¿Hasta qué punto estás seguro de que tus antiguos empleados ya no tienen acceso a la información de tu empresa? Como comprenderás, no se trata de algo banal. Hace poco, nuestros compañeros analizaron el grado de preparación de las pequeñas y medianas empresas ante los ciberincidentes en un mundo impredecible. El estudio nos dice que casi la mitad de las pymes encuestadas no estaban 100 % seguras de que los empleados despedidos no pudieran seguir accediendo a datos empresariales a través de la nube o mediante cuentas corporativas.
¿Qué daño puede hacer un exempleado con acceso a los datos de la empresa?
Si un extrabajador sigue teniendo acceso a los servicios de trabajo o a los sistemas de información, podría, si quisiera, hacer mucho daño a su antigua empresa o jefe. Las pymes suelen preocuparse por supuestas amenazas como que un exempleado utilice los datos de la empresa para lanzar su propio negocio o que este acepte un puesto de trabajo en una empresa de la competencia y robe los clientes de su empresa anterior. Pero, si hablamos de daños reales a la empresa, hay muchos que considerar que tienen una mayor prioridad.
Por ejemplo, si un exempleado tiene acceso a una base de datos de clientes que contiene datos personales, lo que podría hacer es filtrarlos al dominio público a modo de venganza por un despido o venderlos en la Dark Web, lo que dañaría la reputación de tu empresa. También podría poner en peligro a tus clientes, que podrían emprender acciones legales contra tu empresa, no necesariamente por daños y perjuicios, pero sí por la filtración de dichos datos. Además, podrías recibir una considerable multa de los organismos reguladores. Esto último depende, por supuesto, de las leyes del país en el que trabajas, pero hay una creciente tendencia en todo el mundo a endurecer las sanciones por este tipo de filtraciones.
Problemas potenciales que pueden ocasionarse sin mala intención
Algunos problemas que pueden ocasionarse no son el resultado del enfado de extrabajadores, ni siquiera de filtraciones directas. Una vez que se ha marchado un excompañero, este puede que ni recuerde a qué tenía acceso, sin embargo, mediante una simple comprobación, los organismos reguladores podrían descubrir que ciertas personas no autorizadas tienen acceso a información confidencial, lo que podría derivar también en una sanción.
Incluso aunque estés absolutamente seguro de que la relación con un trabajador ha acabado bien, esto no significa que estés fuera de peligro. ¿Quién puede garantizarte que este trabajador no haya utilizado una contraseña poco segura para acceder a los sistemas de trabajo o que no haya reutilizado su contraseña facilitando que los atacantes puedan forzarla o encontrar una filtración? Cualquier acceso simultáneo a un sistema -ya sea un entorno colaborativo, un correo electrónico de trabajo o una máquina virtual- aumenta la superficie del ataque. Hasta una simple charla entre compañeros sobre temas no laborales podría utilizarse para llevar a cabo ataques de ingeniería social.
Cómo minimizar los riesgos
La mayoría de las medidas que se puede tomar para combatir la fuga de datos a través de las cuentas de exempleados son de carácter organizativo. Recomendamos:
– Minimizar el número de personas con acceso a datos corporativos importantes.
– Establecer políticas estrictas de acceso a los recursos corporativos, entre los que se incluyen el correo electrónico, las carpetas compartidas y los documentos en línea.
– Mantener un registro de acceso estricto: registrar qué acceso se ha concedido y a quién y retirarlo inmediatamente si el empleado deja la empresa.
– Establecer instrucciones claras para crear y cambiar las contraseñas.
– Proporcionar a los empleados formación sobre ciberseguridad de forma periódica.