Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma.
Una de las principales actividades de la criminología corporativa es el apoyo a los departamentos de Recursos Humanos en la vinculación y desvinculación del personal debido a que las organizaciones están confiando la integridad y la viabilidad de la empresa a personas que se ocuparan de los procesos, que tendrán acceso a información y disponibilidad de recursos y en realidad, se sabe muy poco sobre ellos sobre todo en empresas con frecuente rotación de personal.
Un punto de riesgo radica en el hecho de que los empleadores confían a sus empleados el acceso a una gran cantidad de información sin contar con controles de acceso suficientemente detallados, dando como resultado que se tiene acceso a mayor información de la que realmente necesitan, por ejemplo los trabajadores de compañías telefónicas o bancarias. Esto aumenta el riesgo de daño a la empresa si un empleado comete un error en la fuga de información o o es descuidado.
La salida de un empleado es un punto crítico de riesgo para la Organización. En casos de problemas laborales y despidos, un empleado modelo hasta la fecha, puede convertirse en una seria amenaza.
Para evitar todo esto, Daniel Barriuso (2003) recomienda un procedimiento de bajas que tenga en cuenta los siguientes aspectos de seguridad:
Clasificación de las bajas
El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería:
Baja normal, si se produce en circunstancias normales y sin conflictos.
Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc.
Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc.
Comunicación de las bajas
Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar.
Gestión de las bajas
Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de:
- accesos físicos (llaves, cajas fuertes, llaves electrónicas)
- accesos lógicos (email, acceso a la red y servidores, etc.)
- material de la empresa (portátil, móvil, etc.)
La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma realización de copias de seguridad de la información sensible supervisión de los accesos hasta el día de la baja cancelación preventiva de los accesos más críticos.
Consejos prácticos:
1. Mantenga comunicación con sus pares de seguridad en empresas locales y de la región, esto le permitirá solicitar de primera mano referencias sobre aspirantes a ocupar un puesto en su organización.
2. Durante los primeros días de trabajo, es recomendable que el empleado:
Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc.
Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente.
3. Realice auditorias a personas que presentan renuncia o causan baja por otros motivos. Revise listado de clientes, estado físico de las herramientas o vehículos a cargo, todo esto antes de que se entregue y firme finiquito.