Seguridad

Claves para evitar la fuga de datos al despedir a un trabajador

Big Data y ciberseguridad en el futuro

El ritmo de rotación de los empleados en una compañía es muy alto, lo cual supone una de las principales amenazas de ciberseguridad que puede afrontar una organización.

Dice el dicho que ‘la gente viene y va’ en la vida, pero ese mismo principio puede aplicarse al mundo empresarial. Y es que, de acuerdo a un reciente estudio de Osterman Research, un empleado medio apenas aguanta cuatro años en la misma empresa, lo que a su vez provoca que cada compañía afronte cada año un 24% de rotación aproximadamente en su fuerza de trabajo. Si bien estos datos se limitan al mercado estadounidense, la tendencia es generalizada en todos los lugares del planeta.

Al margen de las consecuencias que semejante movilidad laboral tiene en la gestión del talento y la propia eficiencia de los proyectos a largo plazo de las organizaciones, también existen importantes consideraciones a tener en cuenta en el ámbito de la seguridad cuando despedimos a un empleado.

Y es que, no debemos olvidar que la fuga de datos por causas humanas (ya sean errores o robos intencionados de información) son una de las principales amenazas para la integridad y el cumplimiento en las empresas de hoy en día. Además, es uno de los factores sobre los que el departamento TI tiene menos control por su propia naturaleza.

Un informe de Vanson Bourne cifra en 900.000 dólares el coste de cada pérdida de datos ocasionada por uno de los exempleados que se lleve la información fuera de la compañía.

Una cantidad que se disparará próximamente en Europa en 2018, cuando entre en vigor el nuevo Reglamento General de Protección de Datos (GDPR) que obligará a informar de cualquier peligro sobre la información personal que guardan las compañías del Viejo Continente.

Volviendo al mismo estudio de Osterman, una de cada cinco organizaciones no tiene forma de recuperar los datos que habían estado bajo el control de los empleados cuando esos profesionales se van.

¿Cómo diseñar un plan de respuesta a ciberataques?

Por ello resulta elemental poner las medidas previas para evitar que se sucedan los robos -intencionados o involuntarios- de información corporativa cuando un empleado decide abandonar la compañía o es despedido de ella.

Las políticas y procedimientos de seguridad son fundamentales y, más todavía, deben ser conocidos y adoptados por todos y cada uno de los miembros de la organización. Según datos recogidos por Spanning, el 84% de los empleados pensaba que no había políticas que les impidieran coger ciertos datos de la organización antes de marcharse de la empresa.

Para evitarlo, afirman los expertos en la materia, se deben desarrollar políticas integrales con los equipos de Recursos Humanos y Jurídico de la empresa y dejar bien claro que todos los datos, documentos y objetos sujetos a propiedad industrial son propiedad única de la organización.

Incluso, debe contemplarse incluir cláusulas que expliquen claramente este punto en los contratos y ofertas de empleo, de modo que no haya dudas al respecto incluso antes de comenzar a trabajar en la firma.

Igualmente, y como se viene recomendando no sólo para las salidas de empleados sino en cualquier caso, es fundamental limitar el acceso de los profesionales a datos que no necesitan para su labor. La definición de roles en la organización es un paso ideal para controlar mejor quién puede haber robado determinada información, acelerando los procesos de análisis forense cuando (y solo cuando) se produzca una filtración.

Por supuesto, no hemos de olvidar la custodia de los elementos físicos en los que se contienen los datos de la empresa, de modo que evitemos el acceso indiscriminado e incontrolado de los empleados a los sistemas TIC de una empresa.

Igualmente, se deben implantar políticas que permitan revisar los materiales físicos (como discos duros o memorias USB) que un trabajador se lleve cuando anuncie su salida de la empresa, así como los que haya podido retirar en días anteriores o que haya sacado de la empresa para trabajar en casa a lo largo de su trayectoria en la organización.

Y, finalmente pero no por ello menos importante, es muy recomendable contar con copias de seguridad actualizadas de todos los datos de la empresa. De este modo nos aseguraremos de que, en caso de que un empleado decida borrar alguna información crítica para el negocio, podamos recuperarla al instante.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.