Offboarding de empleados: cómo puede generar una brecha de seguridad en las empresas

La pandemia de la COVID-19 ha creado las condiciones perfectas para que las empresas alberguen riesgos internos en lo que respecta a la seguridad de sus datos, información, etc. Estas nunca han estado tan expuestas a través de las extensas cadenas de suministro y de sus infraestructuras de trabajo a distancia y en la nube. Dichas infraestructuras han sido construidas en su mayor parte como respuesta a la pandemia al ser un método certero de almacenamiento, pero también de trabajo colaborativo.

Hoy en día, muchas organizaciones posibilitan que sus empleados accedan a distintas aplicaciones basadas en la nube, servidores, almacenes de datos y a otros recursos corporativos prácticamente desde cualquier dispositivo y ubicación. Este hecho se ha convertido en algo esencial para apoyar la productividad de los trabajadores durante la pandemia, pero también puede facilitar que los empleados eludan las políticas de confidencialidad a menos que se establezcan los controles adecuados.

La conclusión es que, ya sea por accidente o premeditación previa, los empleados que abandonan sus empresas pueden acabar causando importantes daños financieros y de reputación si los riesgos no se mitigan adecuadamente. El costo de los incidentes relacionados con la información confidencial se disparó un 31% entre 2018 y 2020, para alcanzar los casi 11,5 millones de dólares. Esto provoca que los procesos de salida de personal eficaces sean parte esencial de cualquier estrategia de seguridad.

Lamentablemente, las distintas investigaciones realizadas sugieren que muchas organizaciones (43%) ni siquiera cuentan con una política que prohíba al personal llevarse los datos del trabajo cuando se van. Y lo que es más preocupante, en el Reino Unido solo el 47 % revoca el acceso al edificio como parte del proceso de despido y solo el 62% reclama los dispositivos corporativos.

Además, otros datos revelan que casi la mitad (45%) descarga, guarda o envía documentos relacionados con el trabajo antes de dejar el empleo ya sea por despido o por voluntad propia. Esto ocurre con mayor frecuencia en los sectores de la tecnología, los servicios financieros y los negocios, la consultoría y la gestión.

Cómo crear un entorno de seguridad para el proceso de despido

Estas brechas de seguridad podrían acabar provocando sucesivos costes de investigación y reparación, costes legales derivados de las demandas colectivas, multas reglamentarias, daño a la reputación de la marca y pérdida de ventaja competitiva.

Para evitar que las empresas se comprometan de esta forma con respecto a la seguridad, ESET, compañía experta en ciberseguridad, ofrece una serie de consejos:
· Comunicar claramente la política: se calcula que el 72% de los empleados cree que los datos que crean en el trabajo les pertenecen. Ayudarlos a entender los límites de su propiedad, con una política claramente comunicada y formalmente escrita, podría evitar muchos problemas en el futuro. Esto debería formar parte de cualquier proceso de incorporación, junto con advertencias claras sobre lo que ocurrirá si el personal incumple la política.
· Poner en marcha una supervisión continua: las organizaciones deben poner en marcha tecnologías de supervisión que registren y señalen continuamente las actividades sospechosas, respetando, por supuesto, las leyes locales de privacidad y cualquier preocupación ética de los empleados.
· Disponer de una política y un proceso preparados: la mejor manera de garantizar una incorporación fluida y eficaz de cada empleado es diseñar un proceso y un flujo de trabajo claros con antelación. Sin embargo, aunque casi todas las organizaciones tienen un proceso de incorporación, muchas se olvidan de hacer lo mismo con el personal que se marcha. Es necesario considerar la posibilidad de incluir lo siguiente: revocar el acceso y restablecer las contraseñas de todas las aplicaciones y servicios, revocar el acceso al edificio, revisión final de las herramientas de supervisión/registro en busca de pruebas de actividad inusual, avisar a RRHH/legal si se detecta una actividad sospechosa, reclamar cualquier dispositivo físico de la empresa, impedir el reenvío de correo electrónico y el intercambio de archivos y reasignar las licencias a otros usuarios.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.