El proceso de baja de usuarios

Últimamente, por desgracia, cada día finalizan multitud de relaciones laborales. En algunos casos, es el trabajador quien se da de baja voluntariamente (lo más normal es que haya encontrado un trabajo mejor) y en la mayoría, es la empresa quien despide a su empleado.

Pero ¿qué pasa cuando un trabajador deja de tener relación con su empresa? Obviamente, durante cada etapa laboral se adquieren muchos conocimientos de diversa índole y eso no se pierde al dejar de formar parte de la empresa (lo cual obliga a distinguir conocimientos e información: saber cómo implantar un SGSI es diferente a «llevarse» los modelos de procedimientos, aunque sea éste quien los hubiera desarrollado, siempre evidentemente en el marco de un acuerdo de confidencialidad) y se tiene acceso a determinada información con diferentes grados de confidencialidad.

En teoría, cuando concluye la relación laboral, el empleado (ex empleado ahora) deja de tener acceso a las instalaciones de la compañía, sus repositorios de información, su correo electrónico, en definitiva a sus sistemas de información. Ahora bien, ¿esta teoría se cumple siempre? ¿En qué plazos debería hacerlo? ¿Cómo de estrictos debemos ser con estos temas?

Nunca se puede generalizar, y en este tema en concreto conozco dos casos muy cercanos y completamente opuestos que, a primera vista, me parecen los dos extremos de cómo hacer mal las cosas. Por un lado, tenemos a una amiga que estaba realizando una sustitución por maternidad, por lo que la duración de su empleo estaba claramente establecida de antemano. Cuando llegó el último día a trabajar, no pudo acceder a las instalaciones porque habían desactivado su tarjeta. Y una vez dentro (cuando le abrieron la puerta sus compañeros), no pudo utilizar el ordenador porque le habían desactivado ya el usuario del dominio, el correo electrónico y el acceso a Internet. No podía hacer nada, pero tampoco la dejaban marcharse a casa.

En el caso completamente contrario, un amigo fue despedido por fin de proyecto y todo parecía ir con normalidad. Sin embargo, algo más de un año después del despido, su antiguo jefe le llamó para preguntarle “si recordaba la contraseña del panel de administración del cliente X”. Tras comunicarle la contraseña que utilizaba él en su día, la curiosidad le pudo y comprobó que la contraseña seguía siendo la misma.

¿Podemos decir que alguna de las dos empresas actuó 100% de forma correcta?

Vayamos por partes. En cuanto a la obligatoriedad de restringir los accesos del ex empleado, podemos remitirnos, además del sentido común, a la norma UNE-ISO/IEC 27002 que en su dominio de control “Seguridad ligada a los recursos humanos” contiene algunas consideraciones importantes.

Por ejemplo, establece que se debe completar la devolución de todos los activos de la empresa que posea al finalizar la relación laboral. Esto incluye desde portátiles, ordenadores y teléfonos móviles hasta documentos, manuales e información en soporte electrónico. También indica que si el empleado utiliza algún dispositivo personal con fines laborales, se debe asegurar que la información se transfiere a la organización y se borra de los equipos de forma segura.

Respecto a los derechos de acceso, indica que deberían retirarse al finalizar el empleo o contrato. Estos derechos incluyen tanto el acceso a las instalaciones (las llaves o tarjetas de acceso se deberían devolver junto con el resto de activos) como a la información corporativa (por ejemplo, si el trabajador ha tenido acceso a contraseñas de sistemas que siguen activos tras su marcha, deberían cambiarse). Sin embargo, si profundizamos un poco más en la norma, establece que los derechos de acceso deben reconsiderarse en función de los siguientes factores para determinar si han de retirarse antes de la finalización de la relación laboral:

  • Si se trata de una baja voluntaria o ha sido decidido por la organización, así como los motivos.
  • Responsabilidades actuales del trabajador.
  • Valor de los activos a los que tiene acceso.

Es decir, no es lo mismo que se produzca la baja de un responsable de departamento que de un reponedor, ni es lo mismo que sea por una finalización de contrato que por faltas graves del empleado, etc.

