Jorge Asdrubal
El proceso de incorporación de nuevos empleados (onboarding) es mucho más que hacer que firmen contratos y darles acceso a herramientas de trabajo. Es un paso crítico para integrar a los empleados en el equipo, proporcionarles las herramientas e información necesarias, y asegurar que solo tengan acceso a los datos que necesitan. Sin embargo, a menudo se pasa por alto la importancia de controlar quién puede acceder a los datos sensibles durante este proceso.
Si no se establece una adecuada gobernanza de acceso a datos y gobernanza de acceso a archivos, las organizaciones pueden exponerse a riesgos de seguridad, lo que pone en peligro la información crítica en manos de personas no autorizadas. Para proteger a tu empresa desde el primer día, es esencial contar con los documentos de onboarding adecuados que no solo ayuden a los empleados a adaptarse, sino que también aseguren el cumplimiento de las políticas de seguridad y acceso a datos.
En este artículo, repasaremos los documentos clave que deben formar parte del proceso de onboarding de nuevos empleados y cómo contribuyen a la protección de la información de tu organización.
El onboarding no solo es una oportunidad para dar la bienvenida a los nuevos empleados, sino también para implementar las prácticas de gobernanza de acceso a datos que previenen el acceso no autorizado a información sensible. Si a los nuevos empleados se les otorgan permisos de acceso generales o no se monitorea adecuadamente su acceso desde el principio, las posibilidades de una violación de seguridad aumentan considerablemente.
Razones clave por las que el onboarding impacta en la gobernanza de acceso a datos y archivos:
Prevención del acceso no autorizado: Asegura que los nuevos empleados solo tengan acceso a los datos y sistemas necesarios para desempeñar sus funciones.
Fomenta la responsabilidad: Establece una documentación clara sobre qué información pueden manejar los empleados y cómo deben gestionarla.
Reduce las amenazas internas: Evita el uso indebido, tanto intencional como accidental, de la información sensible mediante controles adecuados desde el inicio.
Al centrarse en la gobernanza del acceso desde el primer día, las empresas pueden crear una base sólida para proteger sus activos digitales, propiedad intelectual y datos de clientes.
Uno de los documentos más básicos pero fundamentales para cualquier nuevo empleado es el acuerdo de empleo, que describe los términos de su puesto, responsabilidades y políticas generales. Sin embargo, es esencial que este documento también incluya cláusulas sobre acceso a datos y expectativas de seguridad.
El acuerdo de empleo debe:
Especificar claramente las responsabilidades relacionadas con el acceso a los archivos y datos de la empresa.
Indicar que el empleado se compromete a cumplir con las políticas de gobernanza de acceso a datos.
Incluir acuerdos de confidencialidad o acuerdos de no divulgación (NDA) para proteger la propiedad intelectual y la información sensible.
Detallar el uso obligatorio de dispositivos aprobados por la empresa para acceder a la información, y prohibir el uso de dispositivos personales para trabajo empresarial.
Al incluir estas cláusulas, las empresas establecen una base legal que protege de manera efectiva la información de posibles mal usos por parte de los empleados.
Un manual de políticas de TI y seguridad es esencial para cualquier proceso de onboarding. Este documento debe cubrir los protocolos y procedimientos específicos para acceder a los sistemas, archivos y datos sensibles de la empresa. Entre los temas que debe abordar están:
Gestión de contraseñas y autenticación multifactor (MFA): Asegurar que los nuevos empleados utilicen contraseñas fuertes y únicas, y habiliten la MFA para proteger sus cuentas.
Clasificación y manejo de datos: Cómo identificar diferentes tipos de datos (públicos, confidenciales, restringidos) y las prácticas adecuadas para manejar cada tipo de información.
Protocolos de acceso a archivos: Instrucciones sobre cómo solicitar acceso a ciertos archivos o sistemas, así como la manera correcta de almacenar, compartir y eliminar datos sensibles.
Uso de servicios en la nube: Indicar qué plataformas en la nube (como Google Workspace, OneDrive, etc.) están autorizadas para almacenar archivos de la empresa, y cómo prevenir fugas de datos.
Reportes de incidentes: Procedimientos para informar sobre violaciones de seguridad, accesos no autorizados u otros incidentes relacionados.
Este documento garantiza que los nuevos empleados comprendan completamente los protocolos de seguridad que deben seguir, ayudando a reforzar la gobernanza de acceso a archivos y las mejores prácticas de manejo de datos.
Para garantizar un onboarding seguro, los nuevos empleados deben tener acceso únicamente a los datos y sistemas necesarios para sus funciones específicas. Para lograr esto, las empresas deben implementar un Control de Acceso Basado en Roles (RBAC) y documentar claramente qué archivos y sistemas están disponibles según el puesto del empleado.
La documentación de RBAC debe:
Definir los niveles de acceso para cada rol (por ejemplo, administrador, editor, visualizador).
Enumerar los sistemas, herramientas y datos a los que los empleados en diferentes roles pueden acceder.
Detallar el proceso para solicitar acceso adicional si fuera necesario, y quién tiene la autoridad para aprobar dichas solicitudes.
