La salida de un empleado es un punto crítico de riesgo para la Organización. En casos de problemas laborales y despidos, un empleado modelo hasta la fecha, puede convertirse en una seria amenaza. La historia reciente está plagada de casos de sabotaje o substracción de información por parte de empleados “disgustados”.
Lamentablemente, es bastante común que no se gestionen coordinadamente las bajas de los empleados. En muchas ocasiones, Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del empleado es quien trata directamente con él y planifica el traspaso de su trabajo. Por otro lado, IT se ocupa de dar de baja sus accesos (en el momento en que perciben su ausencia). Este escenario acaba degenerando en problemas tales como que los accesos de los ex empleados siguen vigentes durante meses, o que tras la marcha del empleado no es posible recuperar cierta información vital que poseía. Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos de seguridad:
- Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería:
- Baja normal, si se produce en circunstancias normales y sin conflictos.
- Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc.
- Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc.
- Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar.
- Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de:
- accesos físicos (llaves, cajas fuertes, llaves electrónicas)
- accesos lógicos (email, acceso a la red y servidores, etc)
- material de la empresa (portátil, móvil, etc)
La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma:
- realización de copias de seguridad de la información sensible
- supervisión de los accesos hasta el día de la baja
- cancelación preventiva de los accesos más críticos
