Policy da conoscere

La sicurezza informatica deve svolgere un ruolo centrale nell'offboarding dei dipendenti

5 minuti di lettura

Quando i dipendenti lasciano un'azienda, i processi IT e HR predefiniti per il cosiddetto offboarding sono di solito dati per scontati. Il processo spesso prevede, ad esempio, la restituzione delle tessere di accesso o dell'hardware, compiti piuttosto banali. Tuttavia, questo non è il caso della sicurezza informatica, che tende a essere trascurata e può comportare complessità impensate. Possibili conseguenze? Minacce alla sicurezza e fughe di dati indesiderate.

I motivi per cui si lascia un lavoro possono essere diversi; tuttavia, non tutte le separazioni sono consensuali. Prima che i luoghi di lavoro fossero digitalizzati, gli ex colleghi rubavano le matite o svolgevano male il proprio lavoro per vendicarsi del datore di lavoro. Al giorno d'oggi, invece, i futuri ex dipendenti arrabbiati possono danneggiare la sicurezza digitale dell'azienda copiando di nascosto dati riservati, rubando contatti commerciali o addirittura manipolando o cancellando file vitali dalla rete aziendale. Secondo diverse indagini, ciò accade con particolare frequenza nei settori tecnologico, finanziario, gestionale e di consulenza. Quello che nel mondo offline potrebbe essere considerato solo un po' di ribellione, nel mondo digitale può trasformarsi in un reato.

Pertanto, quando si tratta di licenziare i dipendenti, il dipartimento di sicurezza informatica deve svolgere un ruolo centrale. Le misure dovrebbero andare ben oltre il ritiro delle tessere di accesso, dei computer portatili e degli smartphone e la disattivazione della posta elettronica dei dipendenti. È necessario negare l'accesso alle piattaforme di messaggistica, agli strumenti online, ai servizi cloud e alle reti. Queste misure non sono ancora incluse nelle liste di controllo per l'offboarding di molte aziende o sono state adattate o sviluppate solo in misura limitata.

Evita incidenti e danni

 Sia che i dipendenti rubino i dati per impressionare un nuovo datore di lavoro, sia che li sottraggano o li cancellino per risentimento, l'impatto potenziale sull'azienda può essere grave. Le fughe di dati che ne derivano possono avere, tra le altre, le seguenti conseguenze:

  • Costi di indagine, bonifica e pulizia
  • Spese legali per cause, comprese le azioni collettive
  • Multe regolamentari
  • Danni al marchio e alla reputazione
  • Perdita di vantaggio competitivo

Infographic showing the data about the costs of employee offboarding

Da collega a sabotatore

Il processo di offboarding può diventare particolarmente complicato se il dipendente in partenza ha preso la decisione di lasciare l'azienda in anticipo e non ha semplicemente informato la direzione delle sue intenzioni. In questo caso, il dipendente può rappresentare un potenziale pericolo per un periodo di tempo più lungo. Gli esperti spesso classificano questi insider come un rischio per la sicurezza a causa del loro comportamento negligente o delle loro intenzioni criminali.

Anche l'Agenzia dell'Unione Europea per la sicurezza informatica (ENISA) ha affrontato il problema degli insider, includendoli nell'elenco delle 15 principali minacce. Il Threat Landscape Report 2021 mostra che gli insider sono direttamente responsabili di perdite di dati di ogni tipo. Questo gruppo di dipendenti ha maggiori probabilità di essere coinvolto in attacchi di social engineering che, insieme a e-mail dannose e link manipolati, fanno parte dei vettori di attacco più pericolosi. Non importa se il dipendente/insider che se ne va ha semplicemente agito per negligenza o ha deliberatamente aperto le porte agli hacker; il pericolo rappresentato dagli autori interni deve essere affrontato.

Consigli per un offboarding sicuro

1. Comunicate le politiche aziendali in modo chiaro e comprnsibile

I vostri dipendenti potrebbero pensare che i dati che producono sul lavoro appartengano a loro. Politiche chiare e strutturate li aiutano a comprendere meglio i limiti del loro coinvolgimento nella proprietà intellettuale. Oltre alle linee guida corrispondenti, includete sanzioni chiaramente formulate in caso di non conformità. È consigliabile supportare queste specifiche con esempi concreti, utilizzando liste di clienti o disegni tecnici come casi di studio. Anche se questi documenti possono essere stati creati dai dipendenti, di fatto appartengono all'azienda.

 

2. Affidatevi a un continuo monitoraggio

Utilizzate tecnologie di controllo che monitorano e segnalano continuamente le attività sospette, rispettando le leggi locali sulla protezione dei dati.

 

3. Definite linee guida e processi completi

Ciò che è già considerato uno standard quando si tratta di inserire nuovi dipendenti, viene spesso trascurato quando i dipendenti se ne vanno. Se si definiscono in anticipo i flussi di lavoro e i processi, si creano le condizioni ottimali per un offboarding efficace e senza interruzioni.

4. Fate regolarmente dei back-up

Non lasciate che i dipendenti rubino i vostri dati per sempre. Utilizzate soluzioni efficaci di backup e ripristino dei dati per assicurarvi di avere sempre una copia e garantire la continuità aziendale. "Combinate soluzioni di backup cloud e locali e rispettate la regola del 3-2-1: disponete di tre copie in due luoghi interni diversi e almeno una all'esterno dell'azienda", afferma Greg Bak, responsabile dello sviluppo prodotti di Xopero Software. I backup possono essere un'utile misura preventiva.

5. Provate software di data loss prevention (DLP) 

Impedite a persone non autorizzate di accedere e condividere i dati interni con un software affidabile di prevenzione della perdita di dati. Questa tipologia di programma, inoltre, vi aiuta a gestire il flusso di dati e ad essere informati su come i dati stessi vengono gestiti dai dipendenti. Il software DLP offerto da Safetica, ad esempio, vi aiuta anche a rilevare le minacce interne e a rispettare le normative sulla privacy dei dati.

6. Archiviate i dati in the cloud

Un'altra misura preventiva? Non affidarsi solo ai dischi rigidi e chiedere ai dipendenti di archiviare sempre i dati nel cloud, preferibilmente anche i file in lavorazione, in modo che siano accessibili a più utenti. L'unità del computer o di un altro dispositivo di un dipendente non dovrebbe mai essere l'unico luogo in cui vengono conservati i dati.

Nell'era digitale, le aziende non possono più permettersi che la loro preziosa proprietà intellettuale venga rubata da chiunque, soprattutto dai dipendenti in partenza, che potrebbero aver gestito dati sensibili mentre lavoravano in azienda. Che siano causate consapevolmente o inconsapevolmente, le fughe di dati possono danneggiare l'immagine dell'azienda e causare danni finanziari. Per questo motivo, un'attenta attività di offboarding dovrebbe diventare parte integrante della sicurezza informatica dell'azienda.

Checklist that includes processes for a secure offboarding