Por desgracia para los empresarios, la confianza incondicional en la honestidad de un empleado no es un lujo que pueda permitirse ningún empresario. Encuestas de Seguridad y Delitos Informáticos indica que el robo de información de propiedad causó la mayor pérdida financiera y, además, el 62% aproximadamente de los que respondieron a la encuesta informaron de que un empleado interno estuvo involucrado en un incidente de seguridad. Esta estadística por sí sola debería impulsar a las empresas a tomar medidas de precaución cuando los empleados abandonan la empresa, ya sea voluntaria o involuntariamente. Para evitar incidentes de sabotaje deliberado a los datos de la empresa (es decir, la destrucción, alteración o eliminación de información de propiedad), las empresas deberían adoptar la mejor práctica de seguir ciertos pasos clave para garantizar la seguridad de la información de la empresa.
Desactivar el acceso de los empleados – RÁPIDAMENTE
Los empleados que se marchan deben revocar sus contraseñas inmediatamente después de su salida, preferiblemente en su último día de trabajo. Tardar más tiempo en asegurar este paso podría convertirse en un costoso error si el empleado se marcha sólo para acceder a la información de la empresa para destruirla o robarla desde un sitio remoto. Los estudios han demostrado que es bastante común que los empleados compartan las contraseñas, lo que podría conducir a un acceso ilegal. La desactivación de la contraseña podría impedir que otro personal no autorizado (que podría seguir trabajando para la empresa pero que en principio no tendría acceso a cierta información sensible) se introduzca en los datos confidenciales. Debido a la prevalencia del uso compartido de contraseñas en la América corporativa, también puede tener sentido forzar un cambio de contraseñas en toda la empresa en un intervalo regular, incluyendo el día en que se revoca el acceso de un empleado.
Mantenga información sobre el acceso de los empleados
Con la información almacenada en una variedad de niveles de seguridad y ubicaciones en toda la red, los derechos de acceso son numerosos. Para dejar el margen de error lo más cerca posible de cero, es aconsejable que una empresa mantenga un documento que enumere el acceso de cada empleado a los sistemas de información de la empresa. La empresa está entonces en condiciones de desactivar todos los derechos de acceso, limitando el error de dejar algún código de acceso sin tocar. Otra medida para garantizar la seguridad de la información privada es que un gerente se asegure de que todos los derechos de acceso están desactivados con una lista de control que debe ser firmada para confirmarlo.
Realice entrevistas de salida
Las empresas que no tuvieron la previsión de hacer que los empleados firmaran un acuerdo de no competencia o de no divulgación en las etapas iniciales de empleo deben realizar entrevistas de salida para recordar a los empleados que la información de la empresa es confidencial y no debe ser revelada a un extraño. Por supuesto, esta práctica debe ser facilitada por una política de la empresa ya establecida sobre la prohibición de revelar información de la empresa a personas ajenas o competidoras.
Custodia o creación de imágenes de los discos duros
El uso continuado del ordenador incluye el riesgo de cambiar las fechas de creación, alteración, acceso o eliminación de los archivos. Además, cualquiera de las siguientes acciones podría alterar las pruebas de las actividades fraudulentas de un empleado o del robo de la propiedad electrónica de la empresa: encender y apagar el ordenador, introducir nuevos datos, cargar nuevo software, comprimir datos, desfragmentar el disco y mover datos de un sistema a otro.
Basándose en la información anterior, puede ser una buena medida para las empresas conservar el disco duro de cualquier empleado que tenga acceso a información sensible cuando se vaya. Esta práctica garantizará que las actividades realizadas en el ordenador no se borren inadvertidamente y, en caso de que sea necesario investigar el disco duro de un sospechoso por actividades dudosas, las pruebas no habrán sido manipuladas por nadie más.
Otra alternativa es crear una imagen del disco duro del empleado. Los expertos en informática forense pueden obtener una «imagen espejo» de un disco duro y las empresas pueden conservar una copia del disco con imagen durante un tiempo. Este recurso permitirá seguir utilizando el disco duro original y permitirá a los empresarios disponer de una copia del original. Si en el futuro es necesario descubrir pruebas electrónicas, un LABORATORIO DE INFORMÁTICA FORENSE puede llevar a cabo la investigación en el disco con imagen. La toma de imágenes de un ordenador sólo por la posibilidad de que una empresa pueda necesitar algún día la copia del disco duro puede parecer un paso laborioso, pero es un seguro relativamente barato para cualquier empresa que tenga información de propiedad que, si se filtra o se manipula, podría costar a la empresa grandes pérdidas financieras.
Cuando se sospecha que un empleado ha cometido una falta
Cuando se sospecha que un empleado que ha dejado la empresa ha cometido una falta (por ejemplo, robar datos de la empresa, borrar archivos, compartir información con personas ajenas), lo primero que hay que hacer es apagar el ordenador del sospechoso. Las actividades realizadas en el ordenador pueden rastrearse, pero las posibilidades de encontrar pruebas podrían verse limitadas por el uso continuado del ordenador. Las empresas deben contratar a expertos en informática forense para descubrir pruebas en el ordenador que puedan demostrar que el empleado realizó efectivamente actividades ilegales en el ordenador.
Es esencial contratar a expertos de terceros en lugar de recurrir al personal interno del departamento de informática, ya que así pueden garantizar que las pruebas se manejen de forma adecuada. Los expertos en informática forense pueden mantener una cadena de custodia adecuada, evitar el expolio de datos y autentificar las pruebas. Además, un factor importante a tener en cuenta es que, a diferencia del personal informático interno, los expertos de terceros no suelen conocer personalmente al sospechoso, lo que reduce el riesgo de que saboteen el disco duro para ayudar o incriminar al sospechoso.
Los expertos en informática forense no sólo extraen las pruebas electrónicas, sino que pueden trabajar con el abogado para garantizar que se tomen las medidas adecuadas en cumplimiento de la normativa de descubrimiento electrónico y, en caso de que sea necesario, también pueden ofrecer un testimonio de experto para dilucidar al tribunal los aspectos más técnicos del descubrimiento electrónico. El coste de contratar a un experto en informática forense podría ser un factor de decisión, pero considérelo desde esta perspectiva: ¿qué le costaría a su empresa que la información de su propiedad cayera en manos equivocadas?
