La incorporación y desvinculación de empleados se refieren a los procesos que comienzan y terminan el tiempo de un empleado con una empresa.

Probablemente hayas oído estos términos antes y puede que hayas ayudado a ejecutar estos procesos, pero asegurar la seguridad durante estos pasos esenciales del ciclo de vida del empleado es un desafío incluso para los empleados más experimentados. Esto es especialmente cierto ya que el trabajo remoto introduce nuevos riesgos de seguridad informática.

En una encuesta de Gartner Peer Insights, el 58% de los ejecutivos dijo que los procesos de desvinculación han cambiado como resultado de la necesidad de apoyar una fuerza laboral remota y el 55% de los profesionales de TI y seguridad describieron la desvinculación remota como más desafiante.

Ya sea que seas líder de un departamento de TI establecido o estés a cargo de RRHH solo, exploraremos cómo puedes crear un proceso de incorporación y desvinculación fluido y seguro.

¿Qué es la incorporación?

La incorporación se refiere al proceso continuo de transformar a un nuevo contratado en un empleado integrado. Esto implica introducir a los nuevos contratados en el aspecto de desempeño de sus nuevos trabajos, socializarlos en la cultura organizacional y familiarizarlos con los objetivos, valores, reglas y procedimientos de la organización.

El proceso comienza una vez que un nuevo contratado acepta una oferta de trabajo y continúa hasta que esa persona está completamente inmersa en su rol.

Los beneficios de la incorporación efectiva incluyen:

• Minimización de riesgos: Ponemon Institute descubrió que el costo y la frecuencia de los incidentes liderados por insiders están en aumento. El costo de abordar un problema de seguridad interna ha aumentado de $11.45 millones en 2020 a $15.38 millones en 2022. La frecuencia también ha aumentado en un 44% en 2022. La incorporación puede ayudar a reducir los incidentes internos causados por errores, uso indebido de privilegios, negligencia y otros factores.
• Retención de empleados: Paychex encontró que mientras que un sorprendente 50% de los empleados recién contratados planean renunciar pronto, ese número se dispara al 80% para aquellos que se sienten mal entrenados debido a una mala incorporación.
• Mejora de la productividad y el compromiso:SHRM encontró que el 62% de las empresas con programas de incorporación tienen relaciones tiempo-productividad más altas y el 54% informa un mayor compromiso de los empleados.
• Mayor retorno de la inversión (ROI):eLearning Industry descubrió que el 77% de los empleados que tuvieron un proceso de incorporación formal lograron sus objetivos de desempeño iniciales.

A pesar de los beneficios obvios, muchas organizaciones fracasan en sus procesos de incorporación, lo que resulta en desastres de seguridad. Crear una incorporación efectiva puede ser aún más difícil con empleados remotos. A continuación, repasemos el concepto de incorporación remota.

¿Qué es la incorporación remota?

La incorporación remota es el proceso de integrar a nuevos empleados en la cultura, flujos de trabajo y procesos de una empresa enteramente o principalmente a través de medios virtuales como resultado de circunstancias tales como políticas de trabajo remoto, equipos distribuidos u operaciones globales.

El proceso de incorporación remota puede involucrar actividades tales como:

• sesiones de orientación virtuales
• módulos de formación en línea
• videoconferencias con compañeros de equipo y gerentes
• firma de documentos electrónicos
• el uso de herramientas digitales para la comunicación y la colaboración.

El proceso de incorporación remota tiene como objetivo garantizar que los nuevos empleados se sientan bienvenidos, informados y preparados para tener éxito en sus roles, a pesar de no estar físicamente presentes en la ubicación de la oficina de la compañía o con su gerente u otros interesados.

La incorporación remota tiene consideraciones de seguridad únicas. Y dado que la transición hacia el trabajo remoto se ha acelerado en los últimos años, es más importante que nunca entender cómo incorporar empleados de manera segura.