Al incluir la documentación de RBAC en el proceso de onboarding, las empresas evitan la sobrepermisión, es decir, otorgar más acceso del necesario a los empleados. Esto reduce los riesgos de fugas de datos accidentales o amenazas internas.
Cuando los nuevos empleados necesitan acceso a herramientas o sistemas específicos, es fundamental tener un proceso formal para solicitar y aprobar dicho acceso. El Formulario de Autorización de Acceso a Datos es un documento que rastrea estas solicitudes y garantiza que cada una sea revisada por las partes correspondientes.
Este formulario debe incluir:
Información del empleado (nombre, departamento, rol).
Una lista de los sistemas o archivos a los que el empleado solicita acceso.
Una justificación del acceso, explicando por qué es necesario para su función.
Firmas de aprobación o denegación por parte del equipo de TI, seguridad o supervisores.
Registrar cada solicitud de acceso no solo garantiza el cumplimiento de las políticas de gobernanza de acceso a datos, sino que también crea una pista de auditoría clara en caso de futuras revisiones de seguridad o investigaciones.
Una lista de verificación de onboarding para TI y seguridad es un documento interno para los equipos de TI y seguridad, que garantiza que todos los sistemas, permisos y herramientas de seguridad estén configurados correctamente para los nuevos empleados. Este documento asegura que todos los aspectos técnicos del onboarding se completen de manera ordenada y segura.
La lista de verificación debe incluir:
Creación de cuentas de usuario en los sistemas necesarios (correo electrónico, CRM, herramientas de gestión de proyectos, etc.).
Configuración de herramientas de gestión de contraseñas y activación de autenticación multifactor (MFA).
Asignación de permisos de acceso basados en roles para archivos y aplicaciones.
Configuración de dispositivos de trabajo con el software de seguridad necesario (antivirus, firewalls, VPN).
Realización de una capacitación inicial de seguridad sobre el uso seguro de las herramientas de la empresa.
Tener esta lista de verificación ayuda a los equipos de TI y seguridad a mantenerse organizados y asegura que los nuevos empleados se integren de manera segura, en cumplimiento con la gobernanza de acceso a archivos y las políticas generales de seguridad.
Un Acuerdo de No Divulgación (NDA) es un documento legal clave que obliga al empleado a mantener la confidencialidad de la información de la empresa. Aunque este acuerdo puede estar incluido como parte del contrato de trabajo, contar con un NDA separado refuerza su importancia y destaca la seriedad de proteger la información confidencial de la compañía.
El NDA debe:
Cubrir lo que se considera información confidencial (por ejemplo, secretos comerciales, datos de clientes, informes financieros).
Explicar las obligaciones del empleado para proteger esta información durante y después de su empleo.
Especificar las consecuencias por el incumplimiento del acuerdo de confidencialidad, incluyendo repercusiones legales.
Al asegurarse de que los nuevos empleados firmen un NDA como parte del onboarding, las empresas refuerzan su protección legal contra el mal uso o divulgación de información sensible.
Cada documento de onboarding juega un papel importante en la creación de una cultura de seguridad y responsabilidad. Al proporcionar a los empleados lineamientos claros y protocolos de acceso estructurados desde el primer día, las empresas pueden reducir significativamente el riesgo de accesos no autorizados, amenazas internas o filtraciones accidentales de datos.
Sin una adecuada gobernanza de acceso a archivos y gobernanza de acceso a datos, los empleados pueden obtener acceso a información fuera de su alcance, lo que genera riesgos de seguridad y posibles problemas de cumplimiento normativo.
Beneficios clave de una documentación de onboarding bien estructurada:
Previene la sobrepermisión: Los empleados solo tienen acceso a los datos que necesitan para realizar su trabajo.
Mejora la auditabilidad: La documentación clara proporciona una pista de auditoría sobre los permisos de acceso, facilitando la investigación de posibles incidentes de seguridad.
Refuerza el cumplimiento: Seguir las mejores prácticas de gobernanza de acceso ayuda a las empresas a cumplir con normativas como el RGPD, HIPAA o SOX.
Protege contra amenazas internas: Un onboarding adecuado limita el riesgo de uso indebido de datos o robo de información al garantizar que todo acceso esté bien gestionado y controlado.
El onboarding es un momento crucial para sentar las bases de un empleado en la organización. Asegurar que tu proceso de onboarding incluya documentación exhaustiva sobre la gobernanza de acceso a datos y la gobernanza de acceso a archivos es fundamental para proteger a tu empresa contra riesgos de seguridad, amenazas internas y problemas de cumplimiento.
Al preparar los documentos adecuados —acuerdos de empleo, manuales de políticas de seguridad, documentación de RBAC y formularios de autorización de acceso— puedes garantizar que los nuevos empleados tengan el acceso necesario sin comprometer la seguridad de la organización. Además, contar con una lista de verificación interna para TI y seguridad facilitará el proceso para tus equipos, asegurando que nada quede fuera.
¡Ponte en contacto con nosotros!
Por favor, deja tu información de contacto y nos pondremos en contacto contigo para hablar sobre tus necesidades.