Menu

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Petra Javornická

Petra Javornická
12. 12. 2023

KYBERBEZPEČNOST
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

SDÍLET

Offboarding, tedy proces odchodu zaměstnanců, je stejně důležitý jako onboarding. Přesto ho firmy často zanedbávají. Odchod nespokojeného zaměstnance může přitom pro firmu znamenat značná bezpečnostní rizika například v podobě krádeže nebo smazání dat, ale také ohrožení reputace a finančních škod.

Lidé odcházeli ze zaměstnání vždycky: ať už z vlastní vůle, nebo kvůli závažné chybě či nutnosti firemní restrukturalizace. Pokud k něčemu takovému dojde, ne vždy se firmě bohužel podaří rozejít se se zaměstnancem v dobrém.

Odstrašujícím příkladem, kdy naštvaný zaměstnanec škodil svému bývalému zaměstnavateli, je incident z roku 2017. Závažný kybernetický útok vyvolal Levi Delgado, který pracoval jako IT administrátor ve zdravotnickém centru. Po svém propuštění Delgado neoprávněně vnikl do IT sítě centra a způsobil rozsáhlou škodu: smazal uživatelské účty a server s daty, čímž znemožnil zaměstnancům přístup k počítačům a ke kartám pacientů. To vedlo k přerušení lékařské péče a nutnosti přeplánování lékařských schůzek. Delgado byl za tento čin odsouzen v roce 2021.

Fakt, že odchod zaměstnance znamená potenciální riziko úniku informací a neoprávněných přístupů do firemního online prostředí, si management uvědomuje, nicméně toto riziko často přehlíží. V průzkumu portálu TechRepublic se 48 % dotazovaných firem přiznalo, že jejich bývalí zaměstnanci mají i dál přístup k firemním sítím. A celá pětina firem se setkala s případem, kdy odcházející zaměstnanec zcizil nebo vymazal citlivá data.

Klíčová je spolupráce HR a IT oddělení

Jak se vyvarovat úniku dat a jiných bezpečnostních pastí, které může představovat odchod zaměstnance? Vše začíná na samotném začátku spolupráce: důsledně nastavený proces onboardingu, na jehož podobě by se mělo podílet i IT oddělení, je základním kamenem ochrany organizace. Pravidla pro uchovávání a sdílení dat, přístupy k sítím, cloudům a aplikacím by měla být součástí dobře připraveného interního manuálu pro nastupující zaměstnance. Každý nově příchozí pracovník by se s ním měl seznámit hned při nástupu a během působení u firmy se jím řídit. Při odchodu takový manuál umožní přehlednou kontrolu ze strany IT a administrátorů.

A na co si dát pozor, když zaměstnanec opouští firmu? Zde je sedm tipů pro bezpečný offboarding:

1) Dokončení a předání práce

Pokud se daná pozice odcházejícího zaměstnance nezruší, je nutné práci předat. V nejlepším případě odcházející pracovník svého nástupce zaškolí nebo vypracuje předávací dokument s potřebnými informacemi a kontakty. Není proto vhodné hned na začátku procesu offboardingu rušit odcházejícímu kolegovi přístup na Google Workspace, Microsoft 365, k aplikacím projektového a zákaznického managementu. IT by ale ve spolupráci s HR mělo ošetřit rozsah oprávnění, která se k aplikacím váží, a zamezit tak případnému neoprávněnému nakládání s daty a kontakty. Samozřejmou, ale občas zapomínanou maličkostí je nastavení přeposílání e-mailů na nástupce či nadřízeného.

2) Převzetí souborů

Poslední den ve firmě by měl být i posledním dnem, kdy se v držení bývalého zaměstnance nachází jakákoliv data spojená s firmou. Při předávání je nutné pamatovat na odevzdání všech souborů uložených v e-mailech a aplikacích, rozpracovaných konceptů, zdrojových souborů a podkladů na fyzických nosičích.

3) Zrušení přístupových hesel a práv

Po přebrání veškerých dat je čas na deaktivaci firemního profilu. To předpokládá jednak odhlášení uživatele ze všech zařízení a služeb a následně zrušení jeho přístupových práv, včetně práv k používání sdílených aplikací a nástrojů projektového a zákaznického managementu. Deaktivace musí proběhnout i u všech aktualizací softwaru a aplikací. Důležité je také zrušení oprávnění přístupu ke cloudovým službám, které poskytuje externí provider na bázi SaaS (Software as a Service). Nezapomeňte, že přístup k softwarovým aplikacím, cloudovým službám a datům je možný i prostřednictvím služeb app-to-app. Oprávnění k přístupu a k aktualizacím je třeba ošetřit i zde.

