La mayoría de empleados que dejan la empresa son honestos y buenos ciudadanos corporativos. Pero nunca se sabe si uno puede dejarla de mala gana, y luego tratar de hackear los sistemas corporativos.

Proteger los activos de la compañía de los exempleados es muy difícil hoy en día, ya que vivimos en un mundo donde los datos corporativos están en tantos lugares -desde la nube hasta en los smartphones y tabletas de los empleados de la política BYOD.

Aquí están los pasos para proteger los datos corporativos de ex – empleados furiosos.

Desaprovisione todos los dispositivos

Según Joe DiVito de las prácticas de aseguramiento de riesgos en PricewaterhouseCooper, el desaprovisionamiento debería ser el primer paso para proteger los datos.

“Muchas organizaciones luchan contra el des aprovisionamiento. Pueden hacerlo bien en el nivel de la red, pero el nivel de aplicación a menudo queda abierto e incompleto. La administración del nivel de acceso a las aplicaciones es normalmente descentralizada y normalmente los propietarios de aplicaciones o unidades de negocio tienen el poder”, indica DiVito.

Además, añade que las compañías necesitan procesos establecidos que proporcionen notificaciones de expiración a los propietarios de las aplicaciones. DiVito advierte que el desaprovisionamiento puede ser engañoso, especialmente cuando los controles asociados y de administración están divididos entre una función central de TI y el propietario de datos.

“Hay un nivel de control de riesgo asociado con el diseño y funcionamiento de los controles de aprovisionamiento del usuario. La organización debe contar con una contabilidad exacta de la conexión y acceso asignados a un empleado. Determinar quién posee la autorización y el acceso continuo a los datos, y asegurarse de comunicar entre las partes cuando la conexión o el acceso necesite ser modificado o revocado. Muchas veces la solución a la gestión de ese riesgo requiere nada más sofisticado que una mejor comunicación”, agrega.

En Steelcase, la empresa de mobiliario de oficina, la herramienta muy usada de Microsoft .NET se encarga de la tarea del des aprovisionamiento, y el departamento de TI está perfectamente coordinado con el de Recursos Humanos.

De acuerdo con el CIO de Steelcase Bob Krestakos, “La herramienta .NET usa Interfases de Programación de Aplicaciones estándar para llegar a los diversos sistemas, y desactivar o eliminar las cuentas de usuario. Por ejemplo, las cuentas de correo electrónico pueden ser suspendidas o removidas, el acceso al Active Directory puede ser removido también, el acceso a SharePoint se elimina a través de esta aplicación. Asimismo, el acceso a las redes sociales internas y a los sistemas de desarrollo de productos se gestiona de esta manera. La herramienta .NET también elimina los ID de SAP, así como la bóveda de datos del producto PTC en el desarrollo de productos”, añade.

Además, agrega, la aplicación automáticamente envía notificaciones por correo electrónico al administrador de cuentas de usuario, creando un registro de auditoría.

“Las herramientas .NET facilitan, en grandes entornos de TI, el hecho de desactivar el acceso y conexión a todos los sistemas. Automatiza unos cuantos pasos”, comenta Krestakos. Asimismo, añade, que todo el proceso es desencadenado por el departamento de Recursos Humanos.

“Cuando alguien se va o renuncio, especialmente si trabajan en los departamentos con datos confidenciales como el de estrategia corporativa o desarrollo de productos, deberíamos comenzar el proceso de des aprovisionamiento antes de que se vayan. En otros casos, dejamos las cuentas en su lugar hasta que el administrador del departamento diga que todo está bien para que se puedan retirar”, anota Krestakos.

Use herramientas automatizadas

“Cuando un empleado deja la compañía, por la razón que fuera, esa información debería ser automática e inmediatamente transmitida por el departamento de Recursos Humanos al de TI para des aprovisionar el acceso a todas las cuentas de la organización. Hay muchos buenos programas de aprovisionamiento de usuarios para este propósito”, señala Sally Hudson, analista en IDC.

Además, según los analistas, algunas aplicaciones de software comercial pueden ayudar a asegurar que los empleados de alto nivel en particular sean expulsados de los sistemas corporativos. Estos incluyen los softwares de IBM, Oracle, Quest Software (ahora propiedad de Dell) y de CA Technologies, además de los proveedores de juegos como Cyber-Ark y Xceedium, que proporcionan soluciones PIM, muy usadas en organizaciones Fortune 2000.

“Existen controles y equilibrios: el software PIM asegura que los exempleados altamente autorizados, incluidos los ejecutivos y administradores de sistemas, no sean capaces de explotar sus anteriores altos niveles de acceso y privilegio de la cuenta para hacer travesuras y daño dentro de la compañía o corporación”, anota Hudson.

Un enfoque holístico del des aprovisionamiento es lo más recomendado por algunos. Según Michael Suby, analista en Frost and Sullivan, si no se toma la ruta holística, el proceso de gestión de identidades y acceso puede ser ineficaz.

“La ubicación de los datos es tan dispersa que es difícil de supervisar. También necesita segmentar los datos, que es parte de la gestión de datos. Si tengo un negocio con mucha información sobre los empleados, como su número de teléfono, salario y registros personales, necesito asegurarme de que cada categoría de datos esté almacenada en un sistema separado físicamente. Y cosas como los planes de negocio, adquisiciones y fusiones o uniones son acordonadas de la población general. Necesita gestionar el acceso a esa información. Hacerlo después de los hechos o de algo malo que haya pasado, es como dejar la puerta del granero abierta”, añade.

