Proceso Seguro de Salida (Offboarding)

📋 Información General

Documento: Proceso Seguro de Salida (Offboarding)
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Recursos Humanos, Supervisores, Equipo de Seguridad, Administradores TI

🎯 Propósito

Establecer procedimientos sistemáticos para la desvinculación segura de empleados, contratistas y terceros de DivisionCero, garantizando la revocación oportuna de accesos, la recuperación de activos organizacionales, la protección de información confidencial y la continuidad operativa durante las transiciones de personal.

🏢 Alcance

Este proceso aplica a:

• Terminaciones voluntarias e involuntarias de empleados permanentes
• Finalización de contratos de consultores y contratistas
• Cambios de rol que requieren revocación de accesos específicos
• Suspensiones temporales y licencias extendidas
• Rotación interna con cambio de clearance de seguridad
• Terminación de relaciones comerciales con terceros que tienen acceso

📚 Definiciones

• Offboarding: Proceso estructurado de desvinculación que incluye revocación de accesos y recuperación de activos
• Revocación de Accesos: Desactivación inmediata y permanente de credenciales y permisos
• Transferencia de Conocimiento: Documentación y traspaso de responsabilidades críticas
• Exit Interview: Entrevista de salida con revisión de obligaciones de confidencialidad
• Activos Organizacionales: Equipos, datos, documentos y recursos propiedad de DivisionCero

🛡️ Proceso

Notificación e Inicio del Proceso

Comunicación Formal

• RRHH recibe notificación oficial de terminación o cambio de rol
• Se inicia el proceso de offboarding dentro de las 2 horas siguientes
• Notificación inmediata al equipo de seguridad y supervisores directos
• Activación del checklist de salida según el nivel de clearance del empleado

Planificación de la Transición

• Identificación de responsabilidades críticas y proyectos en curso
• Asignación de responsabilidades temporales o permanentes
• Programación de actividades de transferencia de conocimiento
• Coordinación de fechas para recuperación de activos

Revocación de Accesos y Privilegios

Revocación Inmediata (Dentro de 4 horas)

Sistemas Críticos:

• Desactivación de cuentas de usuario en Active Directory
• Revocación de acceso a sistemas de producción
• Cancelación de VPNs y accesos remotos
• Desactivación de cuentas privilegiadas y administrativas

Comunicaciones:

• Desactivación de correo electrónico corporativo
• Revocación de acceso a sistemas de comunicación (Teams, Slack)
• Cancelación de líneas telefónicas corporativas
• Desactivación de accesos a redes sociales corporativas

Revocación Extendida (Dentro de 24 horas)

Aplicaciones y Servicios:

• Revocación de acceso a aplicaciones SaaS
• Cancelación de licencias de software específicas
• Desactivación de cuentas en servicios de nube
• Revocación de certificados digitales y tokens

Accesos Físicos:

• Desactivación de tarjetas de acceso y códigos
• Actualización de sistemas de control de acceso físico
• Notificación a seguridad física sobre la desvinculación
• Revocación de permisos de estacionamiento

Recuperación de Activos

Activos Físicos

Equipment Tecnológico:

• Laptops, desktop computers y monitores
• Teléfonos móviles corporativos y accesorios
• Hardware especializado (tokens, dongles, dispositivos IoT)
• Equipos de red y componentes asignados

Documentos y Materiales:

• Documentación física confidencial y propietaria
• Manuales, procedimientos y materiales de capacitación
• Identificaciones corporativas y credenciales
• Llaves físicas y dispositivos de acceso

Activos Digitales

• Transferencia de archivos personales almacenados en sistemas corporativos
• Backup y transferencia de correos electrónicos críticos
• Documentación de proyectos y responsabilidades en curso
• Transferencia de ownership de recursos cloud y repositorios

Transferencia de Conocimiento

Documentación de Responsabilidades

• Inventario detallado de responsabilidades y proyectos actuales
• Documentación de procesos críticos conocidos únicamente por el empleado
• Listado de contactos clave de clientes, proveedores y partners
• Registro de passwords de cuentas compartidas o de servicio

