Hablamos con expertos en derechos de acceso, eliminación de datos y recursos humanos para navegar por este pasaje más complicado.
Acceso denegado
Los trabajos de por vida son cosa del pasado. La rotación de personal nunca ha sido tan alta, en parte porque conviene a los empleadores estructurar los contratos de esa manera, pero más a menudo porque hay escasez de habilidades. El personal es un activo valioso que los rivales pueden engañar fácilmente.
¿Y entonces que? ¿Revoca su acceso, tanto físico como digital, para mantenerlos alejados de su infraestructura y datos, o debería seguir como de costumbre mientras resuelven su aviso? Una decisión como esta solo se puede tomar si la organización tiene una idea clara de a qué puede acceder exactamente el empleado.
«Necesita una comprensión completa de los activos de la empresa que utilizan los empleados desde el primer día», dijo Fredrik Forslund, uno de los fundadores de Blancco Technology Group, cuyo producto homónimo es utilizado por las empresas para limpiar de forma segura los kits usados para su reutilización o venta. «Necesita un sistema de gestión de activos que rastree los activos físicos que usa un empleado, que puede ser simple de organizar e increíblemente útil cuando se concilian los activos después de la salida de un empleado. Además de eso, es genial conocer todos los servicios digitales utilizados, que es más fácil de lograr con inicio de sesión único. Tareas simples como cambiar contraseñas y cerrar la sesión de los servicios en línea es un proceso importante que podría proteger a su empresa de una posible filtración de datos «.
«Un administrador de TI requiere una visibilidad rápida del alcance de quién tiene acceso a qué dentro de la organización, incluidos los sistemas internos, los servicios en la nube y los archivos», dijo Brandon Shopp, vicepresidente de estrategia de productos para seguridad, cumplimiento y herramientas en SolarWinds, cuyo acceso El software de administrador de derechos ayuda a los administradores de TI a comprender a qué tenía acceso un miembro del personal que se marchaba, más allá de su cuenta de Active Directory. «Hacer esto manualmente es un ejercicio que requiere mucho tiempo, por lo que tener una herramienta que la audite y se la proporcione es un recurso importante. Antes de que el empleado salga de la organización, el administrador de TI debe revocar el acceso a cualquier información que no necesite para completar su asignaciones finales. Tener un producto listo para ayudar con esto no solo brinda visibilidad,
¿Por qué, dónde y cuándo?
También depende de las circunstancias bajo las cuales el empleado se va. La redundancia requiere un período de consulta, durante el cual restringir el derecho de un empleado al trabajo – y el acceso a los recursos – puede dejar a una organización abierta a repercusiones legales. Sin embargo, si un empleado entrega voluntariamente su notificación, la situación es algo diferente.
«Si el empleado se va para ir a un competidor, en la mayoría de los casos sigue existiendo la situación de que, una vez que entregue su aviso, probablemente se irá ese día, por lo que no continuará teniendo acceso a la [empresa] datos, aunque ese es un concepto un poco anticuado, para ser honesto «, nos dijo Shaun Thomson, director ejecutivo de Sandler Training. «Para cuando alguien levanta la mano y dice que se va, si quiere tomar esos datos, ya los tiene. Sería una tontería esperar hasta el día después de haber entregado su aviso».
Thomson dice que las organizaciones deberían preocuparse por la continuación del negocio al menos tanto como piensan en la seguridad de sus datos y el hardware que le han prestado a un empleado. La construcción de múltiples puntos de contacto para cada cliente y el intercambio eficaz de datos internos a lo largo y ancho puede ser, a la inversa, la solución más eficaz.
Jurisdicción de hardware y datos
«Una vez que se ha tomado la decisión de dejar ir a alguien, se debe establecer una fecha de recopilación para los activos y, cuando se recopilan los activos, todos los datos deben borrarse de forma segura con una pista de auditoría … antes de que estos activos se transfieran a otro usuario», Forslund dijo. «No debería haber ningún riesgo de fuga de datos entre usuarios en una situación como esta».
