Anställda arbetar inte för samma organisation i evigheter och hanteringen när någon slutar är en del av företagets vardag. Men säkerhetsriskerna kan också vara stora. Utan en säker avslutningsprocess utsätter sig organisationer för ett flertal olika cybersäkerhetsrisker – allt mellan oförsiktiga olyckshändelser till rent och skärt skadligt uppsåt.
Hög personalomsättning och massuppsägningar gör förstås inte saken bättre när potentiellt stora mängder personal lämnar organisationen under kort tid.
It-säkerhetschefer, säkerhetsteam och relevanta affärsfunktioner borde regelbundet se över sina avslutningsprocesser för att identifiera potentiella risker och sårbarheter. På så sätt kan man sätta fingret på nyckelfaktorer för att säkerställa att processerna även fortsättningsvis är säkra när cyberhoten och personalens arbetsmönster förändras.
Nedan följer några av de största riskerna som avslutade anställningar utgör för organisationer; de utmaningar som it-säkerhetschefer typiskt ställs inför, och några tips om vad som kan vara till hjälp för mer uthålliga strategier.
De största riskerna kring ”offboarding”
1. Stöld av data– En av de helt klart största och mest förekommande säkerhetsriskerna med utgående personal är stöld av data, säger Jaya Baloo, it-säkerhetschef på Rapid7.
– Anställda kan både medvetet och oavsiktligt ta med sig företagsinformation, vare sig det gäller egenutvecklad kod med företagets immateriella rättigheter, företagshemligheter eller till och med kunddata.
Ett välkänt klassiskt exempel är berättelsen om säljaren som slutar och tar med sig kundlistan, säger James Bore, konsult inom säkerhetshygien.
– Även där det finns klausuler i kontrakten som ska förhindra detta är det extremt svårt att bevisa, och ingen vill bli indragen i de rättstvister som kan bli följden.
2. Missnöjda uppsagda blir skadliga insidersUnder uppsägningstiden kan anställda bli missnöjda och utveckla en bitterhet mot organisationen och bli till skadliga insiders, säger Paul Holland, senior analytiker på Information Security Forum.
Risken blir större också av att den anställde vet före de flesta andra att hen ska sluta, vilket möjliggör att de kan utföra skadliga handlingar som att hämta ut, manipulera och förstöra data, eller installera skadlig kod och bakdörrar innan någon uppfattar vad som håller på att hända. Det här kan potentiellt pågå under flera månader innan den anställde till slut lämnar.
Under uppsägningstiden kan anställda också bli mindre uppmärksamma i sitt arbete och mer benägna att göra misstag som exponerar data.
– Anställda som använder många applikationer kan snabbt bli trötta på att använda bra lösenord, och istället välja lösenord som är enkla att gissa och förvara dessa på osäkra ställen, säger Don Tait, senior analytiker på Omdia.
När de anställda sedan lämnar kan dessa hot öppna organisationen för attacker och göra den sårbar om det dröjer innan man upptäcker hoten och hinner reagera.
3. Skugg-it och användning av SaaSSkugg-it och informationssystem som inte är en del av företagets IAM-arkitektur (identity and access management) utgör ett stort hot mot en framgångsrik och säker avslutningsprocess, säger Richard Jones, global it-säkerhetschef på Orange Cyberdefense.
Detta förstärks av SaaS-system och -applikationer som inte kräver särskild tillgång till nätverk eller fysisk närvaro på ett kontor. It-avdelningarna är ofta omedvetna om omfattningen av de anställdas användning av SaaS-tjänster.
– Utan att vara en del av IAM-arkitekturen och tillämpning av zero trust för tillgänglighetshantering kommer dessa molnsystem oundvikligen leda till att anställda har tillgång efter uppsägningen, säger han.
En annan utmaning är hanteringen av mjukvarulicenser. Om inte anställningen avslutas på ett korrekt sätt i molnsystemen kan det leda till onödiga kostnader såväl som säkerhetsrisker – speciellt som licenserna ofta betalas per användare och månad, säger Jones.
Det är inte bara riskerna kring de uppsagda själva som it-säkerhetschefer behöver tänka på. ”I de flesta fall kan massuppsägningar orsaka att de kvarvarande anställda blir oroliga för sina jobb, vilket kan öka insiderhoten och introducera luckor i säkerheten på grund av oavsiktligt slarv”, säger Mohan Koo, vd på DTEX Systems.
4. It och HR synkar inte under avslutningsprocessenIt-säkerhetschefer och deras organisationer ställs inför en mängd utmaningar kring säker avslutning av anställda.
– Det beror mest på att den process där HR behöver meddela it inte alltid är idiotsäker; det är ofta en komplex process som inte avslutas i tid, säger Baloo.
Det kan bli fel eftersom de olika avdelningarna inte förstår nivån av risk på ett bra sätt, en nivå som är olika för varje uppsagd anställd, säger hon.
– It-säkerhetschefer behöver också gå försiktigt fram så att man håller sig till regelefterlevnaden och integriteten, som varierar globalt, när anställda avslutas.