En la siguiente sección, explicaremos exactamente cómo puedes mejorar el proceso de incorporación, ya sea presencial o remoto, para proteger los activos de tu organización.

Cómo IT puede ayudar a diseñar un programa seguro de incorporación

El proceso de incorporación se trata de darle al nuevo empleado una experiencia positiva y ponerlo al tanto.

Sin embargo, es igualmente importante frenar y asegurarse de que lo estás haciendo de manera segura. Sigue estos pasos importantes para que tu nuevo empleado esté listo mientras también cubres tus bases para el cumplimiento de la seguridad.

1. Recopilar información de manera segura

Antes de que tu nuevo empleado haya comenzado su nuevo rol, el proceso de incorporación ya ha comenzado. Al menos una semana antes de su fecha de inicio, recopila su información personal y comienza a preparar todo lo que necesitará para su trabajo.

Este proceso requiere una cuidadosa coordinación y comunicación entre HR e IT. Asegúrate de:

• Confirmar la información del empleado, incluyendo su nombre y departamento
• Determinar qué herramientas necesitarán acceso
• Tener una sólida comprensión de las aprobaciones que necesitarán para ciertas licencias

Asegurarse de que cualquier información personal y sensible de los nuevos empleados, como documentos de identificación, se recopile, transmita y almacene de manera segura en cumplimiento con las regulaciones de protección de datos.

2. Preparar y enviar hardware

Luego, prepárate para enviarles el hardware que usarán a diario. Es una buena idea mantener una lista de materiales que cada rol necesita en tu procedimiento operativo estándar (SOP) de incorporación.

Un par de semanas antes de que el empleado comience su nuevo rol, asegúrate de que las computadoras y otros artículos que necesitarán estén en stock. Si van a trabajar de forma remota, prepárate para enviar esos materiales con anticipación.

El primer día del empleado, verifica y evalúa su comodidad con el montaje de una estación de trabajo. Confirma que estén equipados con la red privada virtual (VPN) o puerta de enlace de teletrabajo que usa tu organización y bríndales soporte técnico según sea necesario.

El soporte de IT minimizará tanto el margen de error técnico (mejorando la seguridad) como también brindará al empleado una experiencia positiva.

3. Instalar el software necesario y configurar cuentas

Una vez que tu nuevo empleado tenga su hardware operativo, es hora de instalar el software necesario y ayudarlos a activar sus cuentas.

Ya sea que estés incorporando a un nuevo empleado a tu organización o preparando a un empleado existente para un cambio de rol, crea una lista de sistemas y permisos a los que ganarán o perderán acceso.

Según datos de encuestas de Ivanti, en el 27% de las empresas, los empleados están sin credenciales esenciales durante más de una semana. No solo es una experiencia estresante para el empleado, sino que también le cuesta a la compañía.

4. Implementar controles de acceso

Una vez que haya enumerado los sistemas y permisos a los que necesitarán acceder, puede implementar controles de acceso sólidos y mecanismos de autenticación. Esto garantiza que solo las personas autorizadas tengan acceso a los sistemas, aplicaciones y datos de la empresa. Esto implica configurar la autenticación multifactor (MFA) y controles de acceso basados en roles (RBAC).

Al implementar controles de acceso, considere el Principio del Menor Privilegio. Esto es particularmente importante durante la incorporación. Los nuevos empleados solo deben tener acceso a los recursos que necesitan para desempeñar su trabajo. Si el empleado necesita más privilegios más adelante, puede presentar un caso justificando la necesidad.

5. Gestione sus dispositivos

Es esencial que los nuevos empleados usen dispositivos seguros con software antivirus actualizado y protocolos de cifrado. En particular, los dispositivos remotos deben estar protegidos contra malware, ransomware y otras amenazas.

Una solución de gestión de dispositivos móviles (MDM) puede ayudar a gestionar los dispositivos de manera segura y asegurarse de que se actualicen regularmente con parches de seguridad y actualizaciones de software.

