La salida de empleados de una empresa es siempre un momento delicado, sea esta salida a causa de un despido o de manera voluntaria. Por eso es fundamental que haya un procedimiento oficial en pie para manejar uno de los aspectos más importantes en estos casos: revocar el acceso del exempleado a los recursos de la empresa. O dicho de una manera más coloquial, evitar que nuestros sistemas se llenen de cuentas zombis.
En muchos casos en los que los accesos están centralizados este revocamiento pasa por una simple desactivación del perfil de usuario pero todo se vuelve más complicado cuando no hay un sistema centralizado y tenemos que retirar las cuentas una por una manualmente.
Estudios recientes (Curion Corp., Lieberman Software) han concluido que un 93% de las compañías no perciben este asunto como un problema o amenaza pero que sin embargo hasta un 13% de antiguos empleados sigue manteniendo acceso a los sistemas de la compañía en la que trabajaban, usando las mismas credenciales.
Lo que está en cuestión aquí no es que el empleado en cuestión tenga malas intenciones sino que la existencia de estas cuentas zombis representa un grave agujero de seguridad a través del cual pueden venir problemas mayores como por ejemplo una filtración de datos personales, por no hablar del robo de información empresarial que puede acabar en manos de la competencia.
¿Qué medidas podemos tomar para evitar las cuentas zombi?
1. Identificar todas las que ya existan
El primer paso para solucionar el problema será hacernos una idea de dónde está y cómo es de grande. Para esto en ocasiones habrá que contar con la colaboración del propio exempleado ya que nos resultará muy difícil conocer todos los recursos a los que accedía en su calidad de trabajador.
2. Gestión de contraseñas
Una de las maneras más efectivas de prevenir las cuentas zombies es la de establecer una caducidad periódica para las contraseñas de los distintos sistemas de la empresa. Esto añade una carga de molestia a los empleados que tienen que elegir y memorizar una nueva contraseña cada cierto tiempo, pero los beneficios de seguridad hace que valga la pena.
3. Desactivar y borrar todas las cuentas que no estén en uso
Una vez que hayamos identificado todas las cuentas zombis en nuestros sistemas, el siguiente paso será el de eliminarlas del sistema. En el caso de los equipos (PC, portátil, smartphone, tablet) que el antiguo empleado usaba, una solución es crear una copia de datos en una localización segura y luego proceder a un borrado total.
4. Investigar los sitios externos
¿Qué ocurre con los sitios externos a los que accedía el empleado en su labor dentro de la empresa? Ejemplos de este tipo de servicios son cuentas en redes sociales, blogs, analytics, perfiles en servicios online… En este caso desgraciadamente no hay solución fácil y hay que realizar una labor de investigación para realizar una lista de todos estos recursos y tomar el control sobre ellos revocando de paso el acceso del exempleado.
El agujero de seguridad que un exempleado puede representar es a la postre una cuestión que depende del propio empleado, en la mayor parte de las ocasiones éste no tiene ningún interés en crear problemas para su anterior empresa y aunque no se gestione el revocamiento de acceso de manera adecuada, no habrá ningún problema. Sin embargo, en el caso minoritario pero perfectamente posible de que un exempleado decida crear problemas, la situación podría ser muy grave. Más vale prevenir.
