Volver al Dashboard

HUM-07

Baja de empleado sin revocación de accesos

HUM 24 temas analizados

2/3

Probabilidad

3/3

Impacto

6

Severidad Total

Detalles por Tema

Acciones Prioritarias

Crear procedimiento de baja (checklist obligatorio), usar cuentas nominadas y revocar accesos en <24 hs.

Activos Críticos en Riesgo

Datos sensibles de clientes, sistemas operativos (Sabre/Turismatica) y cuentas de Microsoft 365 .

Controles Existentes

Bajas manuales realizadas cuando se acuerdan y cambios de contraseña de carácter reactivo.

Costos de Oportunidad

Tiempo administrativo dedicado a auditorías forenses para determinar qué información fue consultada.

Descripción de la Amenaza

Acceso no autorizado a información y sistemas por parte de personal que ya no pertenece a la organización.

Dimensión de Seguridad

Confidencialidad e Integridad: Riesgo de extracción de bases de datos o sabotaje de reservas activas.

Disparador (Trigger)

Notificación oficial de la rescisión contractual o finalización del periodo de prestación de servicios.

Estrategia de Tratamiento

Mitigar: Establecer un flujo de trabajo formal para asegurar la salida segura del personal .

Evaluación de Impacto

Alto (3): El acceso a M365 y datos de clientes tras el egreso compromete la seguridad legal de la agencia.

Evaluación de Probabilidad

Media (2): Si no hay un proceso formal, es altamente posible que algún acceso permanezca activo.

Evidencias de Control

Registro de Accesos/Bajas actualizado, checklist de baja firmado y capturas de deshabilitación.

Identificación del Riesgo

HUM-07: Continuidad de acceso post-egreso (riesgo interno o ex-empleado).

Impacto Financiero (Ventas)

Riesgo de desvío de clientes por parte del ex-empleado al mantener acceso a la cartera de contactos.

Impacto Reputacional

Alto daño reputacional si ocurre un incidente de fuga de datos o sabotaje post-egreso.

Impacto en Continuidad

Incidentes difíciles de investigar que pueden derivar en interrupciones operativas por remediación.

Impacto en Cumplimiento

Exposición ante auditorías por falta de control de accesos y trazabilidad de usuarios.

Impacto en Datos

Acceso no autorizado a archivos de clientes, correos corporativos y sistemas de reserva.

Mecanismos de Mitigación

Administrativo: Checklist de baja. Técnico: Revocación inmediata de sesiones y cuentas nominativas.

Métrica de Seguimiento (KPI)

Tiempo de revocación de accesos (Meta: $\leq$ 24 horas desde la notificación).

Plazo de Ejecución

Implementación de las medidas de control en una ventana de 30 a 60 días.

Responsables (Owners)

Administración (proceso) y Proveedor IT (ejecución técnica de la revocación).

Riesgo Material (Cuantificar)

Pérdida de capital intelectual y posibles multas por incumplimiento de la política de privacidad de datos.

Severidad (Exposición)

Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Requiere mitigación prioritaria.

Vulnerabilidades Detectadas

Ausencia de procedimiento sistemático de baja, IAM inexistente y uso de credenciales compartidas.

Acciones Prioritarias

Crear procedimiento de baja (checklist obligatorio), usar cuentas nominadas y revocar accesos en <24 hs.

Editar en Excel Volver al Dashboard