la empresa . El empleado devuelve todo el hardware, incluidos teléfonos, computadoras portátiles, claves de acceso, tokens y cualquier otro dispositivo propiedad de la empresa. Si permite que los empleados compren sus teléfonos o computadoras portátiles de la empresa al momento de la salida, asegúrese de que el hardware esté limpio de cualquier dato o información de acceso.
- Revocar el acceso a los sistemas . Asegúrese de que el empleado no tenga acceso a las redes, correos electrónicos, servicios en la nube o cuentas de redes sociales de la empresa después de su partida. Transferir el acceso a otro empleado (cuando sea necesario) también forma parte de este paso en la lista de control de desvinculación.
- Restablecer contraseñas . Este es una continuación del punto anterior de la lista: se deben cambiar todas las contraseñas asociadas con las cuentas del empleado que se va.
- Recopilar información de los empleados . Es importante tener a mano toda la información del empleado que se va, en caso de que surja algún trámite después de su partida.
- Realizar una entrevista de salida . Una entrevista de salida puede ayudar a la empresa a identificar los posibles riesgos de seguridad que plantea el empleado que se va. También es el momento de recordar y detallar las obligaciones del empleado con respecto a datos confidenciales, secretos comerciales y otra información a la que tuvo acceso. Por último, pero no menos importante, es una buena oportunidad para que las empresas recopilen comentarios para identificar las áreas en las que pueden faltar sus políticas de protección de datos o en las que podrían mejorarse.
Hay otras áreas que querrá abordar en su checklist de desvinculación, desde la comunicación interna, la nómina y las obligaciones contractuales, hasta la transferencia de conocimientos y la actualización de las bases de datos de la empresa, por nombrar algunas. No profundizaremos en esos temas aquí, pero son una parte crucial del proceso de desvinculación y no deben olvidarse al crear una checklist de desvinculación.
Implementación de políticas de desvinculación
Las políticas que describen las expectativas para los empleados que se van pueden ayudar a mitigar los riesgos potenciales asociados con las filtraciones de datos, el robo de propiedad intelectual u otros problemas de seguridad. Pero no es solo la empresa la que está protegida por una política de desvinculación, el empleado que se va también se beneficia de ella.
Una política de desvinculación bien estructurada puede marcar la diferencia en la experiencia del empleado, asegurándose de que no se sienta agobiado por una salida desorganizada o irrespetuosa. Y esto no solo fomenta una cultura positiva para sus empleados que se van, sino que también contribuye a la reputación de su empresa, demostrando su compromiso de tratar a todos los empleados con dignidad y respeto, independientemente de su función, antigüedad o las circunstancias de su partida.
Las políticas bien documentadas también ayudan a las empresas a cumplir con las leyes y normativas pertinentes en materia de protección de datos. Como tales, son una parte importante del sistema de prevención de pérdida de datos de cualquier empresa.
Al configurar el proceso de desvinculación, hágalo parte del sistema de gestión de seguridad de la información de su empresa (puede consultar la norma ISO 27001 para obtener orientación).
El valor de un proceso efectivo de desvinculación de empleados
Un plan de desvinculación sólido puede ayudar a proteger a su empresa de muchos riesgos potenciales, como:
Responsabilidad legal: si un exempleado extrae datos sensibles o confidenciales de la empresa, la empresa puede ser responsable de los daños causados por la divulgación de dichos datos, incluida la pérdida de ingresos, los honorarios legales y las multas.
Costos de filtración : si los datos son robados o tomados por el empleado que se va y la empresa sufre una filtración de datos como resultado de ello, los costos para la empresa pueden dispararse bastante rápido. Las empresas también pueden enfrentar costos adicionales asociados con la notificación de infracciones, la recuperación de datos y la restauración del sistema.
Daño a la reputación : cualquier incidente de pérdida de datos dañará la reputación de una empresa, lo que resultará en una pérdida de confianza del cliente y, en última instancia, de negocios e ingresos.
Pérdida de propiedad intelectual : cuando los empleados se van de una empresa, pueden llevarse información confidencial o secretos comerciales, que podrían compartirse con su nuevo empleador. Para evitar la pérdida de propiedad intelectual, es crucial manejar este asunto mediante el uso de acuerdos de confidencialidad (NDA).
Cumplimiento normativo : su empresa puede estar sujeta a varios requisitos normativos, como HIPAA , GDPR o CCPA . El incumplimiento de estas normas puede dar lugar a importantes multas y sanciones legales.
No querrás dejar cabos sueltos cuando tu empleado esté saliendo de la empresa. Al crear un proceso sólido de desvinculación, puede minimizar el riesgo de pérdida o robo de datos, proteger los intereses de su empresa y evitar problemas en el último minuto, lo que podría poner en riesgo la seguridad de los datos y la reputación de su empresa.
Autor
Kristýna Svobodová
Content Strategist @Safetica
Próximos artículos
Seguridad de datos
Seguridad de datos
Blog
Prevención de pérdida de datos en el gobierno
Los gobiernos albergan una gran cantidad de información confidencial, desde datos clasificados hasta registros de ciudadanos. Pero a medida que avanza la tecnología, también lo hacen las amenazas cibernéticas. En los últimos años, las violaciones de datos han aumentado en todo el mundo, afectando no sólo a corporaciones e individuos sino también a los gobiernos. En 2023, estas infracciones no sólo serán más frecuentes sino también más sofisticadas.
Seguridad de datos
Blog