A estudio reciente de Wing Security descubrió que el 63 % de las empresas pueden tener ex empleados con acceso a los datos de la organización y que la automatización de SaaS Security puede ayudar a mitigar los riesgos de baja.
La baja de empleados suele verse como una tarea administrativa de rutina, pero puede plantear riesgos de seguridad sustanciales si no se maneja correctamente. No eliminar rápida y completamente el acceso de los empleados salientes introduce graves amenazas internas, lo que deja a una empresa vulnerable a múltiples tipos de riesgos, como filtraciones de datos, robo de propiedad intelectual e incumplimiento normativo.
Hoy en día, donde las aplicaciones SaaS se incorporan fácilmente y son utilizadas comúnmente por usuarios dentro y fuera de la organización, los procedimientos de baja efectivos no son negociables para evitar casos de fugas de datos y otros problemas de ciberseguridad. Vamos a explorar gestión de riesgos internos y la salida de usuarios con más detalle, analizando sus riesgos de seguridad y discutiendo las mejores prácticas para garantizar una organización segura.
En primer lugar, los riesgos de seguridad de los despidos masivos
En la primera mitad de 2024, continuó una ola de despidos masivos que afectó a más de 80.000 empleados del sector tecnológico. Cuando los despidos ocurren tan rápido y a gran escala, puede ser aún más difícil desvincular y eliminar el acceso de manera efectiva, especialmente considerando que el empleado promedio usa 29 aplicaciones SaaS diferentes.
La baja suele ser un esfuerzo de equipo que involucra a TI, RR.HH. y otros gerentes departamentales. Sin roles claros y procesos consistentes, los errores pueden pasar desapercibidos, dejando a las organizaciones expuestas a que su información confidencial se filtre o se vea comprometida. Teniendo en cuenta el ritmo y la frecuencia de la rotación de personal, la baja seguirá siendo una prioridad para los equipos de seguridad a medida que gestionan el riesgo y el cumplimiento.
Tiempo perdido en la baja manual
Revocar el acceso manualmente en múltiples plataformas y aplicaciones puede ser una molestia que requiere mucho tiempo. Por eso la automatización de la seguridad de SaaS se ha vuelto crucial. Cuando se trata de revisiones de acceso para garantizar y demostrar que solo los usuarios relevantes tienen acceso adecuado a archivos y datos, la complejidad y el tiempo que implica realizar este proceso manualmente pueden ser una carga para las organizaciones. Sin sistemas optimizados o software de seguridad SaaS automatizado, las organizaciones siguen expuestas a cierto grado de riesgos internos y al mismo tiempo luchan por demostrar sus esfuerzos de cumplimiento.
cuatro Riesgos de malas prácticas de baja
La baja adecuada es esencial para gestionar el ciclo de vida de los empleados y mitigar el riesgo interno, ya sea por descuido o malas intenciones. Garantiza que cuando los empleados dejen la empresa, ya no tengan acceso a los activos de la empresa. No despedir adecuadamente a los empleados que abandonan la organización puede generar enormes riesgos.
1 – Violaciones de datos
Si los ex empleados o contratistas no son eliminados rápidamente de los sistemas, aplicaciones y redes de la empresa, es posible que conserven el acceso a datos confidenciales. Esto plantea graves riesgos para la confidencialidad, integridad y disponibilidad de esos datos. Los ex empleados descontentos o aquellos que sin darse cuenta conservan el acceso podrían exponer, alterar o eliminar datos comerciales críticos, información de clientes, registros financieros o secretos comerciales. Por ejemplo, un ex empleado de una empresa de pagos móviles descargó informes que contenían información personal de usuarios estadounidenses, lo que podría afectar a 8 millones de personas. tales incidentes puede provocar importantes pérdidas financieras, daños a la reputación y problemas legales para la empresa.
2 – Infracciones de cumplimiento
Los procesos de baja deficientes o manuales también pueden dar lugar a infracciones de cumplimiento, especialmente en industrias reguladas como la atención médica, las finanzas y el gobierno. Estas industrias tienen reglas estrictas sobre privacidad de datos, seguridad de la información y control de acceso. No eliminar los privilegios de acceso y a los ex empleados de las listas de usuarios autorizados puede resultar en el incumplimiento de estas regulaciones, lo que resulta en grandes multas, sanciones, problemas legales y daños a la reputación y la credibilidad.
