<img alt="" src="https://secure.leadforensics.com/779964.png" style="display:none;">
Ogólna kategoria

Odejście pracownika – jak zadbać o bezpieczeństwo danych firmowych?

Sagenso Team
20 listopad 2023
SHARE

Odejście pracownika oznacza dla firmy szereg nowych wyzwań – nie tylko w zakresie relokacji zadań i rozpoczęcia żmudnego procesu rekrutacji, ale też w kwestiach dotyczących cyberbezpieczeństwa. Ktoś, kto na dobre opuszcza miejsce pracy, na pewno korzystał z wielu bardzo cennych aktywów, jakimi są dane. Teraz z oczywistych powodów nie powinien już mieć do nich dostępu. Firma, która chce zminimalizować ryzyko potencjalnych zagrożeń, musi podjąć szereg działań, w tym zabezpieczyć dokumenty, systemy i konta, którymi dysponował były pracownik. Sprawne podjęcie środków ostrożności jest wskazane zwłaszcza w sytuacji, kiedy dana osoba została zwolniona przez pracodawcę, a więc rozstaje się z przedsiębiorstwem w niezbyt przyjaznych relacjach. Jak zadbać o bezpieczeństwo danych firmowych po odejściu pracownika? Sprawdź nasze wskazówki.

 

Monitoruj aktywność pracownika podczas okresu wypowiedzenia.

 

Rzadko się zdarza, żeby pracownik odszedł z miejsca pracy zaraz po podjęciu decyzji o zwolnieniu. Zazwyczaj przebywa w firmie przez cały okres wypowiedzenia. Dobrze wtedy dyskretnie mieć oko na jego działania, żeby upewnić się, czy nie próbuje na przykład skopiować ważnych informacji albo użyć posiadanych danych do własnych celów. Można np. zainstalować na komputerze takiej osoby specjalne oprogramowanie, które monitoruje aktywność pracownika i natychmiast ją blokuje, jeżeli doszło do naruszenia bezpieczeństwa IT.

 

Jeżeli planujesz zwolnić pracownika, podejmij szczególne środki ostrożności.

 

Co innego, gdy pracownik odchodzi z własnej woli, a co innego, gdy zostaje zwolniony. Wtedy pojawia się mnóstwo negatywnych emocji. Taka osoba może – słusznie lub nie – uznać, że potraktowano ją niesprawiedliwie. Zatem istnieją pewne szanse, że spróbuje się zemścić, na przykład sprzedając poufne informacje konkurencji. Możliwe też, że podczas okresu wypowiedzenia skopiuje cenne dane, żeby za ich pomocą przekonać do siebie w przyszłości potencjalnego pracodawcę. Dlatego ogranicz lub zablokuj dostęp do wszystkich danych i kont firmowych pracownika tak szybko, jak się tylko da po poinformowaniu go o zwolnieniu.

 

Poświęć szczególną uwagę skrzynce e-mail odchodzącego pracownika.

 

Konto pocztowe danego pracownika to miejsce, w którym można dokopać się do mnóstwa drogocennych informacji, takich jak: ustalenia z klientami, dane dostępowe do innych kont, plany rozwojowe firmy, faktury, skany dokumentów… Jeśli nie posiadasz centralnej bazy maili pracowniczych, poproś pracownika, żeby przed zakończeniem zatrudnienia przekazał Ci dostęp do zawartości jego poczty. Daj mu czas, by na spokojnie uporządkował zawartość, usunął bardziej prywatne wiadomości i powiadomił wszystkich zainteresowanych odbiorców, że ten adres niedługo nie będzie aktywny. Następnie przejrzyj i skopiuj treści, których potrzebujesz do funkcjonowania firmy. Na koniec usuń konto e-mail. We Włoszech utrzymywanie działania służbowej skrzynki pocztowej po odejściu pracownika uznano za naruszenie RODO!

 

Zmień wszystkie hasła albo usuń niepotrzebne już konta.

 

Kiedy pracownik zakończył okres wypowiedzenia i na zawsze opuścił miejsce pracy, jak najszybciej zmień hasła, które znał, żeby uniknąć nieautoryzowanego dostępu do systemów. Najlepiej całkowicie usunąć wszystkie konta, jakimi wcześniej dysponowała dana osoba – na przykład do poczty e-mail, systemu CRM, panelu firmowej strony internetowej, systemu e-faktur, stosowanych aplikacji. Nie twierdzimy, że były pracownik postanowi zrobić jakiś użytek z danych z poprzedniego miejsca pracy. Po prostu każde działające konto to dodatkowa szansa dla hakera na przypuszczenie skutecznego ataku na firmę.

 

Nie zapomnij o dostępie do mediów społecznościowych.