5. Tillgång tas inte bort noggrant och i tidDen största utmaningen för it-säkerhetschefer och deras verksamheter är att ta bort användarnas tillgång till system i god tid och på ett noggrant sätt, säger Duncan Casemore, teknikchef och grundare av HR-teknikbolaget Applaud.
– Det kan va tufft för verksamheter att kartlägga alla rättigheter en anställd en gång hade, speciellt för dem som varit där länge eller haft administratöransvar.
Utspridda användare och det ökande antalet distansarbetare lägger till ytterligare svårigheter, vilket accelererade under pandemin.
– Det här är utmanande för it-säkerhetschefer och organisationer kring identiteter, autentisering och tillgång. Anställda har flera inloggningar som behöver lagras, säkras och uppdateras i händelse av uppsägning, säger Don Tait.
Det är också oerhört utmanande om hela segment av kritisk infrastruktur är bundna till en individ på utgång, säger Alexander Applegate, senior säkerhetsanalytiker på DNSFilter.
– Alla automationsscript, till exempel, som ser till att ett viktigt system fungerar smidigt är ofta en snårskog av beroenden där en specifik uppsättning inloggningsuppgifter eller krav är hårdkodade. Detta beror på att det gjordes en utvecklingsinsats som en ”quick fix” som varken är robust eller lever upp till standarderna för konfigurationshantering.
Datalokalisering och dito utspridning är en annan sak att tänka på.
– It-säkerhetschefer behöver räkna in de olika typerna av data som hanteras – vissa av dessa data kommer att vara känsliga och hemliga, säger Don Tait.
Data kanske lagras okrypterat och lokalt på en osäker hemma-enhet och uppkopplingen kanske använder ett trådlöst hemmanätverk. It-säkerhetschefer kan även behöva hantera dålig insyn i data.
– Det blir allt svårare att hålla reda på inställningar för extern delning och rättigheter satta av anställda som slutar.
Bästa praxis för avslutning av anställda
1. Skapa en bra anställningsprocessOm du bara sätter in säkerhetsåtgärder när en anställd slutar är du förmodligen för sent ute.
– Säker avslutning av en anställd börjar onekligen när den anställde ska introduceras – eller till och med när anställningsavtalet skrivs på, säger Michelle McCarthy, Asienchef på ISMS.online, ett företag inom regelefterlevnad inom informationssäkerhet.
Anställning är inversionen av avslutning och ger ett tillfälle att skapa en förteckning över fysiska och digitala tillgångar som den anställda får tillgång till. Det ger också en möjlighet att sätta gränser runt dataanvändning inom bolaget och peka på vikten av att hålla systemen uppdaterade, säger Duncan Casemore.
Organisationer måste implementera en noggrann process för nyanställda som inkluderar att man på chefsnivå godkänner konton och tillgång till system med känsliga data. Processen bör även inkludera steg som säkrar att tillgången till systemet ses över med jämna mellanrum och att alla förändringar av nödvändiga rättigheter kommuniceras, dokumenteras och utförs skyndsamt, säger Dave Stapleton, it-säkerhetschef på CyberGRX.
– Utan de här processerna kommer uppsägningarna inte bli lika effektiva och kommer troligen att riskera att rättigheterna inte tas bort ordentligt.
2. Se till att olika avdelningar samarbetar proaktivtNär uppsägningar ökar företagens risk för insiders blir det mer viktigt än någonsin att HR, it och andra intressenter samarbetar.
– För att förbereda sig mot potentiella risker bör företag tillsätta en specifik grupp som informeras i förväg om kommande uppsägningar så tidigt som möjligt”, säger Mohan Koo.
Detta driver på intressenterna att proaktivt tänka på hur de kan se till att risker inte blir till hot – vare sig det sker genom utbildning, uppmärksamhet eller policyförändringar. Det ger också möjligheten för HR och företagsjuristerna att orientera sig, från ett avtals- och legalt perspektiv, om vad som är möjligt eller inte möjligt att göra med anställda som lämnar.
HR och it är grundläggande för utformningen av automatiserade processer som skalar i hela verksamheten. Detta borgar för ett i god tid, noggrant avlägsnande av den anställdes tillgång till system och data, och tar bort risken för mänskliga misstag, säger Duncan Casemore.
3. Säkerställ insyn i den anställdes användning av SaaS-tjänster och rättigheterMed den exploderande användningen av SaaS-tjänster blir det allt mer viktigt med ordentlig insyn i de anställdas användning av alla dessa tjänster. Utan kunskap om vilka SaaS-tjänster som använts av en användare, och vilka rättigheter till företagets data som tilldelats, blir det svårt att koppla ifrån dem.
– Användningen av SaaS-tjänster är å ena sidan ett unikt fall, men å andra sidan väldigt vanligt. De flesta av dagens företag har alla eller de flesta av sina tillgångar i molnet. Problemet är att de flesta anställdas SaaS-användning går it- och säkerhetsavdelningen förbi, säger Yoav Kalati, chef för hotunderrättelser på Wing Security.
