Bezpečnostní rizika při odchodu a přesunu zaměstnanců jsou firmami často přehlížena
Máte ve firmě dostatečně ošetřeny situace kdy zaměstnanci mění pozice či pracovní zařazení? Nezůstávají při takové změně zaměstnanci přístupy a práva k systémům či dokumentům, ke kterým by již přístup mít neměl? Či ještě hůře, máte dobře zvládnutý “offboarding”, tedy ukončení pracovního (či jiného) poměru? Petr Zahálka, obchodní ředitel Thein Security vysvětluje, jak správně zacházet s právy k firemním datům.
Změny na pozicích či odchod bez provedení změn v přístupech či plného odebrání přístupů je zásadní bezpečnostní riziko. A to jak z pohledu vnitřní hrozby, tedy toho, že zaměstnanec má přístup kam nemá a může ho cíleně zneužít či omylem použít, tak z pohledu možného útoku zvenčí. Útočník se pak může dostat k informacím, které by cíl jeho útoku vlastně neměl mít vůbec přístupné.
Zachované přístupy, jak je možné nejlépe toto riziko označovat, jsou přitom na odpovědnosti nejenom ICT či bezpečnostních odděleni, ale i dalších entit ve firmě – HR, finanční, obchodní oddělení, logistika či provoz. A také primárním úkolem pro nadřízené každého zaměstnance. Právě ti jsou zpravidla nositeli procesu změny pozice zaměstnance (přechod od jednoho nadřízeného k novému) či odchodu.
Na celofiremní úrovni je to však především CISO, kdo musí zajistit, aby se při změně pozice nebo zaměstnání změnil i požadovaný přístup k citlivým údajům a/nebo infrastruktuře. Klíčovou roli zde hraje technologie řízení přístupových práv (Identity and Access Management, IAM), která zahrnuje procesy a technologie používané k řízení a kontrole přístupu uživatelů k informačním systémům, datům a zdrojům. IAM zajišťuje, že správné osoby mají správný přístup k informacím ve správný čas a z správných důvodů.
Netýká se to ale zdaleka jen zaměstnanců, stejná rizika jsou spojena i s dodavateli a partnery. Zkušenosti z Thein Security přitom ukazují, že právě zde se velmi často objevují nedostatky. Ukončení spolupráce s dodavatelem běžně nevede k ukončení všech přístupů a odebrání všech práv.
Moje data, vezmu si je s sebou
Odchod zaměstnanců je často spojený se snahou si odnést data a informace, jako jsou intelektuální vlastnictví, databáze či kontakty. Samotný “offboarding” by tak měl začínat mnohem dříve, než v “den ukončení”.
V minulosti podobné “odnášení si” bylo spojené s potřebou využití USB klíčenek, CD/DVD či externích disků. Něčím, co se firmy naučily efektivně hlídat a omezovat. Nástup cloudů a rychlého internetu ale přináší nové, snazší a efektivnější cesty jak data přenést. A také nutnost nových metod pokročilé ochrany.
Minimální přístup
S ohledem na výše popsané je dobré připomenout koncept nejméně privilegovaného přístupu. Lidé by neměli dostávat práva a přístupy, která nepotřebují ke své práci. Je důležité jim dát jen taková práva, která jim umožní efektivně fungovat.
Týká se to jak počítačových, síťových či databázových přístupů, tak fyzického světa. Tedy přístupu do firemních prostor a k firemním prostředkům. Včetně ekvivalentu přihlašovacích údajů v podobě přístupové karty. Paradoxně je běžné, že i na ty se při odchodu či změně pozice zapomíná.
