Pandemie koronaviru vytvořila ideální podmínky pro rozvoj vnitřních rizik ve firmách. Podobné situace již v minulosti vedly k nárůstu podvodů a nekalých aktivit ze strany zaměstnanců a lze předpokládat, že současná nejistota, a v některých případech vynucené změny zaměstnání, možná mohou mít podobný dopad.
Společnosti navíc ještě nikdy nebyly tolik vystaveny možným hrozbám, a to z důvodu rozsáhlých dodavatelských řetězců a partnerství, nebo vlivem využívané IT infrastruktury v režimu home office a vzdálené práce, která byla často vybudována velmi rychle až v reakci na pandemická opatření.
Bez ohledu na současné prostředí mohou zaměstnanci při odchodu z firmy, ať už úmyslně, nebo nešťastnou náhodou, způsobit bývalému zaměstnavateli značné finanční škody a poškodit dobré jméno firmy. I v případě odchodu zaměstnance, tzv. offboardingu, byste se tak měli zasazovat o to, aby rizika s tím spojená byla včas podchycena.
"Zaměstnanci mohou při odchodu z firmy, ať už úmyslně, nebo nešťastnou náhodou, způsobit bývalému zaměstnavateli značné finanční škody a poškodit dobré jméno firmy."
Náklady na incidenty, které souvisejí s úniky interních informací, vzrostly mezi lety 2018 a 2020 celosvětově o 31 % a dosáhly téměř 11,5 milionu amerických dolarů. I když je zavedení řízeného procesu odchodu zaměstnance z firmy často podceňováno, mělo by se stát nezbytnou součástí bezpečnostní strategie i ve vaší firmě.
Můžete odcházejícímu zaměstnanci důvěřovat?
Útočná plocha společnosti, v angličtině „attack surface“, je často vnímána optikou vnějších aktérů hrozeb. Zneužití se ale mohou dopustit právě i interní zaměstnanci. Ke cloudovým aplikacím, datovým úložištím a dalším firemním zdrojům lze dnes v mnoha organizacích přistupovat prakticky z jakéhokoli zařízení a odkudkoli. Na jednu stranu je to nezbytné pro podporu produktivity zaměstnanců během pandemie, na tu druhou jim to ale může usnadnit obcházení zásad, pokud nejsou zavedeny správné kontrolní mechanismy.
Z průzkumu mezi 600 IT odborníky ve Velké Británii působících napříč různými odvětvími bohužel vyplývá, že mnoho organizací (43 %) ani nemá zásady, které by zakazovaly zaměstnancům brát si s sebou při odchodu z firmy pracovní data. Ve Velké Británii pouze 47 % firem zruší zaměstnanci při jeho odchodu ze zaměstnání přístup do budovy a jen 62 % z nich získá zpět firemní zařízení.
Dle dalších údajů z průzkumu The State of Data Loss Prevention téměř polovina zaměstnanců (45 %) před odchodem ze zaměstnání stahuje, ukládá, odesílá nebo exfiltruje dokumenty související s prací. Nejčastěji se tak děje v odvětvích IT technologií, finančních služeb a obchodu, poradenství a managementu.
Proč na tom záleží?
Ať už si bývalí zaměstnanci vezmou data s sebou, aby udělali dojem na nového zaměstnavatele, nebo je ukradnou či smažou ze zášti, potenciální negativní dopad na společnost je veliký.
Závažné narušení bezpečnosti dat může vést k:
- Nákladům na vyšetřování, nápravu a řešení incidentu;
- Právním nákladům vyplývajícím z hromadných žalob;
- Pokutám od regulačních institucí;
- Poškození značky a dobré pověsti společnosti;
- Ztrátě konkurenční výhody.
Jak bezpečně zvládnout odchod zaměstnance
Všechna výše zmíněná rizika mohou být včas podchycena, pokud budete mít zavedený proces pro odchod zaměstnanců z firmy. I když se to tak možná nezdá, příprava na odchod zaměstnance, ať už nastavením pravidel či pravidelným monitorováním neobvyklé aktivity, by měla začít mnohem dříve, než zaměstnanec oznámí svůj úmysl dát výpověď, nebo než je propuštěn. Na co se v nastavování takového procesu z pohledu bezpečí dat zaměřit především?
#1 Sdělte jasně pravidla
Dle zprávy 2019 Data Breach Investigation Report se odhaduje, že 72 % kancelářských zaměstnanců si myslí, že data, která v práci vytvářejí, patří jim. Může se jednat o cokoli od seznamu klientů až po technické návrhy. Pokud jim pomůžete pochopit hranice jejich vlastního duševního vlastnictví, například formou jasně stanovených a formálně sepsaných zásad, můžete předejít mnoha nepříjemnostem.
Pomozte zaměstnancům pochopit hranice jejich vlastního duševního vlastnictví. Můžete předejít mnoha nepříjemnostem.
Toto opatření by mělo být standardní součástí každého procesu nástupu do zaměstnání, spolu s jasným vysvětlením, co se stane, pokud zaměstnanec zásady poruší.
#2 Průběžně prověřujte dodržování pravidel
Pokud se bezohledný zaměstnanec chystá krást informace před odchodem z vaší společnosti, pravděpodobně s tím začne mnohem dříve, než oznámí personálnímu oddělení své rozhodnutí. Znamená to tak, že by měla být ve vaší firmě zavedena nějaká forma monitorování činnosti zaměstnance, která bude průběžně zaznamenávána, a vy tak případné zjistíte podezřelé aktivity. Samozřejmě za předpokladu dodržení místních zákonů o ochraně osobních údajů a s přihlédnutím k etickým obavám zaměstnanců.
Na podezřelou činnost zaměstnanců mohou upozornit bezpečnostní technologie, které kontrolují neobvyklou aktivitu. Může jít například o DLP řešení, systémy kontrolující datové toky atd. Systémy kontrolují pouze meta data a o jejich nasazení musí být zaměstnanci vždy předem informováni.
#3 Předem nastavte proces odchodu z firmy
Nejlepším způsobem, jak zajistit bezproblémový odchod každého zaměstnance, je navrhnout předem jasný proces a pracovní postup. Přestože téměř všechny organizace mají proces nástupu (onboarding), mnoho z nich zapomíná na obdobný proces i pro odcházející zaměstnance.
Proces odchodu zaměstnance by měl zahrnovat následující kroky:
- Zrušte zaměstnanci přístupy a resetujte hesla pro všechny aplikace a služby;
- Zrušte zaměstnanci přístup do prostor zaměstnavatele;
- Proveďte výstupní pohovor za účelem kontroly podezřelého chování zaměstnance;
- Zkontrolujte monitorovací nástroje kvůli případným důkazům neobvyklé činnosti;
- V případě zjištění podezřelé činnosti komunikujte svá podezření na personální či právní oddělení;
- Požadujte vrácení všech fyzických firemních zařízení;
- Zakažte přeposílání e-mailů a sdílení souborů z účtu odcházejícího zaměstnance;
- Uvolněné licence přerozdělte stávajícím zaměstnancům.
S tím, jak se firmy a společnosti připravují na postpandemický svět, bude konkurence o zákazníky tvrdší než kdykoli předtím. Nemůžete si dovolit, aby cenné duševní vlastnictví odcházelo spolu se zaměstnanci, nebo aby došlo k finančnímu škodám či poškození pověsti vaší firmy, které by mohlo být důsledkem vážného narušení bezpečnosti. Offboarding je jen malou částí bezpečnostní skládačky. Je však nesmírně důležitý.