Mi történik az adataival, amikor egy munkavállaló távozik?
A kiléptetés olyan IT-kockázat, amelyet a legtöbb vállalkozás figyelmen kívül hagy
Amikor egy munkavállaló elhagyja a vállalkozását, sok mindenre kell gondolni. Átadás-átvétel, végső bérszámfejtés, eszközök visszaszolgáltatása. De az egyik legfontosabb – és leginkább figyelmen kívül hagyott – kérdés: mi történik az adataival, amikor kilép az ajtón?
A válasz a legtöbb kkv számára, amelyek nem rendelkeznek egyértelmű kiléptetési folyamattal, kényelmetlen. A volt munkavállalók továbbra is hozzáférhetnek a céges e-mailhez, felhőalapú fájlokhoz vagy üzleti rendszerekhez napokkal, hetekkel vagy akár hónapokkal a távozásuk után. Egyes esetekben érzékeny adatokat visznek magukkal – szándékosan vagy sem. Másokban egy régi fiók könnyű belépési pontot jelent egy kibertámadáshoz.
Az adatok kiléptetése nem csupán biztonsági kérdés. Hatással van a megfelelőségre, az ügyfelek bizalmára és az üzletmenet folytonosságára is. Íme, amit tudnia kell – és mit kell tennie.
A nem megfelelő IT-kiléptetés kockázatai
Fennmaradó hozzáférés az üzleti rendszerekhez
Minden munkavállaló hozzáféréseket halmoz fel a vállalkozásánál töltött ideje alatt. E-mail, felhőalapú tárhely, CRM, könyvelési szoftver, projektmenedzsment eszközök, belső irányítópultok. Ha a fiókjaikat nem inaktiválják azonnal, amikor távoznak, a hozzáférés aktív marad. Egy elégedetlen volt munkavállaló – vagy egy hacker, aki feltöri a régi hitelesítő adataikat – használhatja adatok olvasására, másolására vagy törlésére jóval azután, hogy az illető távozott.
Ez az egyik leggyakoribb és leginkább megelőzhető IT-biztonsági kockázat a növekvő vállalkozások számára. Mégis sok kkv-nak nincs formális folyamata a hozzáférés visszavonására, amikor valaki távozik.
Adatok távozása az ajtón
A munkavállalók naponta kezelnek érzékeny információkat: ügyféladatokat, árképzést, szerződéseket, termékútiterveket, pénzügyi nyilvántartásokat. Ellenőrzések hiányában egy távozó munkavállaló fájlokat másolhat személyes meghajtóra, e-maileket továbbíthat személyes fiókba, vagy letölthet egy CRM-exportot az utolsó napján – és lehet, hogy nincs nyoma annak, hogy ez megtörtént.
Ez nem mindig rosszindulatú. Néha az emberek magukkal visznek dokumentumokat, amelyeken dolgoztak, mert szakmai portfóliójuk részének tekintik őket, anélkül, hogy felismernék, hogy bizalmas üzleti információkat tartalmaznak. De akár szándékos, akár nem, a vállalkozása kockázata ugyanaz.
Megfelelőség és GDPR-kitettség
Ha vállalkozása Európában működik vagy európai ügyfelek adatait kezeli, a GDPR vonatkozik arra, hogyan kezeli a munkavállalói adatokat – beleértve a kiléptetés során is. Kötelezettségei vannak a személyes adatok megőrzése, törlése és védelme terén. Egy munkavállaló fiókjainak és adatainak nem megfelelő kiléptetése megfelelőségi kitettséget teremthet, különösen, ha egy adatvédelmi incidens később egy vissza nem vont fiókhoz vezethető vissza.
Árva fiókok támadási vektorként
A régi fiókok, amelyeket senki sem figyel, vonzó célpontok a támadók számára. Mivel a volt munkavállaló már nem jelentkezik be, a fiókon végzett szokatlan tevékenység hosszú ideig észrevétlen maradhat. Ez az egyik módja annak, ahogyan a hackerek a kisvállalkozásokat célozzák – egy elfelejtett fiók megtalálása, a jelszó feltörése vagy adathalászat útján megszerzése, és annak használata a rendszereiben való behatoláshoz.
A többfaktoros hitelesítés segít, de csak akkor, ha a fiók még aktív. Az egyetlen megbízható megoldás a fiókok azonnali és végleges inaktiválása.
Hogyan néz ki a megfelelő IT-kiléptetés
Egy megfelelő IT-kiléptetési folyamatnak nem kell bonyolultnak lennie. Következetesnek kell lennie – minden alkalommal, minden munkavállalónál alkalmazva, függetlenül a távozás körülményeitől. Íme, mit kell tartalmaznia:
1. lépés: A folyamat elindítása az utolsó munkanapon
Az IT-kiléptetést a munkavállaló utolsó munkanapján – vagy ideális esetben azt megelőzően – kell kezdeményezni. Ne várjon, amíg a HR befejezi az összes papírmunkát. A hozzáférés visszavonását különösen egy meghatározott időpontban kell végrehajtani, általában az utolsó nap munkaidejének végén, vagy érzékeny esetekben azonnal a távozáskor.
