El departamento de TI debe participar en la terminación del empleo
Es necesario involucrar a las TI en el proceso de terminación de empleados porque un ex empleado que todavía tiene acceso a la red de una empresa y a datos corporativos propietarios es una amenaza para la seguridad. En la mayoría de las terminaciones, los ex empleados nunca pensarían en dañar sus sistemas informáticos, pero ¿por qué correr el riesgo de haberse topado con un solo huevo malo?
Además, es inteligente conservar ciertos recursos tecnológicos, datos y registros en el caso de que el ex empleado o la propia empresa decida buscar un litigio.
Finalmente, es esencial integrar TI en el proceso para ayudar a garantizar que los controles de terminación de empleados sean lo suficientemente completos como para cumplir con los requisitos relevantes de Sarbanes-Oxley.
Las políticas de seguridad de la información y retención de datos deben ser específicas de la empresa y adaptadas a las leyes bajo las cuales opera su empresa.
3 Principios de TI que las empresas necesitan abordar
Sin embargo, existen al menos tres amplios principios de TI a los que una empresa debe adherirse cuando y después de despedir a un empleado .
- Notificación rápida de la finalización al departamento de TI: incluso un aviso anticipado antes de la reunión de finalización se agradece para que IT pueda bloquear el acceso mientras se lleva a cabo la reunión.
- Todas las empresas deben tener una política estrictamente aplicada que establezca claramente quién debe notificar a alguien cuando el empleo de alguien finaliza o ha finalizado. Esta política también debe exigir que estas notificaciones se den de inmediato para que todos los departamentos involucrados puedan tomar medidas rápidamente.
Un contacto de seguridad de la información debe estar entre los notificados, y las responsabilidades de esta persona deben incluir investigar, documentar y revocar el acceso de un empleado a la información patentada almacenada electrónicamente de la compañía y sus sistemas de información.
- Prudente revocación de acceso. Una vez notificado, TI es responsable de la revocación inmediata del acceso y preservar los registros que la compañía pueda necesitar ahora o en el futuro.
Qué hacer cuando se cancela el empleo
En el caso de un empleado despedido, TI debe revocar inmediatamente toda la computadora, la red y el acceso a los datos que tiene el ex empleado.
También se debe eliminar el acceso remoto y se debe desposeer al antiguo empleado de todas las propiedades de la empresa, incluidos recursos tecnológicos como una computadora portátil y propiedad intelectual, como archivos corporativos que contienen información de clientes, ventas e información de marketing.
Sin embargo, en el caso de un empleado cuyo fin de empleo es inminente, TI debe consultar con el gerente del empleado, RR. HH. Y otros responsables clave para determinar la manera apropiada de escalonar la revocación del acceso durante los días restantes de la persona De empleo.
Del mismo modo que el otorgamiento de autorizaciones de acceso y seguridad debe documentarse para futuras referencias, la revocación del acceso también debe documentarse, especialmente para fines legales. El objetivo, por supuesto, siempre debe ser revocar el acceso de forma que tenga sentido para los negocios desde el punto de vista financiero, tecnológico y legal.
Preservación preventiva de datos
Todas las empresas deben contar con políticas de redundancia y retención de datos que satisfagan sus necesidades comerciales y se adhieran a las leyes aplicables. Dichas políticas abordan la copia de seguridad, la restauración y la preservación de los datos corporativos en general.
Sin embargo, una empresa también debe promulgar políticas que detallen cuándo y cómo debe administrarse la TI para preservar datos, registros, registros y otros materiales potencialmente confidenciales y otros materiales que podrían ser de importancia legal, si la empresa y el ex empleado emprendieran una batalla legal.
Es especialmente importante hacerlo en el caso de un ex empleado que ocupó un cargo de alto nivel o que dejó la compañía bajo una nube de sospecha.
La apropiación y aplicación de estos tres principios debe ser el trabajo colectivo del personal ejecutivo de la compañía, los departamentos de TI y recursos humanos , y el asesor legal especializado en informática forense y las leyes que rigen el uso de la tecnología informática por parte de la empresa.
Los resultados de este esfuerzo cooperativo deberían ser una mayor protección de los datos corporativos, así como una mejor preparación para el litigio relacionado con el robo de datos corporativos , la piratería y otras formas de usos ilegales o desaconsejados de la tecnología informática. Trabajar con TI como un socio valioso garantiza que estos objetivos se logren en el caso de una terminación del empleo.
1.