4) Práva na služby, licence a domény

Zvlášť při odchodu vyšších manažerů a klíčových zaměstnanců je potřeba zajistit převedení softwarových licencí, práv k doménám a také oprávnění k vystupování jménem firmy na sociálních médiích.

5) Fyzické přístroje

IT bezpečnost se neomezuje pouze na online prostředí. Stejně důležité je převzetí klíčů, vstupních čipů, karet zaměstnance, tokenů, donglů, disků a USB klíčů. Musí také proběhnout předání telefonu a laptopu. Se správou koncových zařízení pomůže naše služba Mobile Device Management. Pokud si odcházející kolega elektroniku ponechává, musí IT oddělení zajistit odinstalování firemního softwaru, změnu hesel a dalších přístupových a identifikačních zařízení. Samozřejmostí by mělo být podepsání předávacího protokolu potvrzujícího, že zaměstnanec vrátil vše, co je třeba.

6) Oznámení odchodu partnerům a zákazníkům

Vyrozumění, že odcházející kolega už nebude vystupovat jménem firmy, může sloužit jako účinné bezpečnostní opatření. Pokud se po odchodu z firmy exzaměstnanec pokusí kontaktovat zákazníky, dodavatele nebo partnery firmy, oslovení lidé budou předem seznámení s tím, že tento člověk již nezastupuje zájmy společnosti a nemá oprávnění jednat jejím jménem. To pomáhá předejít nedorozuměním nebo potenciálnímu zneužití firemních informací.

7) Výstupní pohovor či dotazník

Odcházející kolega není jen potenciálním rizikem. Lze ho vnímat i jako zdroj cenných a upřímných informací. Odcházející zaměstnanec zpravidla nemá důvod něco zatajovat a měl by absolvovat osobní výstupní rozhovor, nebo alespoň vyplnit dotazník (zvlášť pokud jde o pracovníka na důležité pozici). Kromě náhledu do fungování firmy takový přístup znamená i zvýšení šance, že zaměstnanec neodejde ve zlém a že případné hodnocení firmy na online platformách typu Glassdoor nebo Atmoskop nebude ovlivněné zjitřenými emocemi.

Význam efektivního offboardingu nelze podceňovat. Naopak, mělo by se k němu přistupovat se stejnou pečlivostí a důrazem na detaily jako na jakýkoliv jiný strategický proces nebo agendu firmy. Jeho nedílnou součástí by měla být ochrana citlivých informací, pečlivé předání práce a zajištění, že jakákoliv firemní data a přístroje odcházející zaměstnanec bezpečně vrátil.

Dobře zvládnutý offboarding navíc pomáhá snížit riziko, že odcházející zaměstnanec opouští firmu s negativními emocemi. Spokojený exzaměstnanec nejenže neohrozí kontinuitu podnikání vaší firmy, ale naopak může společnosti přinést cennou zpětnou vazbu a tím vám umožnit se posunout kupředu. Každý odchod zaměstnance by měl být příležitostí k reflexi a využití získaných poznatků pro růst a vývoj organizace.

Co si z článku odnést

  • Procesně nezvládnutý odchod zaměstnanců znamená pro firmu bezpečnostní riziko – hrozí úniky dat, narušení pověsti nebo i finanční ztráty.
  • Nejlepším předpokladem pro úspěšný offboarding je důkladný a dobře zvládnutý onboarding, jehož důležitou součástí je i IT oddělení.
  • Offobarding je nutné sladit s procesem předávání práce, souborů a dat.
  • Zrušení přístupových hesel a oprávnění musí být důkladné. Nesmí být opomenuto oprávnění přístupu ke sdíleným a cloudovým aplikacím, aktualizacím softwaru a app-to-app službám.
  • Firma musí od odcházejícího zaměstnance převzít případná práva k doménám, licencím a oprávněním.
  • Ochrana online prostředí probíhá i offline – převzetím klíčů, čipů, karet a dalších fyzických zařízení.
  • Závěr offboardingu by měl obsahovat pohovor s odcházejícím kolegou a oznámení změny partnerům a zákazníkům.


Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Zobrazit článek
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Zobrazit článek
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Zobrazit článek
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?

Zobrazit článek
Generace Z a kyberbezpečnost. Je pro ni důležitá?
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Zobrazit článek
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

Zobrazit článek
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Zobrazit článek
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys

Zobrazit článek
CIO Agenda 2024: Kyberzločin je jen byznys
;