2. lépés: Hozzáférés visszavonása minden rendszerhez
Menjen végig minden rendszeren, amelyhez a munkavállalónak hozzáférése volt, és inaktiválja vagy távolítsa el a fiókját. Ez a következőket tartalmazza:
- E-mail és naptár (Microsoft 365 vagy Google Workspace)
- Felhőalapú fájltárolás (OneDrive, SharePoint, Google Drive)
- CRM és értékesítési eszközök
- Könyvelési és pénzügyi szoftver
- Projektmenedzsment és együttműködési eszközök
- Bármely harmadik féltől származó SaaS-alkalmazás, amely a munkahelyi e-mail-címhez kapcsolódik
- VPN és távoli hozzáférési hitelesítő adatok
- Fizikai hozzáférési kódok vagy kulcstartók, ha releváns
Ha vállalkozása központosított identitásszolgáltatót használ, mint például a Microsoft Entra ID (korábban Azure Active Directory), a fiók ott történő letiltása automatikusan kaszkádszerűen eltávolítja a hozzáférést a csatlakoztatott rendszerekben – ami az egyik legerősebb érv az egyszeri bejelentkezés használata mellett az eszközkészletében. Ez az a fajta strukturális döntés, amely egy jól átgondolt IT-útitervbe tartozik.
3. lépés: Fontos adatok megőrzése és újbóli hozzárendelése
Mielőtt inaktiválna egy fiókot, győződjön meg arról, hogy a fontos üzleti adatok megőrzésre és átadásra kerülnek. Ez a következőket tartalmazza:
- E-mailek és naptárelőzmények továbbítása vagy hozzáférhetővé tétele egy vezető számára
- Személyes felhőalapú tárhelyen lévő fájlok áthelyezése megosztott helyre
- Dokumentumok, feladatok és projektek tulajdonjogának átruházása a megfelelő kollégákra
Ez a lépés védi az üzletmenet folytonosságát, és biztosítja, hogy a munkavállaló távozása ne teremtsen hiányosságokat az intézményi tudásban vagy az aktív projektekben. Közvetlenül kapcsolódik ahhoz, hogy mennyire jól strukturált az IT-beléptetési folyamata – azok a vállalkozások, amelyek jól beléptetnek, általában jól is kiléptetnek, mert a szerepkörök és az adatok tulajdonjoga az első naptól kezdve egyértelműen meghatározott.
4. lépés: Céges eszközök visszaszerzése
Laptopokat, telefonokat, táblagépeket és minden más céges tulajdonú eszközt vissza kell szolgáltatni, törölni kell, és vagy újra kell telepíteni, vagy ki kell vonni a forgalomból. Ha egy eszközt nem lehet fizikailag visszaszolgáltatni – például egy távoli munkavállaló ideiglenesen megtartja –, akkor távoli törlést kell végrehajtani bármilyen új használat előtt. Az olyan eszközök, mint a Microsoft Intune vagy az Apple Business Manager, egyszerűvé teszik a távoli eszközkezelést és -törlést.
Ha vállalkozása Windows Autopilotot használ, egy eszköz visszaszerzése és újbóli üzembe helyezése egy munkavállaló távozása után lényegesen egyszerűbb, mint manuálisan kezelni.
5. lépés: Megosztott jelszavak és hitelesítő adatok megváltoztatása
Sok kkv megosztott fiókokat használ bizonyos eszközökhöz – megosztott közösségimédia-bejelentkezés, megosztott adminisztrátori fiók, megosztott e-mail-cím. Ha a távozó munkavállalónak hozzáférése volt ezek bármelyikéhez, a hitelesítő adatokat azonnal meg kell változtatni. Ez jó alkalom arra is, hogy ellenőrizze, vajon szükség van-e egyáltalán megosztott fiókokra, vagy a megfelelő jogosultságokkal rendelkező egyéni fiókok biztonságosabbak lennének-e.
6. lépés: Dokumentálja, mit tett
Vezessen nyilvántartást a kiléptetés során végrehajtott minden műveletről: mely fiókokat inaktiválták, mikor, ki által, és milyen adatokat vittek át vagy töröltek. Ez a dokumentáció értékes, ha később vita merül fel, és a GDPR vagy más adatvédelmi keretrendszerek alapján megfelelőségi célokra szükséges lehet.
A kiléptetés beépítése az IT-szabályzatába
Azok a vállalkozások kezelik zökkenőmentesen a munkavállalók távozását, amelyek a kiléptetést szabványos folyamatként kezelik, nem pedig reaktív kapkodásként. Ez azt jelenti, hogy rendelkeznek írásos IT-kiléptetési ellenőrzőlistával, egyértelmű felelősséget rendelnek minden lépéshez, és integrálják a HR-folyamatukkal, hogy az IT-t elegendő előkészítési idővel értesítsék a távozásokról.