– Sätt ihop en lista över alla moln- och SaaS-plattformar som används av företaget, och vilka åtkomstnivåer de anställda har, och sikta mot att hela tiden hålla listan uppdaterad.
En teknik på frammarsch som kan vara användbar här är ”cloud permissions management” (CPM), eller det som analysföretaget Gartner kallar ”cloud infrastructure entitlements management” (CIEM). Tekniken upptäcker alla rättigheter till tillgångar i molnet som en given identitet inom en organisation har samlat på sig. Det ger företaget möjligheten att begränsa eller ta bort rättigheterna som de finner lämpligt, enligt Don Tait.
4. Övervaka ovanliga och riskabla beteenden hos personal på utgåendePersoner som ska sluta kan uppvisa ovanliga beteenden och mönster. Ett sätt att upptäcka och adressera detta kan vara att använda så kallad ”user entity behavioral analytics” (UEBA), säger Paul Holland.
– Ett förändrat beteendemönster, som att ladda ned stora mängder data, skulle förmodligen bli flaggat för att något udda är i görningen, och som man kan hantera.
Organisationer borde även fortsätta att övervaka aktiviteter, veckor efter att individen lämnat, för att ligga före potentiella hot eller förluster av data.
– Att upprätta ett forensiskt spår och granskning i realtid kommer att erbjuda den transparens och tillsyn som behövs för att utveckla mer effektiva program för att hantera hot utan att inkräkta på anställdas integritet, säger Mohan Koo.
Retrospektiv bevakning kan också vara användbar, men måste tas med i avtalen för att säkerställa att det finns tillstånd för processen. När någon säger upp sig bör en retrospektiv kontroll av aktiviteter, nedladdningar eller e-postmeddelanden granskas för att se vad som kan ha hänt och identifiera eventuella risker, säger Paul Holland.
5. Säkra företagets tillgångar, enheter och inloggningsuppgifterAtt säkra upp företagstillgångar som varit i den anställdes ägo under anställningstiden kan bli en utmaning i denna era av hybridarbete, men det är synnerligen viktigt för att hantera riskerna kring uppsägningar.
– Det händer att enheter aldrig återlämnas till organisationen och att dessa inte rensats på affärsrelaterat innehåll. Detsamma gäller andra flyttbara tillgångar som innehåller företagets immateriella tillgångar, säger Mohan Koo.
Se till att återta alla enheter från den anställde och avsluta all tillgång till nätverket som den anställdes byod-enheter (bring your own device) kan ha haft.
Att se till att låsa enheter för filuppladdningar till personliga webbmail, fildelningssajter och usb-portar innan uppsägningen är ett utmärkt sätt att minska potentiella dataförluster som kan uppstå efter att företaget aviserat en neddragning av personalstyrkan.
Om man missar detta kan det resultera i att känslig information kommer i händerna på konkurrenter. Det kan också resultera i att tillgångar utnyttjas för illasinnade aktiviteter som fildelning, piratkopiering och brytning av bitcoin. Att stänga av single sign-on (SSO) stoppar användarens tillgång till sina applikationer och enheter. Alla lösenord som ger privilegierad tillgång ska ändras, och tillgång till katalogtjänster ska tas bort.
Det är också viktigt att hålla reda på delade konton och inloggningsuppgifter mellan medarbetaren och andra medlemmar i organisationen för att säkerställa att lösenord uppdateras omedelbart.
6. Gör avslutningsprocessen varsam och transparentAtt hantera avslutningsprocessen på ett varsamt och taktfullt sätt kan räcka långt för att minska riskerna kring uppsagda medarbetare. Vare sig de varit anställda några veckor eller ett årtionde kan en okänslig process vända dem från att vara de vänligaste anställda till att bli reella hot som är ute efter hämnd.
– Sättet att hantera det här är sällan att lägga på lager av säkerhet, utan att vara tydlig och transparent om anledningen till saker och ting, och att jobba för att avslutningsprocessen blir positiv och görs i samarbete, säger James Bore.
En vanlig praxis är att göra en abrupt avslutning, men det kan leda till interna luckor och, ännu värre, missnöjda medarbetare som känner sig hårt behandlade och utslängda.
– Om reaktionen på att någon lämnar in en avskedsansökan är att säga till dem att packa ihop sina saker och eskortera dem ut ur byggnaden kanske du tillämpar en god säkerhetspraxis i teorin, men i verkligheten kanske du skapar ett hot. Avslutningen måste hanteras varsamt och lämpligt i sitt sammanhang, säger James Bore.
Det är bra att uppmuntra HR till att genomföra exit-intervjuer med alla anställda som lämnar företaget för att få inblick i den anställdes attityd och för att förstå om hen utgör en potentiell risk för organisationen eller inte, säger Jaya Baloo.
– Till sist, se till att de anställda är väl övade och utbildade, och lägger sig till med goda vanor kring utgående datasäkerhet och att de förstår att de utgör den första linjens försvar för att skydda organisationen.
Läs också: Stöld, driftstopp och skadat rykte – så dyrt kan dataintrånget bli