La pandemia ha creado las condiciones perfectas para potenciar las amenazas internas en una organización. En el pasado, las crisis financieras han provocado un aumento del fraude y la actividad delictiva, por lo cual es razonable suponer que la ola de pérdida de empleos e incertidumbre originada a principios del 2020 generó el mismo efecto. Al mismo tiempo, las compañías se encuentran más expuestas que nunca, debido a sus extensas cadenas de suministro, sus asociaciones y su infraestructura de trabajo remoto y en la nube, creada en gran parte como respuesta a la pandemia.
El punto central es que, con intención o por accidente, los empleados que salen de una empresa pueden terminar causando un daño significativo tanto en las finanzas como en la reputación de la organización si los riesgos no son mitigados adecuadamente. El costo de los incidentes por filtraciones de datos internos aumentó un 31% entre 2018 y 2020, llegando a ser casi $11.5 millones de dólares. Esto implica que efectivizar procesos de salida de los empleados se ha vuelto una parte esencial para cualquier estrategia de seguridad, y muchas veces esto es subestimado.
¿Se puede confiar en los empleados (que se están yendo)?
La superficie de ataque corporativa se observa generalmente desde la perspectiva de los ataques de actores externos a una organización. Sin embargo, los empleados también pueden explotarla. Actualmente es posible acceder a las aplicaciones basadas en la nube, a bases de datos y demás recursos corporativos en red de muchas organizaciones desde cualquier dispositivo y en cualquier lugar. Esto se ha convertido en un factor esencial para sostener la productividad durante la pandemia, pero, si no se implementan los controles correctos, también puede facilitar que los colaboradores eludan las políticas de seguridad de la empresa.
Lectura recomendada: Los riesgos de las amenazas internas en el modelo de trabajo híbrido
Investigaciones sugieren que, desafortunadamente, muchas organizaciones (43%) ni siquiera cuentan con una política que prohíba que el personal se lleve información laboral cuando dejan la compañía. Y, lo que resulta aún más preocupante, en el Reino Unido solo el 47% revoca el acceso al edificio como parte del proceso de partida de un trabajador, así como solamente el 62% reclama los dispositivos corporativos.
Además, otros datos indican que casi la mitad (45%) de los colaboradores descarga, guarda, envía o filtra documentos relacionados con el trabajo antes de dejar el empleo. Esto ocurre con mayor frecuencia en sectores como tecnología, servicios financieros y negocios, consultoría y gestión.
¿Por qué es tan importante?
Ya sea que se lleven los datos para impresionar a un nuevo empleador, los roben o los eliminen por algún rencor personal, el potencial impacto para una organización es severo. Una filtración de datos grave podría generar:
- Costos de investigación, subsanación y rectificación
- Costos legales derivados de demandas colectivas
- Multas reglamentarias
- Daño a la marca y a la reputación
- Pérdida de ventaja competitiva
Lectura relacionada: Cuando la estafa se gesta en el interior de la institución: el reciente caso del Banco de Chile
El año pasado, por ejemplo, una empleada de una cooperativa de crédito fue declarada culpable por destruir 21 GB de información confidencial tras haber sido despedida. A pesar de que un colega había solicitado que el departamento de TI deshabilitara su acceso a la red durante el proceso de desvinculación, no lo hicieron a tiempo y la colaboradora pudo utilizar su usuario y contraseña para acceder de forma remota al servidor de archivos durante 40 minutos. Reparar los daños causados por el acceso no autorizado y la eliminación de archivos representó un costo de $10.000 dólares a la cooperativa de crédito.
Cómo establecer un proceso de desvinculación laboral más seguro
Muchas de estas amenazas podrían haber sido mejor gestionadas si las organizaciones involucradas hubieran puesto en marcha procesos de desvinculación más efectivos. Contrariamente a lo que podría creerse, estos procesos deben comenzar mucho antes de que un empleado advierta su intención de renunciar, o antes de que sean despedidos. Aquí hay algunos consejos:
Comunicar claramente la política de la empresa: Al parecer, aproximadamente el72% de los trabajadores de oficina piensa que los datos que crean en el trabajo les pertenecen. Esto podría incluir cualquier información: desde listas de clientes hasta diseños de ingeniería. Por lo tanto, ayudarlos a comprender los límites de su propiedad intelectual, con una política claramente comunicada y formalmente escrita, podría prevenir un gran problema en el futuro. Eso debería formar parte de cualquier proceso de incorporación, junto con advertencias claras sobre lo que sucedería si el personal no respeta la política.
Realizar un monitoreo continuo: Si un empleado sin escrúpulos decide robar información antes de abandonar su empresa, es probable que comience a hacerlo mucho antes de notificar a Recursos Humanos sobre su salida. Por lo tanto, las organizaciones deben desplegar tecnologías de monitoreo que continuamente identifiquen y registren actividades sospechosas, siempre teniendo en cuenta las leyes de privacidad locales y cualquier implicancia ética sobre los empleados.
Tener la política y procesos preparados: la mejor manera de garantizar un proceso de desvinculación tranquilo y efectivo es diseñar procesos y flujos de trabajo claros con anticipación. A pesar de que casi todas las organizaciones tienen un proceso para las incorporaciones, muchas se olvidan de hacer lo mismo para el personal que se desvincula. Algunas consideraciones que podrían incluir son:
- Revocar el acceso y restablecer las contraseñas de todas las aplicaciones y servicios
- Revocar el acceso al edificio
- Realizar una entrevista de salida para comprobar cualquier comportamiento sospechoso
- Llevar a cabo una revisión final de las herramientas de monitoreo/registro para detectar actividad inusual
- Avisar a Recursos Humanos/Legales si se detecta una actividad sospechosa
- Recuperar todos los dispositivos físicos corporativos
- Evitar el reenvío de correos electrónicos y archivos
- Reasignar las licencias a otros usuarios
A medida que las organizaciones se preparan para enfrentar el mundo post pandémico, la competencia por los clientes se torna más feroz que nunca. En consecuencia, no pueden darse el lujo de que la valiosa propiedad intelectual se vaya por la puerta junto con los empleados que se marchan, o de afrontar los daños financieros y de reputación que podrían resultar de una filtración de seguridad grave. Es por esto que el proceso de desvinculación es tan solo una pequeña pieza dentro del esquema de seguridad de una empresa, pero su importancia es crítica.