Crea un proceso de offboarding que deshabilite el acceso a todos los sistemas automáticamente con InvGate
La automatización del offboarding de empleados reduce una de las brechas de seguridad más habituales en IT: accesos que siguen activos después de que un empleado se va. En muchas empresas, el offboarding todavía depende de pasos manuales repartidos entre los equipos de RR. HH., IT y seguridad. Dado que existen cuentas en múltiples sistemas, basta con pasar por alto una sola tarea para que el acceso quede habilitado.
Esa exposición se acumula rápidamente. Según el Cost of Insider Risks Report 2025, el costo anual promedio de los incidentes relacionados con insiders asciende a 17.4 millones de dólares. Los insiders criminales o malintencionados representan el 25 % de esos casos y el robo de credenciales explica otro 20 %. Las cuentas inactivas u olvidadas hacen que ambos escenarios sean más probables, porque crean puntos de entrada difíciles de detectar y fáciles de explotar.
Los flujos de trabajo no-code reducen gran parte de ese riesgo. En lugar de depender de traspasos informales o de la memoria de las personas, el acceso se puede deshabilitar automáticamente en todos los sistemas dentro de un flujo de trabajo controlado. El resultado es una revocación más rápida, menos puntos ciegos y un proceso confiable cada vez que alguien deja la organización.
¿Qué necesitas para implementar esta automatización?
Para automatizar el offboarding de empleados, necesitarás:
- Un proceso de offboarding claramente definido: Antes de automatizar, los pasos del offboarding deben estar acordados. Eso incluye qué equipos participan, qué acciones son obligatorias y en qué puntos cambia la responsabilidad.
- Identidad y control de acceso centralizados: Una capa central de identidad debe concentrar la mayoría de las decisiones de autenticación y acceso, como credenciales, roles y membresías a grupos. En muchos entornos, esta capa se implementa con proveedores de identidad como Okta, Entra ID o Google Workspace. Aunque no todos los sistemas estén integrados, centralizar la mayor parte de los accesos permite revocarlos de forma rápida y consistente.
- Un inventario de sistemas y tipos de acceso: Siempre habrá accesos fuera de la capa de identidad centralizada. Por eso, los equipos necesitan una visión clara de dónde existe acceso adicional, como herramientas SaaS independientes, aplicaciones internas, recursos compartidos, cuentas privilegiadas y credenciales de servicio. La automatización solo puede revocar accesos que estén identificados y clasificados.
Por último, hace falta una buena alineación entre Recursos Humanos., IT y Seguridad. La automatización del offboarding funciona cuando el proceso tiene responsables claros. RR. HH. define el estado laboral, IT administra los sistemas y seguridad marca los límites de acceso. Si esas responsabilidades no están bien definidas, la automatización solo mueve la confusión a una etapa anterior.
Las mismas bases aplican a la automatización del onboarding. Cuando el acceso se asigna mediante roles definidos, identidad centralizada y sistemas documentados, el offboarding resulta más rápido y confiable. Los equipos que automatizan onboarding y offboarding logran un mejor control de todo el ciclo de vida del acceso.
Cómo crear un flujo de trabajo de offboarding de empleados en InvGate
Con InvGate Service Management, puedes automatizar la revocación de accesos, eliminar permisos en distintos sistemas y registrar cada acción sin depender de la coordinación manual.
La forma más sencilla de empezar es usar la plantilla de flujo de trabajo de offboarding de empleados.
Para acceder a ella:
- Inicia sesión con un rol de administrador y ve a Configuración > Solicitudes > Procesos.
- Ve a Configuración > Solicitudes > Procesos.
- Selecciona Baja de empleado de la lista de plantillas.
- Haz clic en Usar plantilla para verla en el editor de diagramas.
Desde allí, puedes revisar cada paso y adaptar el flujo de trabajo a tu proceso interno. A continuación, se describen las principales etapas que permiten un offboarding completo y seguro.
Pasos administrativos de RR. HH.
- Formulario de inicio: Este paso inicia formalmente el proceso de offboarding y recopila los datos que el flujo de trabajo necesita para enrutar solicitudes, establecer plazos y revocar accesos correctamente.
Los campos habituales de este formulario incluyen:
- Nombre e ID del empleado.
- Último día de trabajo.
- Tipo de contratación (empleado, contratista, temporal).
- Departamento.
- Responsable directo.
Puedes ampliar este formulario con cualquier campo que necesite tu organización, como detalles específicos según el tipo de contratación, país o ubicación o indicadores de roles sensibles. Dado que estos datos se reutilizan a lo largo del flujo de trabajo, estructurarlos correctamente desde el inicio reduce aclaraciones manuales más adelante.