Ha jelenleg nincs ilyen rendszere, érdemes a szélesebb körű IT-szabályzatokkal együtt kiépíteni. Az Egyesült Királyság Nemzeti Kiberbiztonsági Központjának útmutatása szerint az azonnali fiókinaktiválás és eszközvisszaszerzés a legnagyobb hatású intézkedések közé tartozik, amelyeket egy vállalkozás megtehet a bennfentes kockázat csökkentésére – és nagyon kevésbe kerül a helyes megvalósításuk.
Ha segítségre van szüksége egy olyan IT-kiléptetési folyamat kiépítéséhez, amely védi vállalkozását, vagy ha nem biztos benne, hogy a volt munkavállalók továbbra is hozzáférnek-e a rendszereihez, vegye fel a kapcsolatot csapatunkkal egy egyszerű hozzáférési auditért.
Meer lezen
Főbb tanulságok
- A munkavállalók IT-rendszerekből való kiléptetésének elmulasztása az egyik leggyakoribb és leginkább megelőzhető biztonsági kockázat a kkv-k számára.
- A fennmaradó fiókok, ellenőrizetlen adatátvitelek és árva hitelesítő adatok mind valós kitettséget teremtenek.
- Egy megfelelő IT-kiléptetési folyamat magában foglalja a hozzáférés visszavonását, az adatok megőrzését, az eszközök visszaszerzését és a dokumentációt.
- A központosított identitáskezelés (mint például a Microsoft Entra ID) gyorsabbá és megbízhatóbbá teszi a hozzáférés visszavonását.
- A kiléptetésnek szabványos, dokumentált folyamatnak kell lennie – nem pedig valami improvizáltnak minden alkalommal, amikor valaki távozik.
Veelgestelde vragen
Mikor kell visszavonni egy munkavállaló IT-hozzáférését, amikor távozik?
Azonnal – ideális esetben a munkavállaló utolsó munkanapjának végén, vagy érzékeny esetekben hamarabb. Minden nap, amikor egy fiók aktív marad, miután valaki távozott, szükségtelen biztonsági kockázat.
A munkavállalók kiléptetése GDPR-kérdés?
Igen. A GDPR értelmében kötelezettségei vannak arra vonatkozóan, hogyan kezeli, őrzi meg és törli a személyes adatokat – beleértve a munkavállalói fiókokban tárolt adatokat is. A fiókok megfelelő inaktiválásának és az adatok kezelésének elmulasztása egy munkavállaló távozása után megfelelőségi kitettséget teremthet.
Hogyan győződhetek meg arról, hogy nem veszítek el fontos adatokat, amikor egy munkavállaló távozik?
Mielőtt inaktiválna egy fiókot, továbbítsa vagy archiválja a fontos e-maileket, helyezze át a fájlokat a személyes tárhelyről megosztott helyekre, és ruházza át a dokumentumok és projektek tulajdonjogát a megfelelő kollégákra. Dokumentáljon minden lépést a nyilvántartásához.
Használhatják-e a hackerek a volt munkavállalók fiókjait?
Igen. A régi, nem figyelt fiókok vonzó célpontok a támadók számára, mert a szokatlan tevékenység hosszú ideig észrevétlen maradhat. A fiókok azonnali inaktiválása, amikor a munkavállalók távoznak, az egyik leghatékonyabb módja ennek a kockázatnak a csökkentésére.
Mi a legjobb eszköz a munkavállalói hozzáférés kiléptetésének kezelésére?
A Microsoft Entra ID (korábban Azure Active Directory) a leghatékonyabb megoldás a Microsoft 365-öt már használó kkv-k számára. Egy fiók ott történő letiltása automatikusan visszavonja a hozzáférést az összes csatlakoztatott alkalmazásban, így a folyamat gyors és megbízható.
Ez a cikk adott néhány ötletet?
Derítsd ki, mit tehetünk érted, egyeztess egy hívást még ma.
Az EvolvingDesk-ről: Az IT egyszerűvé tétele
Az összetett IT-t egyszerű, hatékony megoldásokká alakítjuk a vállalkozásod számára. Legyen szó felhőszolgáltatásokról, egyedi alkalmazásokról vagy hálózatkezelésről, az EvolvingDesk a legújabb technológiát személyes szolgáltatással ötvözi, hogy a vállalkozásod biztonságban maradjon, kapcsolódjon és készen álljon a növekedésre. Az IT egyszerűen, ahogy lennie kell.
Mit csinálunk?
Az EvolvingDesk-nél praktikus IT-megoldásokat nyújtunk, amelyek illeszkednek a vállalkozásod működéséhez. A személyre szabott szoftverektől és megbízható üzleti WiFi-től kezdve az intelligens megfigyelésig és a gyakorlati támogatásig gondoskodunk arról, hogy a technológiád zökkenőmentesen működjön, így a céljaidra összpontosíthatsz.