Hudson de IDC agrega, “un elemento básico de organización para todas las grandes empresas debería ser un proceso de certificación automatizado, a través del cual toda la línea de propietarios de negocios den fe en quién tiene acceso a lo asignado en base a sus roles dentro de la organización. Esto solía hacerse de forma manual con hojas de cálculo, pero ahora hay programas que automatizan y actualizan estas entradas y envían alertas automáticas cuando se detectan anomalías”.

El departamento de TI en Cisco también automatiza gran parte del proceso de des aprovisionamiento. Tan pronto como un empleado le dice al departamento de Recursos Humanos que se está retirando, se llevan a cabo una serie de acciones para evitar que estos empleados accedan a los datos corporativos, comenta Brett Belding, gerente senior de los servicios de movilidad de TI.

“Después de notificarle al departamento de Recursos Humanos, se llevan a cabo una serie de acciones relacionadas con el acceso a datos de los empleados. Los que deciden irse o retirarse tienen que entregar sus laptops corporativas y pierden el acceso al sistema y a cosas como AnyConnect VPN, nuestro ERP, sistema de Recursos Humanos y a cualquier otra cosa a la que tenían acceso. La cantidad de tiempo varía según los países, pero el punto común es en la última semana de trabajo. Pero cerramos el acceso a la VPN, por ejemplo, antes de tiempo”, señala.

El analista de Forrester, Andras Cser, añade que “tiene que haber relación entre los propietarios de las aplicaciones y el departamento de Recursos Humanos. Asimismo, el departamento de TI, también tiene que mantener el cumplimiento con los reguladores, ya sea el GRBA para finanzas, HIPPA para asistencia médica o Sarbanes-Oxley, que establece que la información de los empleados debería ser accesible por un gestor o administrador durante 30 días como una buena práctica en caso haya una auditoría”.

Limpie los dispositivos

En el entorno BYOD, los datos en los dispositivos de los empleados que se van de la compañía son generalmente limpiados o borrados por los departamentos de TI o por los empleados mismos. Pero antes de que eso suceda, el departamento de TI debe saber qué datos se encuentran en el dispositivo.

“Las organizaciones necesitan determinar qué datos se encuentran en el activo físico, como el ID en un teléfono móvil. Pero incluso examinando eso, algunas organizaciones o empresas luchan o tienen problemas para saber lo que puede ser borrado. Las compañías que están sujetas a supervisión regulatoria lo hacen mejor”, comenta DiVito de Pricewaterhouse Cooper.

Steelcase hace que los empleados que traen sus propios dispositivos firmen un acuerdo prometiendo que van a limpiarlos y borrar todos los archivos cuando salgan de la empresa. De los tres mil usuarios móviles de Norte América, la mitad está en el programa BYOD y este acuerdo ha funcionado bien, comenta el CIO de Krestakos.

“Los empleados deben estar de acuerdo con ciertas cosas a través de un acuerdo escrito. No tenemos soluciones para monitorear y asegurarnos de que no conservan datos de la empresa, solamente el acuerdo. El acuerdo pide que la contraseña del empleado proteja su teléfono y mantenga algún tipo de aplicación que les permita acceder y limpiar el contenido remotamente”.

Como en Cisco, el departamento de Recursos Humanos también se involucra. “Cuando un empleado se va de la compañía, tienen una entrevista de salida con el departamento de Recursos Humanos. Este departamento reúne todas las tecnologías entregadas a los empleados y les recuerda que no está permitido mantener o guardar los datos corporativos en sus dispositivos personales”, agrega.

Vigile constantemente la nube

El acceso de los empleados a la nube puede convertirse en un tema polémico y espinoso después de su salida de la empresa, ya que la nube es un canal no controlado. Tener las políticas bien cimentadas y en su lugar antes de que algún empleado se vaya de la compañía, facilita todo el procedimiento, señala Suby de Frost and Sullivan.

“Una organización tiene que tener una política y un procedimiento, decir cuáles son las páginas web sancionadas y si no lo están, bloquearlas. Necesita determinar cómo parar el movimiento de datos a lugares donde no hay visibilidad o lugares que no se ven, como Dropbox u otros servicios de la nube”.

En Cisco, los servicios internos y externos de la nube están atados o ligados a su pila de aplicaciones móviles. La manera en la que los administradores de TI se acercan a la gente manipulando indebidamente los datos en la nube es para mandar solo la presentación de una aplicación, no los bits actuales o reales, señala Belding.

“Gran parte de nuestra pila de aplicaciones móviles está atada o ligada a los servicios de la nube, ya sea internos o externos. Si quiere ver datos financieros, no se están descargando los datos reales, sino solo la presentación. Nosotros lo llamamos bits contra píxeles. Para los datos móviles o de la nube, solo quiere descargar píxeles; ya que de esa manera hay mucho menos datos en el dispositivo. Si está editando una hoja de cálculo en el navegador, donde es todo en píxeles, y cierra o apaga el servicio, no podrá acceder a él nunca más”, señala.

Steelcase limita los tipos de datos que pueden ser subidos a la nube de Google Drive usada por la compañía. Los datos de estrategia corporativa y desarrollo del producto están entre los tipos de datos más cruciales o fundamentales, y por ende no pueden ser almacenados en Google Drive.

“A los trabajadores se les advierte que están trabajando en un proyecto confidencial y que deben tomar precauciones para proteger la información”, añade Krestakos

–  John S. Webster, Network World