Con frecuencia, la distinción entre hardware corporativo y personal, y datos corporativos y personales, es borrosa. BYOD puede hacer que los datos críticos para la empresa residan en los propios dispositivos de los usuarios, mientras que los correos electrónicos personales pueden permanecer en una bandeja de entrada corporativa. ¿Debería permitirse a los empleados exportar su buzón y llevarse sus contactos?
«Generalmente, no», dijo Forslund. «Los correos electrónicos personales deben originarse en algún otro servicio donde el acceso a los correos electrónicos debe existir y permanecer. Si los empleados pueden exportar su bandeja de entrada, todos los correos electrónicos de trabajo guardados localmente aparecerán, lo cual no está bien».
Shopp está de acuerdo. «Los sistemas de correo electrónico de la empresa y los datos subyacentes almacenados en ellos pertenecen a la empresa, lo que hace que sea a discreción de la empresa permitir que el empleado extraiga cualquier elemento personal, como contactos y correos electrónicos, antes de irse».
Por lo tanto, es esencial que las pautas para el uso aceptable del correo electrónico estén escritas en los contratos de trabajo de los miembros del personal, de modo que la confusión y el conflicto se puedan evitar en el punto de partida.
Como señala Thomson, «cuando contratas a personas, estás buscando ciertas cosas, de las que desdeñas cuando se van. Esperas que vengan con contactos, pero no quieres que se vayan con ninguno».
Pero los contactos por sí solos son menos importantes que una relación establecida una vez que una organización alcanza cierto tamaño.
«Cuando trabajamos con las empresas de nuestros clientes, aplicamos una prueba de fuego: ¿sus clientes tienen una relación con usted o solo una persona en su empresa?» Preguntó Thomson. «Si es lo último, cuando esa persona se muda, el cliente irá a donde sea que vaya. A medida que crezca, tanto en su propia empresa como en una empresa con la que está tratando externamente, se trata más de negociar de una organización a otra. Usamos Microsoft Dynamics como CRM, pero si nuestro contacto en Microsoft se fuera, eso no cambiaría: seguiríamos usando software de Microsoft. Cuanto más grande sea una empresa, menos probabilidades hay de que el empleado pueda hacer negocios con ellos «.
Entonces, desde el punto de vista del liderazgo, y con la planificación de la sucesión en mente, solo considerar el riesgo para sus datos en el momento en que un empleado anuncia que se va probablemente sea demasiado tarde. Los datos pueden ser utilizados como un seguro por el personal que sienta que su posición está amenazada. Al cultivar múltiples puntos de contacto entre su organización y sus clientes, esta política será menos efectiva y tendrá un efecto menos perjudicial internamente si alguna vez se implementó.
¡Estás despedido!
Se debe prestar especial atención al personal que se va en una nube, para quien es posible que desee restringir el acceso a sistemas de misión crítica y datos confidenciales en poco tiempo.
En este caso, el Administrador de eventos de seguridad de SolarWinds «le alerta si alguien todavía está tratando de usar una cuenta una vez que ha sido bloqueada», dijo Shopp. «Recopila registros que pueden indicarle por qué alguien está tratando de autenticarse con la cuenta que usted cerró. ¿Es una aplicación que se instaló mientras la persona todavía estaba en la empresa, que debe ingresar y cerrar? ¿O alguien realmente está tratando de hacer algo que no debería? Tener visibilidad de eso es algo que toda organización debería tener «.
Sin embargo, como explicó Thomson, cada situación debe considerarse por sus propios méritos. Existe una amplia variedad de salvaguardas entre las que las empresas pueden elegir, según su filosofía, tamaño y tipo de activos, tanto físicos como basados en datos, con los que se enfrentan. La clave es comprender a qué tiene acceso el personal y saber qué se debe hacer tan pronto como quede claro que su tiempo con la empresa está llegando a su fin. Después de todo, es poco probable que la tasa de rotación del personal disminuya en el corto plazo, o nunca.
