Odejście pracownika to naturalna część życia każdej organizacji, ale jednocześnie jeden z najbardziej newralgicznych momentów dla cyberbezpieczeństwa. W tym czasie firma traci osobę, która miała dostęp do danych, systemów i narzędzi wykorzystywanych na co dzień. Jeśli proces offboardingu nie zostanie przeprowadzony prawidłowo, może dojść do błędów, wycieków danych albo celowych działań, które naraziłyby firmę na poważne ryzyko. Poniższa checklista krok po kroku została przygotowana z myślą o działach IT, HR i administratorach bezpieczeństwa – tak, aby zadbać zarówno o dane, jak i o płynne zakończenie współpracy.
Dlaczego zabezpieczenia po odejściu pracownika są kluczowe
Pracownik, który odchodzi, wciąż może mieć dostęp do firmowych narzędzi, wiadomości, plików i systemów. Jeśli nie zostaną one w odpowiednim momencie zablokowane, istnieje ryzyko nieautoryzowanego pobrania danych, przypadkowej ingerencji w zasoby albo celowego działania, jeśli odejście nastąpiło w napiętej atmosferze. Dlatego procedury offboardingu powinny być standardem – tak samo ważnym jak wdrożenie nowej osoby.
Przygotowanie przed odejściem pracownika
Proces bezpieczeństwa zaczyna się dużo wcześniej niż w ostatni dzień pracy. Warto zadbać o to, aby formalności, decyzje organizacyjne i ustalenia zostały przeprowadzone z wyprzedzeniem. Należy ustalić zakres obowiązków, które wymagają przekazania, upewnić się, że pracownik nie jest jedyną osobą posiadającą dostęp do kluczowych danych oraz zaplanować, które systemy i konta zostaną wyłączone oraz kiedy nastąpi dezaktywacja.
Checklist bezpieczeństwa – działania techniczne
Działania techniczne są kluczowe, bo to one realnie ograniczają ryzyko nieautoryzowanego dostępu. Każdy z poniższych kroków powinien być wykonany konsekwentnie i najlepiej według przygotowanego scenariusza.
Cofnięcie dostępu do systemów
Jednym z pierwszych działań powinno być cofnięcie uprawnień do systemów firmowych. Obejmuje to dostęp do środowisk produkcyjnych, paneli administracyjnych, systemów CRM, ERP oraz wszystkich innych narzędzi wykorzystywanych w organizacji.
- dezaktywacja konta użytkownika w systemach lokalnych i domenie
- blokada dostępu do VPN oraz sieci wewnętrznej
- usunięcie uprawnień administracyjnych, jeśli pracownik je posiadał
Zmiana haseł wspólnych i kluczowych
W wielu firmach nadal funkcjonują konta współdzielone lub hasła używane przez kilka osób. Gdy jeden z pracowników odchodzi, konieczna jest ich natychmiastowa zmiana. Tylko w ten sposób można uniknąć ryzyka, że osoba, która już nie pracuje, zachowa dostęp do zasobów.
- zmiana haseł współdzielonych używanych przez zespół
- aktualizacja kluczy API, tokenów i danych logowania do usług technicznych
- zresetowanie lokalnych haseł do serwerów, repozytoriów i baz danych
Dezaktywacja kont w usługach chmurowych
W wielu firmach największa część danych znajduje się w chmurze, dlatego odpowiednia dezaktywacja kont jest kluczowa dla bezpieczeństwa. Dotyczy to usług takich jak Microsoft 365, Google Workspace, Slack, Asana, GitHub, Jira, systemy księgowe online i narzędzia marketingowe.
- blokada konta w usługach chmurowych
- przekierowanie skrzynki e-mail na przełożonego lub osobę przejmującą projekty
- zabezpieczenie dysków wirtualnych oraz usunięcie dostępu do współdzielonych zasobów
Zabezpieczenie sprzętu firmowego
Gdy pracownik korzystał z laptopa, telefonu, karty SIM, klucza U2F, tabletu czy innego sprzętu, należy zadbać o jego zwrot i zabezpieczenie. Przed przekazaniem urządzenia do działu IT warto upewnić się, że nie zostały na nim żadne prywatne dane, a firmowe zasoby są nadal chronione.
