Gestión segura de datos de antiguos empleados: un enfoque práctico

Por: Alfonso López Moreno, CISM, CDPSE, CEH, CIH, CTIA, ITIL V4, ISO27001 Auditor Líder. Tomado de www.isaca.org

Cualquier profesional de ciberseguridad con experiencia en el campo sabe que existen aspectos, brechas críticas y un sinfín de oportunidades de mejora en este ámbito.

Una de estas áreas de mejora se relaciona con las medidas que se toman cuando un empleado deja una organización. El momento en que un empleado deja la organización marca el inicio de una serie de acciones críticas relacionadas con la seguridad de la información y el cumplimiento normativo que con frecuencia se pasan por alto.

A menudo subestimada por la gerencia, recursos humanos (RR. HH.) o TI, la gestión de cuentas, buzones de correo y archivos digitales de exempleados representa un riesgo significativo si no se gestiona con criterios sólidos de legalidad, privacidad y trazabilidad. Sin embargo, las organizaciones pueden implementar un procedimiento práctico desarrollado con base en la experiencia del autor en entornos reales. Este procedimiento, alineado con directrices como el Reglamento General de Protección de Datos (RGPD) de la UE, los estándares de gobernanza de TI y los principios éticos de protección de datos, puede ayudar a las organizaciones a gestionar de forma segura los datos de exempleados.

¿Qué es la seguridad al salir del sistema?

La seguridad en la salida de un empleado abarca todas las medidas que una organización debe tomar para garantizar que la información confidencial no quede expuesta tras su salida. Esto incluye la desactivación de cuentas, la gestión de buzones de correo, el almacenamiento seguro de archivos y los procedimientos de recuperación de información según criterios de necesidad y proporcionalidad. Este proceso es fundamental para evitar fugas de información y malas prácticas, a la vez que garantiza el cumplimiento normativo y el desarrollo de una cultura empresarial orientada a la protección de la información.

Al realizar las acciones descritas, las organizaciones pueden garantizar que el ciclo de vida de los archivos, cuentas y permisos de un ex empleado se gestione adecuadamente, algo que a menudo no se hace correctamente y puede causar problemas legales, de privacidad y de cumplimiento normativo si no se maneja adecuadamente.

Desactivación de cuenta

La desactivación de las cuentas de exempleados es un paso esencial en cualquier procedimiento de salida segura dentro de una organización. Esta medida garantiza que no exista ninguna posibilidad técnica de reutilización o manipulación de la información a través de las cuentas de exempleados. Además, la eliminación de estas cuentas de los sistemas de la organización reduce el riesgo de brechas de seguridad, robo de datos y uso indebido de los recursos empresariales. La desactivación y eliminación de las cuentas de exempleados puede fortalecer la higiene digital de una organización, así como garantizar el cumplimiento de las políticas de retención de datos y las obligaciones legales, como el RGPD, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de EE. UU., el Esquema Nacional de Seguridad (ENS) de España, etc.

Gestión del buzón de correo electrónico

Una gestión adecuada del buzón durante la baja de empleados es esencial para garantizar la continuidad del negocio, proteger la privacidad y cumplir con normativas como el RGPD. Dos medidas clave, como la desactivación oportuna de cuentas, la configuración de respuestas automáticas y la eliminación segura o la creación de copias de seguridad de los datos de correo electrónico, ayudan a evitar importantes riesgos de cumplimiento para la organización. Si se descuida, una gestión inadecuada del buzón puede provocar la exposición de datos personales, la pérdida de comunicaciones, interrupciones operativas, multas regulatorias e incluso la pérdida de pruebas cruciales en procedimientos legales. Un proceso estructurado y bien documentado minimiza el riesgo, a la vez que demuestra la debida diligencia y una gobernanza de datos responsable.

Las organizaciones pueden utilizar cinco pasos para gestionar eficazmente los buzones de correo electrónico de antiguos empleados:

Paso 1: Restricción inmediata de acceso.

Tras la salida del empleado, será necesario cambiar la contraseña del buzón para evitar el acceso no autorizado. Esta acción debe documentarse con la fecha y el responsable, por ejemplo, entre los departamentos de TI y RR. HH., como parte del protocolo de baja segura.

Paso 2: Mensaje de respuesta automática y período de gracia.

