Desactivar cuenta corporativa

Desactivar cuenta corporativa

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo Desde los departamentos de ciberseguridad llevamos décadas reforzando el uso de cuentas corporativas personales. El uso de estas cuentas identificativas nos permite trabajar en la gestión de acceso a la información. Es la base de lo que se suele denominar como triple A, Authentication, Authorization y Accountability, es decir, autenticación, autorización y registro. Si bien solemos hablar de este concepto para explicar las políticas de mínimo privilegio sobre cómo debemos compartir únicamente la información necesaria o sobre cómo un correcto acotamiento de autorizaciones puede ayudarnos a minimizar el daño causado por un ransomware. Los casos de desvinculación laboral son un ejemplo perfecto de los beneficios del uso de cuentas nominales. En el momento del fin de contrato, simplemente deberemos deshabilitar el usuario del sistema y así evitaremos que utilicen esa cuenta una vez terminada la relación laboral. Se trata pues, de una de las primeras cosas que debemos hacer tras la comunicación de una desvinculación laboral. Bloquear el acceso de esa persona a la información de la organización. Según las organizaciones van cogiendo un cierto tamaño, la centralización del sistema de autenticación gana fuerza. La comodidad para los usuarios que solo deben preocuparse de una contraseña corporativa junto a la gran capacidad de gestión y granularidad que ofrece a los administradores, son los principales motivos de su expansión. Y la verdad es que un sistema centralizado de autenticación como Microsoft Directory, Novell Directory o cualquier propuesta de LDAP nos facilita mucho el trabajo de bloquear y eliminar los accesos a las personas que terminan su vinculación laboral. Aunque el bloqueo de usuario personal centralizado es una actuación imprescindible, como responsables de ciberseguridad debemos empujar para que el protocolo de desvinculación laboral no se limite únicamente a ello y tenga en cuenta todas las posibles cuentas personales existentes en las diferentes aplicaciones y servicios corporativos. Para ello debemos tener un inventario de aplicaciones y cuentas de acceso en función de los departamentos y responsabilidades de las personas y asegurarnos de mantener estos inventarios actualizados. De poco nos servirá un inventario de herramientas y aplicaciones que no se ha revisado en los últimos dos años. Es muy probable que haya sistemas que no estén inventariados y que en caso de una desvinculación, también deben tener su acceso restringido. El bloqueo de las cuentas personales es una acción que todos debemos tener en mente cuando una relación laboral termina, pero su correcta ejecución requiere de una cierta preparación previa. Si evitamos la improvisación, reduciremos en gran medida la probabilidad de errores.

Aplicar política de contraseñas

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo La política de contraseñas es una de las herramientas más poderosas que tenemos para ayudarnos a proteger la información corporativa en los casos de desvinculación laboral. Aunque muchos técnicos tenemos la tendencia de clasificar en general a las políticas de ciberseguridad como algo enfocado al cumplimiento normativo, la realidad es que unas políticas bien pensadas y adaptadas a nuestro entorno corporativo sí que ayudan y mucho, a mantener la información corporativa segura. Y la política de contraseñas es un ejemplo muy claro de ello. Ya sé, habrá quien piense. Si, claro, os encanta mostrar esta política escrita para obligarnos a tener contraseñas largas y complejas. Bueno, no es por eso. Nuestro trabajo es proteger la información de la organización, no fastidiar a la gente, aunque a veces lo parezca. Ahora ya en serio, una correcta política de contraseñas es mucho más que definir y forzar la longitud y complejidad de las contraseñas. Por ejemplo, un punto importante es la definición de los períodos de cambio de contraseñas, tanto de las cuentas individuales como especialmente de las compartidas. Establecer y, sobre todo, aplicar una ventana de caducidad de las contraseñas reduce el tiempo de afectación. Si una contraseña es filtrada o si esta contraseña compartida no se cambia en el momento en que finaliza la relación contractual de una persona del equipo. Aunque te podría hablar más sobre el contenido e importancia de una correcta política de contraseñas corporativas para lo que nos afecta este curso, me gustaría que tuvieras claro lo siguiente. Primero, en el momento de una desvinculación laboral, todas las cuentas nominales deben ser bloqueadas. No hay que permitir excepciones ni retrasos en la aplicación de este procedimiento, por lo que una correcta coordinación con el Departamento de Recursos Humanos es imprescindible. Y segundo, el cambio de contraseñas de todas las cuentas compartidas que las personas que abandonan la organización pudieran conocer debe realizarse lo antes posible. Al cambiar la contraseña de una cuenta compartida, debemos considerar la afectación que habrá en el resto de los miembros del equipo, que deberá pasar a utilizar una nueva contraseña. Por ello, los métodos de información de que se ha hecho dicho cambio también deben estar definidos previamente para evitar dejar espacio a la improvisación. Así pues, debemos asegurarnos de que tenemos una política de contraseñas útil y efectiva. No se trata de tener un documento para simplemente marcar con un visto en el listado de auditoría de ciberseguridad o por cumplir los requisitos del ciber seguro. Lo importante es tener una base realista que nos permita minimizar los riesgos asociados a las contraseñas y las cuentas de acceso.

