¿Cuál es el procedimiento a seguir contra una violación de seguridad?

Serverfault tiene una excelente respuesta canónica sobre " ¿qué deberíamos hacer ahora para limpiar este desastre ", por lo que ' Intentaré "qué debemos hacer para evitar que esto vuelva a suceder".

• Su organización necesita establecer un proceso de "abandono de los empleados" y seguirlo.
• Su organización deberá resolver si deben tratar todas las terminaciones de la misma manera, o de manera diferente entre las terminaciones "hostiles" y "no hostiles", o de manera diferente entre los empleados regulares y aquellos con acceso a información confidencial.
• TI necesita documentar los procedimientos para cerrar cada cuenta que un empleado pueda tener, incluyendo las cuentas que IT no controla .
• TI debe mantener un registro de cuenta de empleado que les permita identificar instantáneamente qué cuentas tiene un empleado determinado. (Esto puede ser mucho trabajo).
• TI debe tener una lista de todas las cuentas genéricas y quién sabe las contraseñas. También deben eliminar la mayor cantidad posible de cuentas genéricas, idealmente todas ellas.
• Cuando se toma la decisión de terminar "hostil", RH debe reunirse con TI por adelantado y planificar para que todas las cuentas estén deshabilitadas mientras el empleado se entera de que han sido despedidos .
• Al mismo tiempo que se cierran las cuentas, es necesario proteger el hardware de su computadora y las credenciales de identificación.

TI, RR.HH. y la alta gerencia deben comprometerse con lo anterior.

Además, de su pregunta también se desprende que los procedimientos de copia de seguridad no son correctos. Repárelo. (No olvide asegurar sus copias de seguridad. En particular, trate de no tener personas con permiso para eliminar tanto los originales como las copias de seguridad).

Lo siguiente es lo que haría, dada su situación.

1. Restaure los correos electrónicos de una copia de seguridad anterior. Si los eliminaron, asuma que tenían algo que ocultar.
2. Póngase en contacto con un profesional que pueda auditar sus sistemas y asegurarse de que no haya puertas traseras o agujeros de red que no hayan sido parcheados desde la finalización (credenciales de webmail / vpn / blackberry, conexiones RDC, archivos, etc.)
3. Compare las copias de seguridad de sus archivos desde el día de finalización hasta la noche anterior. Restaure todos los archivos que se hayan eliminado.
4. Aliste a su equipo de relaciones públicas / comunicaciones, ya que tendrá que hacer un control de daños con respecto al correo electrónico que se envió.
5. Como dijo Graham, debe crear un conjunto de políticas, así como una "lista de verificación de salida del empleado" para evitar que esto suceda.
6. Debe sentarse con RR.HH. y con la alta gerencia para hablar sobre los procedimientos de terminación, ya que normalmente deben estar bien organizados (es decir, asegurarse de que el empleado no esté cerca de una computadora cuando esté sucediendo y hacer que la TI cierre los sistemas mientras está ocurriendo, etc.)
7. Dependiendo del nivel de auditoría (y a juzgar por su situación, voy a suponer que no tiene mucho) ver a qué archivos se ha accedido y modificado desde la partida.
8. Mantenga un registro de los correos electrónicos que salen de su sistema: si los empleados aún tienen amigos, es posible que sigan divulgando secretos comerciales / información privada de la compañía a sus amigos despedidos.

Espero que ayude!