Según esto, parece que el primer caso transcurrió conforme a la norma y el segundo no. Pero hay otras cosas a tener en cuenta. Por ejemplo ¿era necesario una retirada radical de accesos en su último día de trabajo? ¿Hubiera sido admisible esperar al día siguiente (o a última hora de ese día) para hacerlo? ¿Quién decide tener a una persona en su puesto de trabajo sin que pueda hacer absolutamente nada? ¿Qué sensación tiene esa persona en sus últimas horas de trabajo?

Además, hay otro aspecto importante a tener en cuenta. La norma dice “a la finalización del empleo”, pero el Estatuto de los trabajadores establece que, en caso de despido, se debe preavisar al empleado con 15 días. Entonces, durante ese tiempo ¿el empleado sabe que va a ser despedido y sigue teniendo acceso a todos los recursos de la empresa? Omito intencionadamente el caso de la baja voluntaria porque el empleado podría llevarse la información que quisiera antes de comunicar el preaviso establecido por su convenio colectivo.

Así pues ¿cómo compatibilizamos el preaviso que se debe dar a un empleado antes de su despido con la retirada de los accesos del mismo? ¿Tiene sentido el despido “de hoy para mañana” para evitar una posible fuga de información? ¿Cuál sería un plazo razonable para cancelar los accesos protegiendo la información? ¿Qué es más importante, la información de la compañía o el trato a los empleados?

Un montón de incógnitas a las que los responsables de Recursos humanos y de TI se enfrentan a diario. ¿Qué opináis vosotros?

Comments

  1. En mi opinión, las políticas de actuación deben estar definidas en procedimientos internos que el empleado debe conocer y la compañía debe respetar. No tiene gran importancia el hecho de que el último día, el empleado no pueda acceder a los sistemas, pero es una descortesia con él y si se piensa que eso es seguridad, es un eror. Seguridad es salvaguardar lo que resulta crítico para la compañía (conocimientos e información)durante todo el período de presencia del empleado, con compromisos firmados de confidencialidad y no extracción de esa información, de acuerdo a normas y leyes que están escritas con este fin. Nadie puede negarlea un empleado que la experiencia y el conocimiento adquirido queden en su propiedad, pero el uso de este úlimo si que está controlado por leyes y normas de ética profesional.

  2. Si la persona a la que van a despedir de la empresa tiene recursos/accesos a infraestructura/datos críticos (por ejemplo, un domain admin, o un responsable de seguridad, etc…), el preaviso y no actuar con rotundidad puede acarrear un problema grave. Por mucho que se audite o cuide el acceso, si tú tienes el poder de saberlo y por tanto de modificarlo, antes de que te echen, podrás hacer lo que quieras. Por ello, en ese supuesto concreto, creo que lo mejor es actuar de forma muy taxativa por el potencial peligro que entraña al negocio, y en éste van los puestos y vidas de muchas personas en juego.

  3. Que pasa entonces con los empleados indirectos, outsourcing por ejemplo, cual debe ser la forma de proceder con ellos, de igual manera para casos de salidas debido a permisos previos (vacaciones, licencias, etc.), cuanto seria el tiempo que la compañia debe esperar para bloquear sus usuarios.? Quien seria el responsable de notificar sus salidas.? Como deberia de actuar la empresa hacia este tipo de empleados indirectos, cual norma o regulacion establece estas condiciones.?

  4. Es una práctica común en algunas multinacionales el despedir a sus empleados sin previo aviso para evitar fugas de información. Esto es como todo, en función del cargo que ocupa un persona y del sector al que se dedica la empresa se tiene más cuidado o menos.
    En una de las empresas del sector tecnológico en que trabajé me despidieron así y sé que era la práctica habitual con todos los empleados que tenían acceso a recursos valiosos en la compañía. Te citaban en recursos humanos de un día para otro y cuando te daban la «buena nueva» te pedían el teléfono móvil y efectos relacionados y ya no te dejaban estar dentro de la empresa para despedirte de la gente sin la supervisión del jefe de turno.