- odbiór sprzętu firmowego oraz akcesoriów powiązanych z rolą pracownika
- weryfikacja szyfrowania dysków i dostępów administracyjnych
- przygotowanie urządzenia do ponownego użycia zgodnie z procedurami IT
Weryfikacja dostępów do kanałów komunikacji
W dzisiejszych firmach komunikacja odbywa się w wielu miejscach. Slack, Teams, firmowe komunikatory, narzędzia do obsługi klientów i systemy projektowe powinny zostać odpowiednio uporządkowane.
- usunięcie pracownika z grup projektowych i kanałów komunikacji
- przeniesienie własności dokumentów, tablic i projektów na inną osobę
- kontrola integracji i aplikacji, do których pracownik miał uprawnienia
Checklist bezpieczeństwa podczas odejścia pracownika z firmy – działania organizacyjne offboarding
Działania organizacyjne są równie ważne, bo zapewniają przejrzystość procesów i minimalizują błędy, które mogłyby doprowadzić do utraty danych lub braku ciągłości pracy.
Procedury HR
Działy HR powinny prowadzić proces offboardingu tak, aby wszystkie etapy były udokumentowane. Formalności związane z zakończeniem współpracy muszą iść w parze z działaniami IT.
- poinformowanie odpowiednich działów o odejściu pracownika
- ustalenie daty, od której dostęp do systemów ma zostać odebrany
- przygotowanie dokumentów związanych z zakończeniem pracy
Audyt uprawnień i danych
To moment, aby upewnić się, że pracownik nie pozostawia po sobie żadnych „białych plam”. Audyt pozwala na zidentyfikowanie wszystkich miejsc, w których osoba mogła mieć dostęp, oraz danych, które wymagają przekazania lub archiwizacji.
- przegląd ról i uprawnień w systemach
- ocena ryzyka związanego z dostępem do poufnych informacji
- weryfikacja projektów, dokumentów i repozytoriów
Checklist bezpieczeństwa podczas odejścia pracownika z firmy – działania formalne offboarding
Odejście pracownika to także proces formalny, który powinien pozostawiać jasny ślad dokumentacyjny. Dzięki temu firma może wykazać, że zachowała procedury bezpieczeństwa i odpowiednio zabezpieczyła swoje zasoby.
Dokumentacja przekazania obowiązków
Pracownik powinien przekazać informacje związane z prowadzonymi projektami, procesami i zadaniami. To ważne zarówno dla ciągłości pracy, jak i dla bezpieczeństwa danych.
- przygotowanie listy bieżących zadań i priorytetów
- przekazanie dokumentów i dostępów osobie przejmującej obowiązki
- spisanie procedur, jeśli pracownik miał wiedzę kluczową dla danej roli
Potwierdzenie zwrotu danych i sprzętu
Proces offboardingu powinien kończyć się formalnym potwierdzeniem zwrotu wszystkich danych, sprzętów i nośników. Jest to element zabezpieczenia firmy przed wyciekiem informacji.
- potwierdzenie, że wszystkie urządzenia zostały zwrócone
- weryfikacja, że dane nie zostały skopiowane ani wyniesione
- archiwizacja dokumentacji offboardingu
Najczęstsze błędy i jak ich uniknąć
Jednym z najczęstszych błędów jest brak spójnej procedury. Pracownik może zostać usunięty z jednego systemu, a pozostawiony w innym. Innym problemem jest zbyt późne odebranie dostępu do usług chmurowych albo niezaktualizowanie haseł współdzielonych, z których korzysta więcej niż jedna osoba. Zdarza się także, że firma zaniedbuje kwestie formalne, co utrudnia później wykrycie, czy wszystkie dane zostały zwrócone i zabezpieczone.
Najważniejsze rekomendacje dla firm i działów IT
Bezpieczny offboarding to nie jednorazowe działanie, ale procedura, która powinna być wdrożona na stałe. Dobrze jest opracować checklistę dla działów IT i HR, ustalić harmonogram wyłączania dostępów oraz prowadzić dokumentację przekazania sprzętu i obowiązków. Regularność, dokładność i współpraca między działami pozwalają uniknąć wielu zagrożeń i chronią firmę przed ryzykiem wycieku danych.