Redirigir vías de contacto

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo En nuestro día a día, cuando estamos con clientes y proveedores de forma constante y suele establecerse una relación de cierta confianza entre personas, puede que el departamento de compras de un cliente esté formado por un equipo de varias personas, pero por regla general, suele establecerse un vínculo con alguien en particular. Piensa en tu día a día. Llamas al departamento comercial de la empresa A o llamas a Alicia. Envías un correo al departamento de compras de la empresa 2 o lo haces directamente a Juan. Este comportamiento, muy humano, de establecer una relación directa entre personas, aunque sea simplemente por correo electrónico, puede llevar a situaciones delicadas en caso de una desvinculación laboral. La organización necesita que el flujo de comunicaciones con clientes y proveedores siga operativo, aunque haya una desvinculación laboral. Debemos tener en cuenta que las direcciones de correo electrónico nominales o los números de teléfono corporativos pertenecen a la organización, aunque su uso sea exclusivo de una sola persona. Si bien la utilización de estos recursos debe realizarse bajo la política de uso adecuado y hay disposiciones legales frente a cómo y cuándo una organización puede acceder y, por ejemplo, leer dichos correos. Está claro que una vez finalizada la relación laboral, la empresa puede redirigir las comunicaciones entrantes a otro destino. Por ello, es común que los correos electrónicos que se envíen a una persona que ya no trabaje en la organización sean redirigidos a otro compañero del departamento para poder gestionarlos. Aunque esta redirección de correo puede realizarse hacia una lista de distribución para que todos los compañeros de trabajo sean conscientes de las gestiones, por regla general suele reenviarse al correo electrónico de una persona específica, que será la que o bien asuma inicialmente el trabajo, o bien se responsabilice de distribuir la carga de trabajo entre todo el equipo. Del mismo modo, la numeración telefónica suele desviarse a una extensión departamental, salvo que se haya especificado que una persona en concreto asuma todas las gestiones de quien se ha desvinculado de la empresa. Pueden existir otras vías de contacto como sistemas de mensajería tipo WhatsApp, Facebook, Messenger, Telegram, que también deben tenerse en cuenta en caso de desvinculación. En resumen, las comunicaciones entrantes dirigidas específicamente a alguien que se ha desvinculado laboralmente pueden y deben ser redirigidas a un grupo de trabajo que las gestione. La política de qué vías de comunicación y cómo activar dichos desvíos deberá estar definida previamente para evitar equivocaciones. La notificación a clientes y proveedores puede realizarse de diversas formas y dependerá tanto del perfil de la persona despedida como de la política de la empresa. En algunas situaciones bastará simplemente con notificar al interlocutor en el momento que éste inicie un nuevo contacto, mientras que en otros deberemos notificar a clientes o proveedores de forma activa. Si el antiguo trabajador gestionaba directamente clientes, como puede ser un perfil de gestor de cuentas, es recomendable notificar activamente de la situación a dichos clientes. Esta notificación rápida puede evitar situaciones en las que la persona despedida contacte con ellos por diez alternativas, generando eventos potencialmente dañinos. Las formas, métodos y responsabilidad de contactar con clientes y proveedores en caso de una desvinculación dependerá de la política de la empresa, pero es algo que debemos tener previsto y por escrito para evitar actuar de forma precipitada en estas situaciones desagradables. Como ves, una desvinculación implica una redirección de los flujos de comunicaciones con clientes y proveedores. Este cambio debe ser planificado de antemano si queremos minimizar la pérdida de comunicaciones y evitar problemas reputacionales de cara al exterior.