Tip: Justo después de este formulario inicial, puedes agregar una acción automatizada para programar la entrevista de salida. Con los bloques reutilizables, el flujo de trabajo puede crear un evento en Outlook o Google Calendar según los últimos días laborales del empleado.
- Entrevista de salida: El siguiente paso es la entrevista de salida, implementada como un segundo formulario. Aquí, el responsable de RR. HH. registra el feedback del empleado y confirma cualquier tema pendiente que pueda afectar el offboarding.
Los campos más comunes en esta etapa incluyen:
- Motivo de salida.
- Comentarios o feedback.
- Confirmación del último día de trabajo.
- Pendientes o seguimientos necesarios.
- Acceso a oficinas: Un paso condicional que verifica si el empleado tiene acceso físico a las oficinas. Si existe acceso, el flujo de trabajo crea una solicitud para el equipo de instalaciones o seguridad para revocar el acceso al edificio. Esto puede incluir la desactivación de credenciales físicas o la eliminación del empleado de listas de control de acceso.
Deshabilitar y revocar el acceso digital en todos los sistemas
Aquí es donde la revocación de accesos se vuelve centralizada y escalable.
- Desactivar cuentas: Este paso utiliza subflujos para crear automáticamente solicitudes para las mesas de ayuda correspondientes, según la estructura interna de tu organización. Por ejemplo:
- Desactivar cuentas de red y dominio (normalmente asignadas a equipos de IT o Infraestructura).
- Revocar el acceso a sistemas internos y aplicaciones de negocio (gestionado por equipos de soporte de aplicaciones).
- Deshabilitar el acceso a servicios en la nube y almacenamiento de archivos (asignado a equipos de plataforma o cloud).
- Revocar el acceso VPN y a redes remotas (gestionado por equipos de red o seguridad).
Cada solicitud incluye una descripción clara, un grupo o responsable asignado, una fecha límite y alta prioridad. Estos parámetros pueden ajustarse según cómo se distribuyan las responsabilidades en tu organización.
- Eliminar usuarios automáticamente: También puedes ejecutar cambios de acceso de forma directa. Mediante conectores predeterminados, puedes agregar bloques que disparen acciones automáticamente, en lugar de solo generar tickets.
Por ejemplo:
- Deshabilitar un usuario en Entra ID.
- Eliminar un usuario en Okta.
- Eliminar un usuario en Google Workspace.
- Quitar permisos en SharePoint.
Además de los conectores predeterminados, puedes crear bloques personalizados usando APIs para cubrir otras herramientas de tu entorno.
Devolución de equipos y actualización de activos
Una vez resuelta la revocación de accesos, el flujo de trabajo avanza hacia la recuperación de activos.
- Formulario de recuperación de activos: IT inicia la recuperación de los activos con una lista del equipamiento que debe devolverse. Cuando InvGate Asset Management está conectado, los activos pueden vincularse directamente a los ítems de configuración, lo que impacta en los pasos siguientes.
Luego, se incluye un paso de aprobación, donde un responsable de IT revisa la devolución del equipamiento. Si se aprueba, el flujo continúa. Si se rechaza, se activan acciones correctivas y se notifica al empleado.
- Integración con Asset Management: Después de que los activos son devueltos, su estado y condición se documentan en InvGate Asset Management. La propiedad, el estado y la ubicación se actualizan para reflejar que los activos ya no están asignados al empleado que dejó la organización.
Para cerrar el flujo de trabajo, se envía un correo automatizado al responsable directo del empleado, confirmando que el offboarding se ha completado. El mensaje sirve como comprobación de que el acceso a sistemas, el acceso físico y la asignación de activos fueron gestionados correctamente.
En conjunto, estos pasos muestran que definir un proceso de offboarding va más allá de la simple coordinación. La revocación de accesos, la eliminación de permisos y la documentación se ejecutan dentro de un flujo de trabajo definido. Cada acción queda registrada y se aplica automáticamente en múltiples sistemas.
Descarga tu plantilla gratuita de proceso de offboarding de empleados
Obtén un flujo de trabajo de offboarding listo para usar como punto de partida o para adaptarlo a tu proceso interno. La plantilla incluye los pasos estructurados de RR. HH., flujos de revocación de acceso y etapas de recuperación de activos que acabamos de revisar.
Descarga la plantilla de proceso de offboardingQue los exempleados conserven accesos es un riesgo habitual cuando el offboarding depende de pasos manuales. Con InvGate Service Management e InvGate Asset Management, puedes ejecutar este flujo de trabajo de punta a punta, automatizar la revocación de accesos en todos los sistemas, recuperar activos y mantener un registro claro de cada acción. ¡Descúbrelo con una prueba gratuita de 30 días!