Las empresas de la industria financiera que hacen negocios con consumidores de Nueva York están sujetas a regulaciones estrictas en materia de seguridad de datos. En caso de una violación de datos que exponga información no pública (NPI), estas empresas no solo deben identificar el problema, sino también notificar al Departamento de Servicios Financieros de Nueva York (NY-DFS) dentro de las 72 horas posteriores al descubrimiento, según lo dispuesto por Requisitos de ciberseguridad del NY-DFS. Se descubrió que una importante compañía de seguros de títulos de EE. UU. había violado las regulaciones NY-DFS al no implementar controles de acceso y medidas de seguridad adecuados, lo que resultó en una multa de $1 millón y un acuerdo para implementar medidas correctivas para proteger los datos de los consumidores.
3 – Amenazas internas
Cuando los empleados no son despedidos adecuadamente, plantean posibles amenazas internas, ya sean deliberadas o accidentales. Los ex empleados que conservan el acceso a sistemas y datos confidenciales podrían intentar interrumpir las operaciones, robar información o comprometer los procesos comerciales, como lo ejemplifica el caso de dos ex empleados de Tesla que filtraron datos de 75.000 usuarios a un medio de comunicación alemán. Incluso cuando no sea intencionado, retener el acceso después de la salida puede exponer inadvertidamente información confidencial o crear vulnerabilidades. Detectar y abordar las amenazas internas es un desafío, lo que subraya la importancia de procedimientos exhaustivos de baja y un seguimiento atento de los comportamientos sospechosos que rodean la salida de un empleado.
4 – Robo de propiedad intelectual
La investigación de Wing Security revela de manera alarmante que el 43% de las empresas pueden tener ex empleados que aún pueden acceder a los repositorios de códigos organizacionales en GitHub o GitLab. Una mala salida de servicios también puede provocar la exposición del código y el robo de propiedad intelectual. Si los ex empleados no son eliminados rápidamente de los sistemas y repositorios mientras poseen acceso a información patentada, secretos comerciales, código fuente o investigaciones confidenciales y otros datos de la empresa, aún podrían acceder y hacer un uso indebido de esta valiosa propiedad intelectual. Esto podría provocar grandes pérdidas financieras, desventajas competitivas y problemas legales para la empresa.
Mejores prácticas de automatización
El uso de la automatización en SaaS Security Posture Management (SSPM) es un método simple y efectivo para una salida consistente y completa. La automatización no solo facilita la revocación del acceso a múltiples aplicaciones SaaS, sino que también ahorra mucho tiempo, libera recursos y reduce los riesgos de errores y descuidos manuales.
La automatización también ayuda a agilizar el seguimiento de los permisos y el intercambio de datos, lo que puede ser especialmente complicado, especialmente cuando se determina rápidamente todo el acceso otorgado antes de que un empleado se vaya. Saber qué datos han sido compartidos por quién y con qué permisos es crucial para mantener los datos seguros.
Un hospital de acceso crítico en Colorado pagó $111,400 por una violación de HIPAA después de que un ex empleado retuviera el acceso a un calendario de programación con información de salud protegida de 557 pacientes incluso después del despido. Si se hubieran implementado procesos automatizados para detectar y revocar el acceso del ex empleado inmediatamente después de la separación, este acceso inadecuado y esta penalización por cumplimiento podrían haberse evitado.
La automatización también alivia la pesada administración que a menudo se requiere para las auditorías periódicas y los informes de cumplimiento. El riesgo de un acceso desconocido y persistente, después de que alguien se marcha, es una amenaza tan preocupante que las políticas requieren sistemas para detectarlo. El monitoreo continuo y algunas automatizaciones simples pueden identificar y eliminar rápidamente el acceso después de la baja, para implementar las mejores prácticas.
Al no contar con procesos de salida sólidos, las empresas quedan expuestas a una variedad de riesgos que pueden tener graves consecuencias para sus operaciones, reputación y finanzas. Los protocolos de baja adecuados son esenciales para mitigar estos riesgos y proteger la información y los activos críticos de la empresa.
Para obtener más información sobre cómo Wing utiliza la automatización para acelerar y facilitar la gestión de riesgos internos, lea más aquí.