Custodia equipamiento corporativo

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo Aunque el departamento financiero desea aprovechar al máximo todos los recursos de la empresa y estaría encantado que, por ejemplo, una vez se recupere un teléfono móvil sea asignado a otro trabajador sin pérdida de tiempo. La experiencia nos indica que es preferible tener los equipos en custodia durante un tiempo antes de reutilizarlos. Aunque todos somos conscientes de que las computadoras o teléfonos móviles pertenecen a la empresa y deben utilizarse para ello. La verdad es que la inmensa mayoría de los trabajadores utilizan sus equipos corporativos para usos particulares. ¿Cuántos de los que oís este curso tenéis la aplicación de LinkedIn con vuestra cuenta personal en el teléfono corporativo? ¿Acaso no consultamos nunca nuestro correo electrónico personal desde el ordenador portátil corporativo o alguna de las múltiples aplicaciones de mensajería en los teléfonos móviles con capacidad de llevar dos tarjetas SIM? Esta mezcla de uso personal y corporativo se refuerza, ya que mucha gente acaba usando el mismo terminal físico para gestionar sus dos vidas. Pero los trabajadores deben firmar un acuerdo de buen uso cuando les entregamos un equipo corporativo. Sí, pero somos humanos y ese uso mixto, en mayor o menor medida, es casi imposible de evitar. Si tenemos este comportamiento en cuenta. Veremos que no es aconsejable la limpieza y reutilización de equipamiento corporativo de forma inmediata, especialmente si hablamos de desvinculaciones laborales no esperadas. Cuando una persona deja su empresa, tiene un tiempo para hacer limpieza de su información personal antes de entregar los dispositivos. Pero en caso de un despido inesperado no es posible hacer esta limpieza. Desde el punto de vista de la ciberseguridad, los equipos informáticos deben ser recogidos lo antes posible, aunque eso implique que la persona no podrá acceder a ellos para obtener información privada que pudieran albergar. ¿Cómo podemos permitir el acceso de la información personal almacenada en un equipo corporativo a una persona que ya no debería tener acceso a ese dispositivo? Pues podemos optar por varias estrategias, desde permitir que la persona acceda al equipo con una fuerte supervisión y saque su información personal bajo la revisión de una persona responsable. O bien mantener la custodia del equipo durante un tiempo y si la persona requiere recuperar información específica, un empleado del equipo de IT, acceder a ella y se la hará llegar. Desde el punto de vista práctico, es recomendable mantener los equipos informáticos devueltos en custodia durante un periodo de gracia del que se debe informar a la persona afectada, de tal forma que pueda recuperar su información personal. Pensemos que en el caso de un despido, es probable que la persona se encuentre en un mal estado emocional y no recuerde toda la información que pueda tener allí guardada. No sería la primera vez que una persona llama a recursos humanos dos semanas después de un despido, preguntando si sería posible recuperar las fotos de una celebración familiar que estaban guardadas en un ordenador portátil. ¿Durante cuánto tiempo se considera suficiente esta custodia? Bueno, esto dependerá de la política de la empresa, pero deberían darse varias semanas de margen a que la persona despedida pueda darse cuenta de que ha perdido información personal que desea recuperar. Por ello, siendo humanos y no máquinas, se recomienda la custodia temporal del equipamiento informático antes de reutilizar el terminal para otro trabajador.