Como parte de su estrategia general de MDM, también debería proporcionar directrices para asegurar los dispositivos personales utilizados con fines laborales, como habilitar el cifrado del dispositivo y usar redes Wi-Fi seguras.

6. Realice la capacitación de TI el primer día

El primer día de cualquier nuevo empleado está lleno de nueva información. Priorice la capacitación en TI para asegurarse de que sepan cómo comportarse de manera segura y responsable desde el primer día.

Una sesión de capacitación integral en TI debería cubrir temas como:

• Cómo contactar con TI
• Los problemas que maneja cada departamento
• Cómo es una buena higiene de contraseñas (por ejemplo, no guardar contraseñas en una hoja de cálculo en el escritorio)
• Las reglas para ciertas aplicaciones (por ejemplo, tal vez un software requiera autenticación multifactor cada vez que se usa, mientras que otros solo lo requieren una vez al día)
• Una visión general de los protocolos de seguridad de su organización

7. Hacer cumplir las políticas

Para garantizar que los nuevos empleados sigan las mejores prácticas de seguridad, debe hacer cumplir las políticas y procedimientos de seguridad para el trabajo remoto, incluidas las directrices para el uso aceptable de dispositivos, los requisitos de conectividad a Internet y las prácticas de manejo de datos.

Una plataforma de automatización puede garantizar que todos los nuevos empleados hayan aceptado las políticas de la organización y que continúen haciéndolo de manera recurrente.

8. Realizar capacitaciones regulares en seguridad

Recuerde, la incorporación es un proceso continuo.

Una sesión de capacitación no es suficiente para comunicar todo lo que un empleado debe saber para mantenerse a sí mismo y a la empresa seguros. Surgen nuevas amenazas, los protocolos de la empresa evolucionan y los humanos son imperfectos.

Por esta razón, es una buena idea realizar capacitaciones regulares en seguridad para todos los empleados recientes e incluso para los empleados con experiencia.

A medida que comienza a mejorar su propio proceso de incorporación, descargue nuestra lista de verificación de incorporación imprimible a continuación para mantenerse en el buen camino.

Obtenga la Lista de Verificación de Incorporación de TI

Mejore su proceso de incorporación de empleados con esta lista de verificación imprimible.

¿Qué es la desincorporación y cómo debe realizarse?

La desincorporación es lo opuesto a la incorporación: es el proceso formal de desvincular a un empleado de la organización.

El offboarding es un proceso retroactivo. Se trata de eliminar el acceso a sistemas y herramientas en lugar de dar acceso. Aunque este proceso tiende a recibir menos atención que la incorporación, ejecutarlo bien es imprescindible para cualquier programa de seguridad.

Según Ivanti, casi la mitad de los profesionales de TI solo están algo seguros de que sus empleados más recientemente desvinculados ya no pueden acceder a sistemas y datos. Más recientemente, DTEX encontró que hubo un aumento del 35% en los incidentes de robo de datos causados por empleados que dejaban las empresas en 2022.

Estas estadísticas indican que muchas organizaciones carecen de procedimientos de offboarding efectivos cuando un empleado se va.

Si ese es el caso en su organización, siga los pasos a continuación para entender cómo TI puede desempeñar un papel integral en la protección de datos durante la salida de un empleado.

1. Determinar el nivel de riesgo.

Evaluar el nivel de riesgo de un empleado es un primer paso esencial en el proceso de offboarding. Si tiene razones para creer que el empleado puede tomar represalias o manipular la información de la empresa, debe proceder con precaución.

Para evaluar la volatilidad de un empleado, debe hacerse algunas preguntas:

• ¿Se le pidió al empleado que se fuera o se va voluntariamente? Es una buena idea tener dos procesos de offboarding en marcha: uno para terminaciones voluntarias y otro para terminaciones involuntarias.
• ¿El empleado se quejó activamente de la alta dirección durante su tiempo en la empresa? Si es así, su volatilidad debe clasificarse más alto ya que hay una mayor probabilidad de insatisfacción y represalias.

