Cuando un empleado se va, las empresas corren a fichar al nuevo. Pero, ¿y la seguridad de todo lo que el que se marcha podía tocar? Es un agujero negro brutal que pilla desprevenidas a casi todas las compañías.
Cuando un empleado se va, las empresas corren a fichar al nuevo. Pero, ¿y la seguridad de todo lo que el que se marcha podía tocar? Es un agujero negro brutal que pilla desprevenidas a casi todas las compañías.
Nadie se emociona con la despedida de un empleado. Es el hermano feo del onboarding, esa tarea que todos evitan. Pero ojo: dejar que alguien se vaya sin cortar su acceso es como darle las llaves del castillo a un enemigo potencial.
Y pasa más de lo que crees.
La gente se cambia de trabajo. Punto. Estadísticas laborales muestran que un empleado dura unos cuatro años en promedio. Tu empresa seguro tiene rotación constante, aunque no lo notes.
El drama es que nos rompemos la cabeza por recibir bien a los nuevos, pero al que se va lo dejamos de lado. RRHH busca reemplazos. Jefes cubren huecos. Y en el lío, nadie revoca accesos a archivos sensibles, datos financieros o info de clientes.
Esto es grave. Muy grave.
Un estudio revela que 1 de cada 4 ex-empleados sigue con acceso a sistemas viejos. Imagina: meses después, entran y bajan lo que quieran. Da igual si es por error o maldad. Ese riesgo no debería existir.
No hablo solo de plata, aunque duele. Me refiero a:
Olvidamos cuántos sistemas toca un empleado. Correo, claro. Pero ¿almacenamiento en nube? ¿Herramientas de proyectos? ¿Bases de datos? ¿Pagos? ¿Portales de proveedores? Ese ingeniero tiene repos de código y servidores. El vendedor, contactos y precios.
Dejar un solo acceso vivo es como poner candado en la puerta principal y olvidar la trasera.
Un buen offboarding no es un cohete. Solo pide orden y registro. Vamos al grano:
Antes de que se vayan, revisa qué tocan. ¿Qué sistemas usan? ¿Qué ven? ¿Qué procesos controlan? ¿Con quién comparten?
Suena obvio, pero la mayoría no lo sabe sin revolver herramientas y departamentos. Si no lo mapeas, no lo cortas bien. Alerta roja.
Fin del último día: cero acceso. Hoy. No mañana. Ni "cuando IT pueda".
Lista clave:
Si usaron dispositivos personales, borra datos remotos. Por eso, mejor política de "nada personal para trabajo". Simplifica todo.
Si avisan con tiempo (lo ideal), que documenten: procesos propios, relevos de proyectos, transferencias seguras de accesos.
No es solo seguridad. Evita parones en el negocio. Capacitación cruzada y guías escritas te salvan de depender de uno solo.
Los equipos no se evaporan. Hay que lidiar con laptops, discos externos, backups olvidados.
Tu política debe cubrir:
Sanitizar datos es el tedio que marca a los serios de los flojos.
Por industria, tienes reglas: GDPR, HIPAA, CCPA. Dicen clarito: "Corta accesos no autorizados".
Dejar credenciales vivas es infracción pura. Auditores lo pillan en breaches.
Un checklist documentado con tus obligaciones no es lujo. Es defensa legal.
Opinión picante: no hay procesos formales porque offboarding parece menor. No genera plata. No impresiona.
Pero ¿quién sufre un breach por un ex con acceso a base de datos tres meses? Se arrepiente amargo.
Solución fácil: trata offboarding como onboarding. Checklist. Responsables. Plazos. Herramienta para chequear.
Simple. Consistente.
La rotación pasa. Alguien se irá. Bueno o mal. Necesitas proceso que no confíe en buena fe.
Offboarding bien hecho:
Errar sale carísimo. Hacerlo bien, pan comido.
Etiquetas: ['employee offboarding', 'data security', 'access control', 'it security', 'compliance', 'cybersecurity', 'business risk management']