Vertrekkende medewerkers vormen een belangrijk security-risico voor organisaties. Een procedure die de informatie van de organisatie veilig stelt, is onmisbaar.
Met de komst van de meldplicht datalekken zijn de gevolgen groot wanneer gevoelige bedrijfsinformatie onbedoeld op straat komt te liggen. De grootste bedreiging voor it-security komt nog altijd van binnenuit een organisatie. ‘Niet alleen doordat medewerkers hun mobiele devices kwijtraken door verlies of diefstal’, zegt Pieter Lacroix, managing director bij Sophos Nederland. ‘Maar ook doordat ex-medewerkers vaak nog betrekkelijk eenvoudig bij allerlei systemen en data kunnen.’ Iedere organisatie moet dan ook een procedure hebben die de informatie van het bedrijf veilig stelt als een medewerker vertrekt. Vrijwillig of gedwongen.
Open deuren
‘Veel adviezen klinken als een open deur’, zegt Lacroix. ‘Maar in de praktijk blijkt dat heel veel bedrijven geen vast protocol hanteren waardoor ook deze open deuren nogal eens over het hoofd worden gezien.’ Volgens de Sophos-directeur zijn een aantal noodzakelijke acties om de informatie en data in een organisatie zo veilig mogelijk te houden. Hier volgt een opsomming:
1. Zorg voor snelheid bij gedwongen ontslag.
Het is belangrijk dat de it-afdeling van een organisatie bij een gedwongen ontslag of ontslag op staande voet sneller handelt dan normaal, omdat de kans groter is dat de ontslagen medewerker uit wraak informatie ontvreemdt of vernietigt. ‘Als het kan, is het raadzaam om de it-afdeling alvast te waarschuwen voordat het ontslag plaatsvindt, zodat de noodzakelijke maatregelen al in stelling kunnen worden gebracht.’
2. Zorg ervoor dat een ontslagen medewerker niet meer kan inloggen.
Het is noodzakelijk dat direct alle wachtwoorden van de locaties waar vertrekkende werknemers mogelijk toegang tot hebben, worden veranderd. Dat geldt niet alleen voor netwerklocaties en de werkplek, maar ook voor externe locaties, zoals blogs, analytics en bijvoorbeeld stockfotosites. ‘Bij voorkeur maakt een organisatie gebruik van single sign-on en identity management. Op die manier hoeft maar één account onbruikbaar te worden gemaakt en wordt de kans op menselijke fouten, zoals het vergeten te deactiveren van een specifiek account, kleiner.’
3. Laat alle mailaccounts deactiveren.
Zorg ervoor dat alle mailaccounts waartoe de vertrekkende medewerker toegang had, worden gedeactiveerd. Laat de wachtwoorden van gezamenlijke mailaccounts wijzigen. Bepaal hoe lang de informatie van de vertrokken medewerker moet worden bewaard en plan vervolgens een moment in waarop de data in het gedeactiveerde mailaccount wordt vernietigd.
4. Zorg ervoor dat toegang op afstand onmogelijk wordt.
Neem alle apparatuur in waarmee een vertrekkende medewerker op afstand toegang kan verkrijgen tot het bedrijfsnetwerk. Zorg er daarnaast voor dat de account voor remote access worden gedeactiveerd.
5. Neem bedrijfsapparatuur in.
‘Natuurlijk is het onmogelijk om de privé-telefoon van een vertrekkende medewerker te vorderen, maar zorg er wel voor dat alle bedrijfsapparatuur wordt ingeleverd. Daaronder vallen ook usb-sticks, back-up disks en andere apparatuur waarop gevoelige informatie kan staan. Realiseer u dat op de privé-apparatuur ook wachtwoorden en andere informatie kan zijn opgeslagen.’ Voor de it-afdeling betekent dit dat zij moeten registreren welke apparatuur aan welke medewerker is uitgeleend. ‘Veel datalekken komen voort uit gestolen of verloren apparatuur’, waarschuwt Lacroix.
Waardevol van data
Hoewel deze lijst adviezen bij lange na niet compleet is, benadrukt Lacroix het belang van het formuleren van een gedegen vertrekprocedure. ‘Bedrijven die hun data daadwerkelijk willen beschermen, en niet pas wanneer een werknemer vertrekt, zorgen voor toegangsrechten via logons, met een wachtwoordbeleid dat vereist dat de wachtwoorden iedere zoveel dagen veranderd worden. Alle data wordt versleuteld en automatisch geback-upt en gerepliceerd naar centrale servers. Ieder apparaat dat toegang heeft tot een pc wordt automatisch versleuteld en kan niet decrypted worden op niet-bedrijfs-pc’s. Bovendien wordt al het verkeer naar externe websites gelogd, zodat er zicht is op werknemers die documenten aan zichzelf mailen of in een cloud opslaan’, soms Lacroix andere maatregelen op. ‘Al deze maatregelen hebben te maken met de perceptie van de organisatie op de waarde van hun data. En dat begint niet op de dag van ontslag, maar op de dag dat iemand wordt aangenomen.’