Una forma efectiva de evaluar la volatilidad de un empleado es realizar una entrevista de salida y hacer preguntas cuidadosamente formuladas para conocer sus quejas. Este también es un buen momento para intentar calmar a un empleado volátil empatizando y ofreciendo apoyo.

A continuación, evalúe cuán privilegiado es este empleado en sus sistemas de TI en función de su rol y función laboral. ¿Tiene acceso a hardware avanzado y cuenta con permisos especiales? Si es así, podrían causar un daño significativo a la organización.

Clasifique la volatilidad y el nivel de privilegio del empleado en una escala del 1 al 10, del menor al mayor, y sume los resultados para obtener su puntaje de riesgo. El nivel de riesgo es subjetivo, pero en términos generales...

• Si obtienen entre 8 y 20, debe proceder con precaución.
• Si obtienen menos de 8, probablemente no representen un riesgo significativo.

Supongamos que el empleado solo obtuvo 2 por nivel de privilegio pero 8 por volatilidad. Con un nivel de riesgo total de 10, es importante hacer su debida diligencia durante su offboarding para asegurar que su organización permanezca segura.

2. Recuperar activos de la organización.

Una vez que el empleado haya terminado su último día con la empresa, es hora de recuperar los activos de la organización.

Los activos físicos a recuperar incluyen:

• Computadoras
• Monitores
• Unidades externas
• Llaves y tarjetas de acceso

Los activos digitales a recuperar incluyen:

• Credenciales de software
• VPNs
• Correos electrónicos
• Cuentas en la nube
• Licencias de cualquier software

Siempre y cuando el empleado no sea de alto riesgo, es importante notificarle la fecha en la que sus cuentas ya no estarán disponibles. Hágalo al menos unos días antes de desactivarlas y borrar los datos sensibles de sus dispositivos. Esto le da al empleado que se va algo de tiempo para transferir cualquier activo personal que pueda estar almacenando en su cuenta de trabajo.

3. Identificar ubicaciones de almacenamiento de datos y hacer copias de seguridad.

Si opera principalmente en un sistema basado en la nube, el empleado puede haber descargado activos valiosos de la empresa en sus dispositivos personales. Es importante revisar los registros en el backend en busca de evidencia de cualquier transferencia de datos e investigar actividades sospechosas.

Si está desvinculando a un empleado de alto riesgo, también debe considerar cambiar las contraseñas de los inicios de sesión compartidos de la empresa. Si el empleado anotó esta información, podría robar o dañar datos críticos del negocio después de la desvinculación.

Por supuesto, también debe hacer una copia de seguridad de toda la información que tiene sobre el empleado que se va. Estos datos serán útiles durante la siguiente etapa del proceso de offboarding: la transferencia de conocimiento.

Finalmente, recuerde que el empleado tiene datos importantes en su cabeza. Recuérdele sobre el acuerdo de confidencialidad (NDA, por sus siglas en inglés) así como cualquier otro acuerdo de confidencialidad que haya firmado al incorporarse. Aunque pueden meterse en problemas legales por violarlos accidentalmente, es mejor evitar estos problemas por completo.

4. Transferir conocimiento

Durante esta etapa, es importante considerar a todos los que puedan verse afectados por la partida del empleado.

Por ejemplo, debe notificar a los proveedores y clientes relevantes sobre la partida del empleado. Proporcione un nuevo punto de contacto, así como cualquier información que pueda ser útil durante la transición.

Finalmente, después de documentar las responsabilidades y actividades del empleado, es hora de transferir ese conocimiento a su reemplazo. Esto debería hacer la transición entre la partida de un empleado y la llegada de otro sin problemas.

La próxima vez que desvincule a un empleado, use la lista de verificación de desvinculación a continuación para ejecutar este proceso de manera segura.

Obtenga la lista de verificación de desvinculación de TI

Complete el proceso de desvinculación de empleados de manera segura con esta lista de verificación imprimible.