Se debe configurar una respuesta automática para informar a quienes envían mensajes a la cuenta que esta se desactivará en 30 días. Este período permite redirigir las comunicaciones relevantes a las partes correspondientes y garantiza la continuidad operativa al evitar la pérdida de información crítica o correos electrónicos relevantes para la empresa durante la transición. El mensaje de desactivación actúa como barrera al notificar a los usuarios de mensajería que el buzón ya no está activo. Esto disuade a compañeros, clientes o terceros de enviar correos electrónicos o intentar acceder al buzón después de que el empleado haya dejado la organización.

Internamente, este proceso también debe estar respaldado por una política (es decir, «definir un plazo máximo de retención de 3 meses, con la aprobación del comité directivo»). Este enfoque se ajusta a los principios de minimización y limitación temporal definidos en el RGPD.

Paso 3: Copia de seguridad segura del buzón.

Tras el periodo de gracia de 30 días, el buzón debe exportarse a un archivo PST o crearse una copia de seguridad en la nube. Si existe un archivo PST, debe cifrarse y almacenarse tanto en un medio físico (USB cifrado) como en la nube (cifrado en reposo), con acceso limitado al personal autorizado por la dirección de la organización. Estas copias solo deben conservarse durante el tiempo que exija la legislación local aplicable (por ejemplo, para acciones legales o defensa empresarial). Esta copia de seguridad funcionará como medida preventiva ante posibles obligaciones legales, auditorías o necesidades operativas, garantizando la recuperación de información específica sin mantener activa la cuenta de correo electrónico.

Paso 4: Acceder a la documentación.

Se deben registrar la contraseña de cifrado, las ubicaciones de almacenamiento y los custodios. Esto garantiza la trazabilidad, la auditoría de procesos y el cumplimiento normativo. No es necesario registrar la contraseña actual para acceder al buzón, ya que esta se cambiará cada vez que se realice una búsqueda de información.

Paso 5: Recuperación de información justificada.

Si existe una necesidad (legítima) de recuperar datos, se aprobará. Algunos ejemplos de términos de búsqueda incluyen:

•             Nombre de un proyecto (“ proyecto XYZ” )

•             direcciones de correo electrónico (“ contact@dominio.com” )

•             palabras o archivos específicos, (“ Presupuesto financiero 2024.xlsx ”)

Al recuperar información, las organizaciones deben garantizar el estricto cumplimiento de los derechos de privacidad de datos. Si bien muchas políticas empresariales pueden prohibir el uso personal del correo electrónico, estas normas suelen pasarse por alto, especialmente las que restringen el uso personal de los dispositivos de la organización. Como resultado, los empleados pueden almacenar información confidencial en los sistemas de la organización. Por esta razón, las organizaciones deben tener mucho cuidado al proteger y gestionar los derechos de privacidad de datos de los exempleados durante el proceso de recuperación.

Se debe prohibir el acceso indiscriminado al buzón o al archivo PST, garantizando así la protección de los datos personales. La extracción debe ser realizada por personal autorizado en entornos controlados (p. ej., navegando en modo privado o utilizando ordenadores sin cuentas asociadas, máquinas virtuales temporales, etc.). Esta extracción debe documentarse: el proceso, las palabras buscadas, el acceso del usuario, la fecha, la hora, etc.

Períodos de retención y eliminación de datos

Una política de retención y eliminación de datos bien definida es clave para la baja segura de exempleados. Garantiza el cumplimiento de los requisitos legales, mitiga la exposición innecesaria de datos y cumple con el Artículo 5 del RGPD y el principio de limitación del almacenamiento, que establece que los datos personales no deben conservarse más tiempo del necesario para los fines para los que fueron recopilados.

Cuando un empleado deja la organización, diversos tipos de información, como sus correos electrónicos restantes, registros de RR. HH., datos de nómina, registros de acceso, documentos de proyectos, etc., pueden permanecer en los sistemas de la organización. Conservar estos datos indefinidamente expone a la organización a riesgos legales, de seguridad y de privacidad. Sin embargo, la eliminación prematura puede obstaculizar la defensa legal, la preparación para auditorías o las necesidades de continuidad.

La retención y la eliminación no son meras formalidades, especialmente para ex empleados que también podrían demandar a la organización por malas prácticas en el manejo de su información y datos personales.

Es responsabilidad de la organización salvaguardar la posición legal de la organización, así como los datos de los ex empleados, reduciendo así las superficies de ataque y respetando los derechos de privacidad de los ex empleados.

TOMADO DE https://www.isaca.org/resources/news-and-trends/industry-news/2025/secure-management-of-former-employee-data-a-practical-approach