En diciembre del 2020, un ex empleado de Cisco fue sentenciado a dos años de prisión luego de admitir que meses después de dejar de formar parte de la empresa, ingresó a la infraestructura de Cisco y eliminó 456 máquinas virtuales que alojaban la aplicación Webex Teams.
Como resultado, se cerraron 16 mil cuentas de Webex durante por lo menos dos semanas; este incidente le costó a Cisco más de 2 millones de dólares en reparación y reembolsos a los clientes afectados.
Evita el daño a tu empresa por un usuario malintencionado
Cuando se termina la relación laboral con las personas, normalmente pasamos toda la actividad al área de recursos humanos, sin embargo, es frecuente que olvidemos todo lo que conlleva esto a nivel de accesos...
Es importante llevar un control de todos los permisos y accesos que nuestros colaboradores tienen hacia aplicaciones, computadoras, información, plataformas corporativas, etc., para darlos de baja de inmediato cuando dejen de formar parte de la empresa.
Realizarlo ayuda a disminuir el riesgo que podría implicar si una persona se va molesta con la empresa y quisiera generar algún daño, o el clásico, “esto lo hice yo, es mío” y eliminan información intencionalmente.
Otro problema muy común es cuando se llevan datos confidenciales de la empresa, es frecuente escuchar que un empleado copió la base de datos de clientes antes de renunciar para llevársela a un nuevo empleo. ¿Te ha pasado?
Este tipo de acciones no solo provocan pérdidas económicas por la disminución de ingresos a causa de clientes que se fueron con la competencia, sino también puede repercutir en demandas y sanciones por incumplir con leyes y normativas de seguridad de la información.
Gestión de usuarios
Para evitar este tipo de actividades, es necesario contar con varios puntos que te serán de utilidad a la hora de generar, cambiar o dar de baja a usuarios, normalmente se conoce como "Altas, bajas y cambios", y no es más que una política, proceso o procedimiento que indique de forma clara las actividades de que se deben de realizar por parte de todas las áreas correspondientes dentro de los sistemas de la organización.
En este documento, deberán de definirse los responsables de realizar ciertas actividades, como recursos humanos, TI, jefe directo, etc, debemos empezar siempre con el Alta para poder definir una Baja.
Para dar de alta un usuario nuevo en nuestra infraestructura, primero debemos tener claro el puesto que ocupará dentro de la organización, por lo que la definición de puestos y roles de los colaboradores es importante.
Una vez definido el lugar que ocupará, ya deben de encontrarse documentados los servicios y accesos que se le proporcionarán, por lo que cada responsable definido, deberá de realizar su parte, por ejemplo, el área de TI se encargará de asignarle un usuario y permisos de acceso a una computadora y una cuenta de correo electrónico.
Al final puedes generar un checklist donde se especifiquen los accesos proporcionados y que sea firmado por el nuevo colaborador, indicando que conoce qué accesos tiene y con qué propósito.
Cada que se realice un cambio de permisos, o se agreguen servicios, estos deberán de incluirse en la documentación con el fin de mantenerla actualizada.
Ahora bien, cuando una persona deje de laborar para la empresa, el proceso de baja será mucho más fácil ya que cuentas con un listado de todos los accesos que se le proporcionaron, por lo que cada responsable podrá actuar y dar de baja lo que le corresponde de acuerdo al proceso definido.
Con lo anterior, tendrás la completa seguridad de que la persona ya no tendrá acceso nuevamente a ningún servicio o información de la organización, disminuyendo el riesgo y el impacto que podría provocar un ex-empleado que se marchó en malos términos.
Un error común en las empresas
Lo que he podido aprender en todos estos años, es que no se hace una adecuada gestión de usuarios principalmente por desconocimiento o porque la empresa creció de forma repentina y no se tomaron el tiempo de planificar y aplicar acciones para reforzar la seguridad, aún así, he visto que muchas organizaciones que han sido afectadas por este tipo de omisiones, siguen sin realizar estos procesos o procedimientos.
Recuerda que el compromiso con la ciberseguridad debe comenzar desde los niveles directivos para ir permeándola hacia todas las áreas de la organización, ya que de esa forma la empresa será protegida por todos.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.