seguridadgestión ITpymes

Qué hacer cuando un empleado se va y tenía acceso a todo

La baja de un empleado es un momento de riesgo real para la empresa. Accesos que quedan activos, contraseñas compartidas, datos que se llevan. Cómo gestionarlo bien.

· 3 min de lectura ·ION Software

Un empleado avisa que se va. O peor: lo despides y tiene que marcharse ese mismo día. En ese momento, ¿sabes exactamente a qué sistemas tiene acceso? ¿Cuántos de esos accesos siguen activos a la semana siguiente?

Este escenario ocurre constantemente en empresas pequeñas y medianas, y suele gestionarse mal — no por mala voluntad, sino porque nunca se pensó con antelación.

El inventario que no existe

El problema de fondo suele ser el mismo: la empresa no tiene un inventario claro de qué accesos tiene cada persona. Con el tiempo se acumulan:

  • Cuentas de Google Workspace o Microsoft 365
  • Acceso a CRM, ERP, herramientas de facturación
  • Usuarios en servidores o bases de datos
  • Contraseñas compartidas del equipo (el correo general, el perfil de redes sociales, el acceso al hosting)
  • Acceso VPN o escritorio remoto
  • Cuentas en proveedores: AWS, dominios, registros, pasarelas de pago

Cuando alguien se va, la baja formal puede cerrarse en un día, pero los accesos individuales a cada herramienta pueden seguir activos meses después.

Los riesgos concretos

Acceso continuado sin malicia: el exempleado sigue recibiendo correos, puede ver datos de clientes, tiene acceso a documentos. No necesita hacer nada malo para que eso sea un problema grave de privacidad (GDPR).

Acceso con intención: aunque sea minoría, ocurre. Un comercial que se lleva la base de datos de clientes antes de irse a la competencia. Alguien que borra archivos al salir. Alguien que sigue consultando el sistema de facturación meses después.

Contraseñas compartidas: si el empleado conocía la contraseña del correo general, del perfil de LinkedIn de empresa o del acceso al panel de hosting, ese dato sigue siendo válido.

Un proceso de baja IT mínimo viable

No hace falta un departamento de IT. Solo hace falta un checklist que alguien ejecute el día de la baja:

  1. Suspender la cuenta principal (Microsoft 365 / Google Workspace) — esto corta el correo y buena parte del acceso de golpe
  2. Revocar sesiones activas — cerrar todas las sesiones abiertas en todos los dispositivos
  3. Repasar la lista de herramientas — CRM, ERP, facturación, GitHub, Notion, lo que use el equipo
  4. Cambiar contraseñas compartidas — cualquier credencial que esa persona conociera
  5. Revocar acceso VPN o escritorio remoto — especialmente importante si trabajaba en remoto
  6. Transferir propiedad de documentos, proyectos, carpetas antes de eliminar la cuenta
  7. Documentar — fecha de baja, qué accesos se revocaron, quién lo hizo

Cinco minutos de trabajo si está todo localizado. Horas de dolor si no hay registro de nada.

La solución a largo plazo: gestión de identidades

El ideal es tener un sistema centralizado de identidades donde cada herramienta se integra con el directorio central (Active Directory, Azure AD, Google Workspace Directory). Cuando deshabilitas la cuenta central, todos los accesos integrados caen automáticamente.

No todas las herramientas lo permiten, pero cuantas más, mejor. Y para las que no, el checklist manual es el respaldo.

Un consejo práctico

Si ahora mismo no sabes con certeza qué herramientas usa cada miembro de tu equipo, dedica una tarde a hacer ese inventario. Pide a cada persona que liste los sistemas a los que tiene acceso. Es un ejercicio incómodo que suele revelar sorpresas — y que te ahorrará problemas cuando llegue la próxima baja.

La gestión de accesos no es solo un tema de seguridad. Es también cumplimiento legal y buena higiene operativa.

Etiquetas: seguridadgestión ITpymes
← Volver al blog