En resumen
La fiesta de despedida fue el viernes. El lunes, sus credenciales de la nube seguían activas. Así empieza la mayoría de las brechas de información que nadie puede explicar tres meses después.
Por qué importa
La salida de un colaborador debe ser tan rigurosa como su contratación. Si hiciste due diligence antes de contratarlo, tienes la misma obligación de hacer due diligence antes de dejarlo ir. Con acceso a tus sistemas.
El offboarding es el trámite que Recursos Humanos considera terminado cuando el empleado entrega su gafete. Para seguridad, ese momento es exactamente cuando empieza el riesgo.
Un estudio de Verizon sobre brechas de datos documentó que el 20% de los incidentes involucraron credenciales de exempleados que nunca fueron revocadas. No fue malicia en todos los casos. Fue descuido administrativo. El resultado fue el mismo.
Por qué falla el offboarding
- ▸El proceso está fragmentado: RRHH gestiona la baja laboral, TI gestiona los accesos, y nadie coordina los dos en tiempo real.
- ▸Los accesos a sistemas en la nube (Google Workspace, Slack, CRM, ERP) no están centralizados. Cada plataforma requiere una baja manual que nadie tiene en su checklist.
- ▸Los activos intangibles — bases de clientes, contratos, proyectos en desarrollo — pueden copiarse sin dejar rastro si no hay controles de DLP activos.
- ▸La presión de "terminar bien" con el empleado que se va genera una relajación del protocolo. Nadie quiere parecer desconfiado en la fiesta de despedida.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Lo que un offboarding seguro incluye
- ▸Revocación de accesos el mismo día de la baja, no después. Esto incluye correo, VPN, sistemas internos, plataformas SaaS y accesos físicos.
- ▸Revisión de descargas masivas en los 30 días previos a la salida. Los sistemas de DLP pueden detectar patrones de extracción inusual.
- ▸Entrevista de salida con componente de seguridad: qué información maneja, qué dispositivos personales usó para trabajo, qué cuentas compartidas conoce.
- ▸Cambio de contraseñas compartidas que el empleado conocía, especialmente en cuentas de redes sociales corporativas.
- ▸Documentación firmada de las obligaciones de confidencialidad post-empleo.
El caso del gerente de ventas
Un gerente de ventas con diez años en la empresa renunció para irse a la competencia. Su salida fue cordial, su fiesta de despedida fue emotiva. Nadie revocó su acceso al CRM durante dos semanas porque "estaba en proceso". En esas dos semanas descargó el historial completo de clientes de los últimos cinco años. La empresa lo descubrió cuando empezó a perder contratos con clientes que "alguien" ya había contactado.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.