Увольняем? С глаз долой, из сердца вон.
А ещё вон из доступов к корпоративным IT-системам. На практике многие руководители забывают о таких нюансах, а зря. Потом расплачиваются ресурсами и репутацией.
Дело в том, что обычно доступы выдаются сотрудникам сумбурно. Какие-то непосредственно от начальства без уведомления IT-отдела, какие-то заводятся стихийно внутри департамента. Вот несколько анти-примеров:
- Общие аккаунты для разных сотрудников. Например, для экономии времени коллеги используют общую подписку на сервис или пользуются одним и тем же логином/паролем. Если же кто-то из сотрудников уходит, данные для входа никто не меняет.
- SaaS-сервисы, которыми можно пользоваться онлайн с помощью пароля без необходимости устанавливать на устройство.
- Системы, для которых нужно входить по номеру телефона и привязанному SMS-коду. Если сотрудник с номером уходит и не отвязывает его, могут возникнуть проблемы.
- Привязка к личным учетным записям -- например, для корпоративных страниц, нужно привязать личную учетку администратора, а потом вручную отзывать доступ.
- Системы, которые запустили сотрудники по своей инициативе -- например, управление задачами в Trello или обмен документами в Google Docs, загрузка файлов в Dropbox. В итоге даже у ушедших сотрудников остается не только доступ к корпоративным данным, но и полный контроль.
- Фрилансеры и компании-подрядчики, которым выдан доступ к системам, по завершении контракта остаются в системе. А при смене сотрудников новому работники просто передают логин и пароль, а не меняют их.
Чем опасны доступы, которые не отозваны у сотрудника?
Прежде всего, забытые аккаунты могут использоваться третьей стороной для кибератак, компрометации личной переписки и несанкционированного входа в корпоративные системы — слабые пароли и отсутствие двухфакторной аутентификации делают свое дело.
Также и сам сотрудник может использовать аккаунты для своей личной выгоды и дискредитации репутации компании. Или, например, чтобы преуспеть на новой работе, слить доступы к базе клиентов.
Утечка данных может происходить и по забывчивости -- например, если служебные документы синхронизируется с личным компьютером сотрудника. В любом случае, это долгосрочный риск для организации, потому что к данным имеет доступ кто угодно.
Как предотвратить риски?
Прежде всего, нужно контролировать выдачу всех доступов и делать это централизовано — только через начальника или только через IT-отдел. Так, чтобы можно было отследить, кому и когда открывали доступ, а потом, по необходимости, можно было его отозвать. Обязательно нужно проводить опрос сотрудников и руководителей, чтобы отследить так называемые "теневые доступы", то есть те, которые созданы по инициативе самих работников.
При увольнении важно, чтобы HR опросил сотрудника на предмет вопросов по IT — запросить полный список систем, которыми он пользовался постоянно, удостовериться, что никакая конфиденциальная информация не осталась у него на личных устройствах. В идеале подписывать документы, которые подразумевают ответственность сотрудника за разглашение корпоративной информации и неправомерное использование.
С технической точки зрения, необходимо внедрить сервис контроля доступов — например, в некоторых менеджерах паролей это встроенная функция.