Consejos de cumplimiento al incorporar y desvincular empleados

Según Navex Global, el 37% de las organizaciones carecen de un plan formal de educación en cumplimiento. Estas organizaciones corren el riesgo de ser penalizadas por no seguir las regulaciones de la industria. Y son vulnerables a ataques cibernéticos de partes externas e internas.

Para permanecer en cumplimiento durante todo el proceso de incorporación y desvinculación, considere los siguientes consejos:

1. Documente todo

Cree SOP (procedimientos operativos estándar), listas de verificación y otros recursos que detallen sus procesos de incorporación y desvinculación. Esto mantendrá a los departamentos en la misma página y lo ayudará a demostrar que sus procesos cumplen con los estándares de la industria.

La documentación también se aplica a los empleados individuales: cada vez que cambien los controles de acceso de un usuario, este cambio debe documentarse. Además de ser un hábito responsable de seguridad, puede que se le requiera proporcionar estos registros como evidencia durante una auditoría como SOC 2.

2. Automatice siempre que sea posible

El error humano es inevitable, y hay lugares donde las máquinas deben trabajar. La automatización puede hacer que los procesos sean más infalibles, además de ahorrar recursos de la empresa.

Por ejemplo, configurar copias de seguridad automáticas de los datos de los empleados le ahorrará tiempo y estrés antes de que comience el proceso de desvinculación.

3. Reevalúe continuamente los protocolos de formación

Es importante volver a sus recursos de formación y a los SOP para una reevaluación regular. Nuevos riesgos y fallos organizacionales revelan áreas que necesitan ser mejoradas, pero la organización debe tomar la iniciativa para solucionar lo que está roto.

Por ejemplo, si encuentra que un ex empleado tiene acceso a los datos de la empresa, no solo diga "qué mal" y siga adelante. Introduzca procesos de seguridad más sólidos en su SOP de desvinculación para asegurarse de que no vuelva a suceder.

Aprenda de sus fallos hasta que tenga los procesos de incorporación y desvinculación más seguros posibles.

4. Sincronice las herramientas

Si bien no existe un software todo en uno para todos los procesos de su organización, muchas herramientas digitales pueden sincronizarse e integrarse. Hacerlo agiliza los procesos y permite una comunicación clara entre departamentos al incorporar y desvincular.

Para obtener más consejos sobre cómo integrar y desvincular empleados de manera segura, explore nuestra guía visual a continuación.

Cómo Secureframe puede ayudar

Secureframe simplifica el proceso de incorporación y desvinculación de empleados mientras mantiene la seguridad de su empresa en cada paso.

• Importar personal automáticamente: Secureframe importa automáticamente el personal a la plataforma a través de sus integraciones de Recursos Humanos, SSO, MDM y otras.
• Automatizar la incorporación: Los nuevos empleados pueden seguir un flujo de trabajo automatizado de incorporación para completar la capacitación en concienciación sobre seguridad y revisar políticas.
• Monitorear el acceso de proveedores: Rastree el nivel de acceso que cada personal tiene a sus integraciones para asegurarse de que tienen el acceso necesario para hacer su trabajo y asegurarse de que solo un número limitado de empleados tenga acceso completo a sus datos sensibles.
• Simplificar la desvinculación: Nuestra plataforma destaca qué empleados pueden acceder a qué proveedores, incluidos ex empleados, simplificando el proceso de desvinculación.
• Rastrear tareas del personal y enviar recordatorios: Obtenga tranquilidad de que cada personal completa las tareas que necesita, como aceptar políticas, completar la capacitación en seguridad y pasar una verificación de antecedentes. Con Secureframe, los administradores pueden rastrear fácilmente qué personal tiene tareas incompletas y enviar recordatorios, todo desde una sola vista.

Para recibir ayuda experta en hacer que sus procesos de incorporación y desvinculación sean seguros,solicite una demostración de Secureframe hoy.

Para obtener más consejos sobre cómo integrar y desvincular empleados de manera segura, explore nuestra guía visual a continuación.