Prevención de riesgos informáticos. Protocolos de cese de empleados en la empresa

Publicado el 10/11/2015 por Rafael_L_R

Onmia mea mecum portoEn los tiempos que corren cada vez es más cotidiano recibir comunicaciones en las que algún compañero y empleado de la empresa se despide del colectivo para iniciar una nueva trayectoria profesional, en ocasiones, son comunicaciones enviadas por el propio afectado y, en otras, por el propio departamento de Recursos Humanos.

En teoría, el vínculo relacional entre el empleado y la empresa termina en dicho momento, pero cabe preguntarse si realmente es así, o bien, por descuido, falta de diligencia, ineficiencia, imprevisión o, simplemente, porque nunca ha pasado nada, la empresa no está tomando las medidas adecuadas para que se produzca una separación definitiva entre el empleado que cesa su colaboración con la empresa y la información sensible de la misma que pudiera estar a su alcance.

Aspectos a Considerar

Existen tres aspectos interesantes a considerar en una situación de este tipo:

  • La continuidad del negocio y la no dependencia del empleado.
  • La integridad de la información y de los sistemas de la empresa.
  • La no exposición externa de la información.  

A continuación se realiza un breve desarrollo de cada uno de estos aspectos:

La continuidad del negocio y la no dependencia del empleado.

Previo al cese del empleado, se ha de identificar, evaluar y gestionar la información en posesión del empleado o gestionada por el mismo que deba asegurarse que permanece en la empresa y que no se pierde con cese y la marcha del empleado.

Es de especial interés, toda aquella información que sea tratada en particular o con exclusividad por el empleado y que pudiese estar ubicada en sus archivadores,  estación de trabajo, medios electrónicos o PC, así como los buzones de los correos electrónicos.

Se ha de poner en marcha un proceso de trasvase y de transferencia de la información, y del conocimiento del «status quo» de los temas y asuntos en curso bien hacia el responsable del empleado conocedor de los asuntos gestionados por el empleado que cesa o bien hacia la persona que realizará el relevo en su función.

Se ha de asegurar la localización y la accesibilidad de la empresa a la información tanto en curso como la histórica que sea necesaria para dar continuidad en el desempeño de las funciones o atribuciones del empleado que cesa. 

En la empresa debe existir un protocolo que informe al empleado que a partir de su cese cualquier información que exista en su equipo y servidores, medios electrónicos, correo electrónico o elementos físicos de archivo, etc., carecerá de privacidad puesto que son medios pertenecientes a la empresa y van a ser utilizados y accedidos por la empresa para dar continuidad a los temas en curso y para asegurar la continuidad del negocio. Así como la prohibición de destrucción de cualquier información de la empresa, indicando que dicha información debe ser entregada a su responsable quien determinará, en su caso, la conveniencia de la destrucción o no de la misma.

La integridad de la información y de los sistemas de la empresa.

Cuando se produce el cese o relevo de un empleado en la empresa, en paralelo y con inmediatez a dicho cese, se han de bloquear o eliminar el acceso de su «usuario» a los sistemas e instalaciones de la empresa, tanto a los accesos físicos (tarjetas y elementos de identificación para las puestas de acceso, tornos de personal, aparcamiento, accesos restringidos, etc.) como a los sistemas informáticos de la empresa (correo electrónicos, aplicaciones y sistemas, a las estaciones de trabajo, a los servidores, a las conexiones externas, etc.), con ello se evitará el acceso no deseado del ya ex-empleado, así como si se diese la circunstancia de que otro empleado poseyese las credenciales del empleado que cesa, éste pudiera entrar en los sistemas acreditándose como el ex-empleado y realizar cualquier operación no autorizada de forma anónima e impune para quien la ejecutase.

En la empresa debe existir un protocolo que regule la inaccesibilidad a los sistemas informáticos o medios de acceso físicos, la baja, la inactividad y el bloqueo de las credenciales de los empleados que cesan en la empresa, estas acciones deben ir dirigidas tanto a los sistemas, como a los medios de acceso electrónicos, informáticos y físicos.

También debe existir un protocolo que informe al empleado cesante de la obligación de no acceder a los sistemas o instalaciones de la empresa con cualquiera de las credenciales en su poder, propias o ajenas.

La no exposición externa de la información.

En ocasiones, se le ofrece al empleado que cesa la posibilidad de conservar el teléfono, el PC portátil, la tableta o cualquier otro medio electrónico de tratamiento de la información como parte del finiquito recibido o bien como una deferencia al mismo.  Por otro lado, cabe la posibilidad de que este equipo se reutilice y pase a otro empleado o, simplemente, se elimine por obsolescencia o devolución a la empresa de renting o se dé de baja del inventario.

En todos los casos posibles, existe la posibilidad que estos dispositivos posean información sensible de la empresa que pudiera acabar en manos de terceros, por lo que para la prevención de este riesgo, el equipo previa a cualquier entrega o destino, debería pasar por una operación de «limpiado» que borrase la información de la empresa existente en el mismo.

En la empresa debe existir un protocolo de garantice la limpieza y borrado de la información de los equipos o medios electrónicos en cuestión, cualesquiera que sea su destino de entrega posterior (cese del inventario, reutilización o reasignación, entrega al ex-empleado, etc.).

Evidentemente, también existe el riesgo de que la información sensible se encuentre en poder del empleado cesante con anterioridad a la situación de cese, posiblemente, porque en el transcurso del tiempo se haya realizado copia de la información para trabajar y disponer de ella y, la misma, esté alojada en dispositivos o instalaciones de carácter totalmente privado del empleado que cesa y donde la empresa no tiene poder de actuación ni de fiscalización puesto que se encuadra en el ámbito totalmente privado del ex-empleado. 

Ante esta situación, la empresa frente a la falta de certeza de que pudiera ser de este modo, no posee posibilidad de actuar por lo que únicamente puede asegurarse de que el empleado es consciente y conoce que la información que estuviese en su poder es propiedad de la empresa y, como tal, no puede ser utilizada sin su autorización y permiso expreso.  

En la empresa debe existir un protocolo que obtenga el compromiso del empleado que cesa sobre la no utilización, la divulgación o el facilitar a terceros la información perteneciente a la empresa que obrase en su poder y además advierta al empleado de las consecuencias que se derivarían del incumplimiento de esta obligación.

objetivo del retorno de equipos

La existencia de estos protocolos no sólo previene las situaciones mencionadas sino que, llegado el caso, legitiman la acción de la propia empresa frente a su incumplimiento o infracción, del mismo modo que se facilita cualquier labor o actuación pericial que se pudiese llevar a cabo al eliminarse, por medio de dichos protocolos, cualquier consideración de privacidad en los elementos, medios e información que vaya a ser analizada.

Anuncio publicitario

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Buenas Prácticas, Compliance, Delitos Informáticos, Divulgación, Evidencias, Gestión y Management, Opinión, Privacidad, Seguridad Informática, Todos y etiquetada , , , , , , . Guarda el enlace permanente.