Sesiones de Transferencia

• Reuniones estructuradas con supervisores y sucesores
• Transferencia de conocimiento técnico especializado
• Documentación de configuraciones y personalizaciones específicas
• Entrega formal de responsabilidades críticas

Exit Interview y Compromisos Legales

Entrevista de Salida

• Revisión de obligaciones de confidencialidad post-empleo
• Recordatorio de acuerdos de no divulgación y no competencia
• Recolección de feedback sobre procesos de seguridad
• Verificación de comprensión de responsabilidades posteriores

Compromisos Legales

• Confirmación por escrito del cumplimiento de políticas de seguridad
• Acknowledgment de obligaciones de protección de información
• Declaración sobre la no retención de información propietaria
• Acuerdo sobre contactos post-empleo con clientes y empleados

Monitoreo Post-Salida

Verificación Inmediata (48 horas)

• Confirmación de revocación exitosa de todos los accesos
• Verificación de recuperación de activos críticos
• Validación de transferencia de responsabilidades
• Auditoría de logs de acceso para detectar intentos no autorizados

Seguimiento Extendido (30 días)

• Monitoreo de intentos de acceso con credenciales desactivadas
• Verificación de no uso de información propietaria
• Seguimiento de cumplimiento de acuerdos de confidencialidad
• Evaluación de impacto operativo de la desvinculación

👥 Roles y Responsabilidades

• Gerente RRHH: Liderar el proceso de offboarding y coordinar actividades
• Supervisor Directo: Facilitar transferencia de conocimiento y responsabilidades
• Equipo de Seguridad: Ejecutar revocación de accesos y monitorear actividades
• Administradores TI: Desactivar cuentas y sistemas, recuperar activos tecnológicos
• Seguridad Física: Revocar accesos físicos y coordinar recuperación de materiales
• Legal/Compliance: Asegurar cumplimiento de aspectos legales y contractuales

📊 Cumplimiento y Medición

Métricas de Efectividad

• 100% de accesos revocados dentro de los tiempos establecidos
• 95% de activos corporativos recuperados exitosamente
• Tiempo promedio de offboarding completo: máximo 5 días hábiles
• Cero intentos de acceso exitosos post-desvinculación

Indicadores de Riesgo

• Número de accesos no revocados oportunamente
• Activos no recuperados o reportados como perdidos
• Incidentes de acceso no autorizado post-terminación
• Tiempo promedio de detección de intentos de acceso irregulares

Auditorías y Reviews

• Revisión semanal de procesos de offboarding en curso
• Auditoría mensual de efectividad de revocación de accesos
• Evaluación trimestral de recuperación de activos
• Review anual del proceso completo de offboarding

🚨 Escalamiento y Excepciones

Terminaciones de Alto Riesgo

Criterios de Alto Riesgo:

• Acceso a información ultra confidencial o secretos comerciales
• Terminación involuntaria o con conflictos
• Empleados con acceso a sistemas críticos de producción
• Roles con acceso a datos financieros o de clientes

Medidas Especiales:

• Revocación inmediata de accesos (dentro de 1 hora)
• Escolta durante la recuperación de activos
• Monitoreo intensivo por 90 días post-terminación
• Notificación a clientes y partners según sea necesario

Procedimientos de Emergencia

• Revocación remota de accesos fuera de horario laboral
• Contacto inmediato con equipo de respuesta a incidentes
• Activación de protocolos de protección de datos críticos
• Comunicación urgente con liderazgo ejecutivo

📖 Referencias

• ISO 27001:2022 - Control A.7.3 Disciplinary process
• ISO 27001:2022 - Control A.6.6 Confidentiality or non-disclosure agreements
• NIST SP 800-53 - Personnel Security Controls
• Política de Control de Acceso de DivisionCero
• Política de Clasificación de Información
• Procedimiento de Alta y Baja de Usuarios

📝 Control de Versiones

Última modificación: 25 de agosto de 2025