Evita el acceso no autorizados de exempleados




Con el incremento del HomeOffice, se puso al descubierto la mala práctica de algunas organizaciones que no realizan las bajas de usuarios de forma correcta y conforme a unas políticas bien establecidas.

Este punto aunque suene muy simple, es una medida de seguridad básica pero esencial que debe ser controlada, gestionada y documentada.

Un estudio destacó que 48% de los ex-empleados que son dados de baja de la empresa pueden acceder a información confidencial después de pasado algún tiempo.  

Esta situación representa un riesgo para los datos de la organización, ya que si la persona quisiera provocar algún daño, fácilmente podría realizarlo.




Este tipo de accesos durante la pandemia de COVID-19 se han exhibido más, principalmente por la necesidad de otorgar a los usuarios conexiones a la red, acceso a herramientas corporativas, servicios, etc, de forma remota.

Acceso a información confidencial por parte de exempleados


El principal riesgo asociado a este problema, es el acceso a información confidencial que, al tratarse de una baja en la empresa, el usuario ya no debería tener. 

Un ex-empleado molesto con la organización, podría causar daños significativos a la misma, por ejemplo, podría copiar los datos confidenciales y venderlos a la competencia y actores de amenazas, o utilizarlos para cometer fraudes.

De igual manera, si la cuenta tiene acceso con privilegios a los aplicativos web, como salesforce, hubspot, algún CRM o ERP, la persona podría realizar cambios en los datos o la configuración y provocar problemas a los usuarios que hacen uso de la plataforma.


¿Te das cuenta ahora de la importancia de este asunto?

¿Qué hacer cuando das de baja un empleado?


En estos casos, se debe conocer con precisión a qué aplicativos, infraestructura e información tiene acceso el usuario. Así como contar con un proceso y procedimiento bien definido, sobre la manera correcta para eliminar todos los privilegios y accesos que se le habían otorgado.

Para lograr una baja exitosa de la persona y cortar todos sus accesos, es importante contar con un checklist que te pueda ayudar a evitar algún error.

En esta lista, deberían de incluirse todos los accesos remotos (VPNs), usuarios de dominio (si es que existen), usuarios de acceso a aplicaciones en la nube, correo electrónico, acceso en dispositivos como laptop y móviles; depende de los servicios que proporciona la organización para que el personal pueda realizar su trabajo.

Para saber a qué servicios tiene acceso la persona, deberías de contar con la documentación de cada uno de ellos, en este caso, podrían aplicar cartas de aceptación o de asignación de usuario, de equipo laptop o móvil, etc. Todo esto debe estar documentado para evitar algún error.

Bien, como ves, la baja de un usuario puede ser algo sencillo si tenemos toda la documentación actualizada, esto ayudará a agilizarlo y asegurarte de que no se dejó nada en el aire. 


Recuerda, si no cuentas con todo lo necesario, podrías estar dejando abierta la puerta para sufrir algún incidente.



#ciberseguridad #easysec #easysecmx #infosec #accesonoautorizado #bajadeusuarios #altasbajasycambios #empresas #exempleados

Publicar un comentario

0 Comentarios