Volver al Dashboard
Personal / Humanos

R-07

Baja de empleado sin revocación de accesos

4

Severidad
Evaluación Detallada
Acción Prioritaria / Recomendada
Crear procedimiento de baja (checklist obligatorio), usar cuentas nominadas y revocar accesos en <24 hs.
Activos Críticos en Riesgo
Datos sensibles de clientes, sistemas operativos (Sabre/Turismatica) y cuentas de Microsoft 365 .
Controles Existentes
Bajas manuales realizadas cuando se acuerdan y cambios de contraseña de carácter reactivo.
Costos de Oportunidad
Tiempo administrativo dedicado a auditorías forenses para determinar qué información fue consultada.
Descripción de la Amenaza
Acceso no autorizado a información y sistemas por parte de personal que ya no pertenece a la organización.
Dimensión de Seguridad
Confidencialidad e Integridad: Riesgo de extracción de bases de datos o sabotaje de reservas activas.
Disparador (Trigger)
Notificación oficial de la rescisión contractual o finalización del periodo de prestación de servicios.
Estrategia de Tratamiento
Mitigar: Establecer un flujo de trabajo formal para asegurar la salida segura del personal .
Evidencias de Control
Registro de Accesos/Bajas actualizado, checklist de baja firmado y capturas de deshabilitación.
Identificación del Riesgo
HUM-07: Continuidad de acceso post-egreso (riesgo interno o ex-empleado).
Impacto Financiero (Ventas)
Riesgo de desvío de clientes por parte del ex-empleado al mantener acceso a la cartera de contactos.
Impacto Reputacional
Alto daño reputacional si ocurre un incidente de fuga de datos o sabotaje post-egreso.
Impacto en Continuidad
Incidentes difíciles de investigar que pueden derivar en interrupciones operativas por remediación.
Impacto en Cumplimiento
Exposición ante auditorías por falta de control de accesos y trazabilidad de usuarios.
Impacto en Datos
Acceso no autorizado a archivos de clientes, correos corporativos y sistemas de reserva.
Mecanismos de Mitigación
Administrativo: Checklist de baja. Técnico: Revocación inmediata de sesiones y cuentas nominativas.
Métrica de Seguimiento (KPI)
Tiempo de revocación de accesos (Meta: $\leq$ 24 horas desde la notificación).
Plazo de Ejecución
Implementación de las medidas de control en una ventana de 30 a 60 días.
Responsables (Owners)
Administración (proceso) y Proveedor IT (ejecución técnica de la revocación).
Riesgo Material (Cuantificar)
Pérdida de capital intelectual y posibles multas por incumplimiento de la política de privacidad de datos.
Severidad (Exposición)
Riesgo MODERADO (3): Requiere medidas preventivas y seguimiento regular.
Vulnerabilidades Detectadas
Ausencia de procedimiento sistemático de baja, IAM inexistente y uso de credenciales compartidas.