Чем опасны доступы к данным у бывших сотрудников?

Дело в том, что обычно доступы выдаются сотрудникам сумбурно. Какие-то непосредственно от начальства без уведомления IT-отдела, какие-то заводятся стихийно внутри департамента. Вот несколько анти-примеров:

1. Общие аккаунты для разных сотрудников. Например, для экономии времени коллеги используют общую подписку на сервис или пользуются одним и тем же логином/паролем. Если же кто-то из сотрудников уходит, данные для входа никто не меняет.
2. SaaS-сервисы, которыми можно пользоваться онлайн с помощью пароля без необходимости устанавливать на устройство.
3. Системы, для которых нужно входить по номеру телефона и привязанному SMS-коду. Если сотрудник с номером уходит и не отвязывает его, могут возникнуть проблемы.
4. Привязка к личным учетным записям — например, для корпоративных страниц, нужно привязать личную учетку администратора, а потом вручную отзывать доступ.
5. Системы, которые запустили сотрудники по своей инициативе — например, управление задачами в Trello или обмен документами в Google Docs, загрузка файлов в Dropbox. В итоге даже у ушедших сотрудников остается не только доступ к корпоративным данным, но и полный контроль.
6. Фрилансеры и компании-подрядчики, которым выдан доступ к системам, по завершении контракта остаются в системе. А при смене сотрудников новому работники просто передают логин и пароль, а не меняют их.

Чем опасны доступы, которые не отозваны у сотрудника?

Прежде всего, забытые аккаунты могут использоваться третьей стороной для кибератак, компрометации личной переписки и несанкционированного входа в корпоративные системы — слабые пароли и отсутствие двухфакторной аутентификации делают свое дело.

Также и сам сотрудник может использовать аккаунты для своей личной выгоды и дискредитации репутации компании. Или, например, чтобы преуспеть на новой работе, слить доступы к базе клиентов.

Утечка данных может происходить и по забывчивости — например, если служебные документы синхронизируется с личным компьютером сотрудника. В любом случае, это долгосрочный риск для организации, потому что к данным имеет доступ кто угодно.

Как предотвратить риски?

Прежде всего, нужно контролировать выдачу всех доступов и делать это централизовано — только через начальника или только через IT-отдел. Так, чтобы можно было отследить, кому и когда открывали доступ, а потом, по необходимости, можно было его отозвать. Обязательно нужно проводить опрос сотрудников и руководителей, чтобы отследить так называемые «теневые доступы», то есть те, которые созданы по инициативе самих работников.

При увольнении важно, чтобы HR опросил сотрудника на предмет вопросов по IT — запросить полный список систем, которыми он пользовался постоянно, удостовериться, что никакая конфиденциальная информация не осталась у него на личных устройствах. В идеале подписывать документы, которые подразумевают ответственность сотрудника за разглашение корпоративной информации и неправомерное использование.

С технической точки зрения, необходимо внедрить сервис контроля доступов — например, в некоторых менеджерах паролей это встроенная функция.