 

Usuwając byłego pracownika z różnych miejsc, mało kto pamięta o kontach na mediach społecznościowych. Zdarza się, że odchodząca osoba ma dostęp do firmowego fanpage’a na Facebooku albo konta na LinkedIn. W takiej sytuacji może dalej czytać prywatne wiadomości, a zatem bez przeszkód zapoznawać się z informacjami, których nie powinna znać. Jeśli chce namieszać, wystarczy, że odpisze niektórym użytkownikom, usunie opublikowane posty czy zmieni ustawienia kont reklamowych. A jeśli figuruje jako administrator, czyli posiada pełnię władzy, ma możliwość usunięcia innych administratorów, przez co firma utraci dostęp do konta! Dlatego jak najszybciej wyłącz byłego pracownika z firmowych mediów społecznościowych. Jeżeli jest jedynym administratorem, zadbaj, żeby w porę przekazał dostęp komuś innemu.

 

Zabezpiecz urządzenia, z których korzystał były pracownik.

 

Po odejściu pracownika zabezpiecz wszystkie urządzenia, z jakich korzystał: laptopa, telefon służbowy, tablet, karty dostępowe, pendrive’y, dyski zewnętrzne… Dopilnuj, by zostały zwrócone, a następnie wykonaj kopie zapasowe zawartych na nich danych, żeby przypadkiem nie utracić czegoś cennego. Zanim wręczysz sprzęt nowej osobie, usuń wszystkie wrażliwe dane (możesz np. sformatować dysk), sprawdź konfigurację urządzenia, a także zmień hasła dostępowe do aplikacji i kont, z których na tym sprzęcie korzystał były pracownik. Zapobiegniesz w ten sposób nieautoryzowanemu dostępowi do zasobów firmowych i zminimalizujesz ryzyko wycieku danych.

 

Zaplanuj przekazanie obowiązków nowej osobie.

 

Kiedy udało się już zatrudnić pracownika na miejsce poprzedniego, zorganizuj odpowiedni proces przekazania odpowiedzialności i obowiązków, aby wykluczyć potencjalne problemy z bezpieczeństwem danych. Upewnij się, że nowa osoba ma dostęp tylko i wyłącznie do potrzebnych do jej pracy systemów, narzędzi, kont i danych, a nie do wszystkich zasobów firmowych. Przygotuj się na konieczność monitorowania jej działań, zanim w pełni się wdroży. Upewnij się, czy świeżo upieczony pracownik ma przynajmniej podstawową wiedzę z zakresu cyberbezpieczeństwa, umie zachować cyberhigienę i potrafi zidentyfikować główne cyberzagrożenia. Możesz wspomóc się bezpłatnym nagraniem ze szkolenia z bezpieczeństwa IT dla pracowników.

 

Przygotuj się na możliwe incydenty.

 

Podjęte środki ostrożności mogą okazać się niewystarczające. Nigdy nie wiesz, czy odchodzący pracownik nie skopiował już wcześniej wartościowych danych i czy nie planuje zrobić z nich jakiegoś użytku, który zaszkodzi Twojej firmie. Możliwe też, że dojdzie do przeoczenia przy usuwaniu jego kont, a więc wciąż będzie miał dostęp do części zasobów firmowych. Dlatego na wszelki wypadek przygotuj plan działania na wypadek wycieku danych spowodowanego przez byłego pracownika. Zastanów się z wyprzedzeniem, co zrobić w przypadku nieautoryzowanego dostępu do systemów, kradzieży danych, niszczenia informacji albo próby szantażu. Zaplanuj, kto powinien podjąć odpowiednie kroki po wykryciu zagrożenia i w jaki sposób prowadzić komunikację wewnętrzną i zewnętrzną. To znacznie skróci czas reakcji, jeśli do incydentu faktycznie dojdzie. Warto też przejrzeć wszelkie klauzule w umowie pracownika dotyczące kwestii poufności po jego odejściu.

 

Jak jeszcze zadbać o bezpieczeństwo danych firmowych? Przeprowadź bezpłatny audyt bezpieczeństwa IT, dzięki któremu dowiesz się, czy działasz zgodnie z regulacjami. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

 

Do usłyszenia!

Zespół Sagenso
Sagenso Team

Sagenso Team

skutki nowelizacji ustawy o KSC
Ogólna kategoria

Skutki nowelizacji ustawy o KSC dla właścicieli średnich i małych firm

Nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa polski rząd pracował przez parę lat....
Czytaj więcej
Sagenso - blog
Ogólna kategoria

Czy można zadbać o cyberbezpieczeństwo firmy bez zatrudnienia specjalisty?

Wzmożona aktywność cyberprzestępców w sieci skutkuje gwałtownym zwiększeniem liczby cyberataków....
Czytaj więcej

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT