Unohdetun työntekijäpoistumisen kauhu: Miksi firman exit-prosessi on hakkerin unelma?

Unohdetun työntekijäpoistumisen kauhu: Miksi firman exit-prosessi on hakkerin unelma?

Kun työntekijä lähtee talosta, firmat kiirehtivät uusien palkkaamista. Mutta entä lähtijän pääsy kaikkiin tietoihin? Se on valtava turva-aukko, joka yllättää valtaosan yrityksistä täysin.

Unohtunut tietoturvan painajainen: Miksi työntekijän lähtöprosessi on hakkerin unelma

Työntekijän lähtö ei innosta ketään. Se on onboardingin tylsä varjopuoli. Kukapa haluaisi hoitaa sitä? Silti tietoturvaherätyskellot soivat: jos ex-työntekijä lähtee ilman kunnollista turvapuhdistusta, annat hänelle avaimet koko digitaaliseen valtakuntaasi.

Ja usko pois, tämä tapahtuu usein.

Lähtevien työntekijöiden karu fakta

Ihmiset vaihtavat työpaikkaa. Se on arkipäivää. Tilastojen mukaan työntekijä pysyy firmassa keskimäärin vain nelisen vuotta. Yrityksessäsi on varmasti juuri nyt menossa vaihtuvuutta – vaikka et olisi siitä tietoinen.

Monet panostavat uuteen porukkaan. Lähtijät unohtuvat. HR rekrytoi. Johto miettii työkuormaa. Ja siinä sähläyksessä kukaan ei tarkista, että herra tai rouva ei pääse enää arkaluonteisiin tiedostoihin, talouslukuisiin tai asiakastietoihin.

Tämä on iso ongelma.

Tutkimusten mukaan joka neljäs ex-työntekijä pystyy vieläkin kirjautumaan vanhaan systeemiinsä. Kuvittele: kuukausia myöhemmin hän lataa mitä haluaa. Olipa syy mikä tahansa, riski on olematon – tai ainakin sen pitäisi olla.

Huonon lähtöprosessin piilotetut kustannukset

Ei puhuta vain rahoista (vaikka nekin merkitsevät). Tarkoitetaan kaikkea tätä:

  • Sääntörikkomuksia, jotka tuovat isot sakot
  • Tietomurtoja, joissa paljastuvat asiakastiedot tai salaisuudet
  • Älykkyisomaisuuden varkauksia, varsinkin katkeraisten lähtijöiden taholta
  • Toiminnan sekamelskaa, kun vastuut menevät sekaisin
  • Mainehaittaa, jos vuoto johtuu löysästä prosessista

Työntekijä koskettaa kymmeniä systeemejä. Sähköposti on vasta alkua. Entä pilvitallit? Työnhallintatyökalut? Tietokannat? Maksujärjestelmät? Kumppaniportaalit? Softa-insinööri pääsee koodivarastoihin ja tuotantopalvelimiin. Myyjä tuntee asiakkaiden hinnat ja kontaktit.

Yhdenkin pääsyn unohtaminen on kuin jättäisit takaoven auki, kun etuovi on lukossa.

Mitä pitää tehdä – ja heti

Hyvä lähtöprosessi ei ole rakettitiedettä. Se vaatii vain yhteistyötä ja papereita. Tässä ydinasiat:

Selvitä pääsyoikeudet etukäteen

Kun lähtö tiedossa, tarkista luvat. Mitä systeemejä hän käyttää? Mihin dataan pääsee? Ketä systeemit koskettavat? Mitä prosesseja hän vastaa?

Perustasoa, mutta harva firma osaa vastata ilman kaivamista. Jos et tiedä, et voi poistaa oikeuksia kunnolla.

Poista kaikki pääsyt saman tien

Viimeisenä työpäivänä luvat katosivat. Kaikki. Ei huomenna. Ei "kun ehditään". Nyt.

Listalla:

  • Sähköposti ja pilvit
  • Avainkortit ja fyysiset lukot
  • Kannettava, puhelin ja laitteet
  • Etäyhteydet
  • API-avaimet ja salasanat
  • Firman some-tilit
  • Kumppanisysteemit

Jos homma on tehty omalta laitteelta, pyyhi yhtiön data pois. Työkaluja on. Siksi "ei omia laitteita duuniin" -sääntö helpottaa elämää.

Kirjaa vastuut ennen lähtöä

Jos aikaa on viikkoja, anna dokumentoida. Mitä prosesseja hän hoitaa? Kenelle siirto? Mitä salasanoja tai tietoja luovutetaan turvallisesti?

Ei pelkkää turvaa. Estää bisneksen pysähtymisen. Ristikkäistyöskentely ja ohjeet vapauttavat yhden ihmisen riippuvuudesta.

Laadi mediahävityspolitiikka

Laitteet eivät katoa ilmaan. Kannettava, ulkoinen levy, vanha varmuuskopio laatikossa – joku käsittelee ne.

Politiikka ohjeistaa:

  • Turvallisen pyyhinnän (ei pelkkä nollaus)
  • Minne laitteet hävitykseen
  • Seurannan kirjanpidon
  • Teollisuuden säännöt

Datan puhdistus erottaa vakavat firmat laiskoista.

Sääntöjen näkökulma – tätä ei voi sivuuttaa

Riippuen alasta, säännöt sanelevat: GDPR, HIPAA, CCPA. Kaikki vaativat, että luvattomat eivät pääse dataan.

Aktiiviset ex-luvat rikkovat sääntöjä. Viranomaiset huomaavat vuotojen yhteydessä.

Kirjallinen lähtölista, joka viittaa sääntöihin, on paitsi fiksua myös lakisääteistä.

Näin saat sen toimimaan

Käy periaatteena: offboarding yhtä systemaattista kuin onboarding. Lista. Vastuuhenkilö. Aikataulu. Työkalu seurantaan.

Ei monimutkaista. Vain säännöllistä.

Yhteenveto

Vaihtuvuus kuuluu peliin. Joku lähtee. Hyvällä tai pahalla fiiliksellä. Älä luota hyvään tahtoon.

Hyvä prosessi:

  • Vie vähän aikaa
  • Estää perusriskit
  • Pitää säännöt kurissa
  • Suojaa vahingoilta ja pahantahtoisuudelta

Virheen hinta on moninkertainen vaivaan verrattuna.

Tagit: ['employee offboarding', 'data security', 'access control', 'it security', 'compliance', 'cybersecurity', 'business risk management']