Mantendo a segurança dos dados quando funcionários são demitidos ou dispensados

Quando os tempos estão difíceis, os empregadores devem apertar os cintos, o que muitas vezes envolve cortes de pessoal, seja indefinidamente ou por um período de tempo não confirmado. De qualquer forma, o processo de desligamento deve ser cuidadosamente revisado antes de fazê-lo.

O RH precisará trabalhar em estreita colaboração com o departamento de TI para coordenar sua saída e garantir que não coloque em risco dados valiosos da empresa.

Dependendo de há quanto tempo o funcionário está na empresa, essa pode não ser uma tarefa fácil. O funcionário terá acesso a diversos recursos diferentes e seus dados pessoais poderão ser espalhados por diversas plataformas e data centers.

O departamento de TI precisará gastar tempo suficiente estabelecendo uma lista de verificação abrangente, que o RH possa seguir. Abaixo estão algumas das principais áreas que precisam ser consideradas ao desenvolver uma lista de verificação de off-boarding.

Excluindo e desativando contas autorizadas

Muitas vezes, as empresas não conseguem gerenciar adequadamente as contas de usuários inativos, o que significa que os ex-funcionários ainda podem acessar os dados da empresa depois de saírem. Se o funcionário sair em más condições, ele poderá optar por fazer login novamente em sua conta por motivos maliciosos - talvez para roubar dados para obter ganhos financeiros.

Mesmo que o funcionário não tenha saído mal, ele ainda pode tentar acessar sua conta por curiosidade, tédio ou talvez por uma pegadinha. Por exemplo, eles podem decidir fazer login na conta do Twitter da empresa e enviar um tweet “engraçado”. Eles podem decidir alterar as configurações de segurança, facilitando assim a infiltração de hackers no sistema.

Alternativamente, o dispositivo do ex-funcionário pode ser perdido, roubado ou danificado e levado a uma oficina. De qualquer forma, se uma empresa não conseguir gerenciar prontamente contas de usuários inativos, há uma chance de alguém obter acesso não autorizado aos dados da empresa.

Num mundo ideal, cada funcionário teria apenas um conjunto de credenciais, que utilizaria para aceder a todos os sistemas e dados. No entanto, muitas empresas ainda podem utilizar sistemas legados desatualizados, juntamente com os seus novos sistemas.

Nesse caso, o RH precisará saber exatamente a quais sistemas o funcionário teve acesso, o que envolverá a comunicação com todos os departamentos relevantes - sendo o mais importante o de TI. Eles precisarão remover todas as contas de e-mail e redes sociais associadas ao funcionário. No entanto, dê ao funcionário a oportunidade de configurar respostas automáticas e resolver quaisquer pontas soltas antes de fazê-lo.

É claro que o gerenciamento de contas de usuários inativos pode ser feito manualmente, no entanto, deve-se observar que existem várias soluções proprietárias de auditoria em tempo real disponíveis que são capazes de detectar e gerenciar contas de usuários inativos automaticamente.

Naturalmente, se você se encontrar em uma posição em que precise cortar pessoal, qualquer solução que possa automatizar o processo de desligamento, ou qualquer outro processo nesse sentido, deve ser considerada.

Removendo Dados Pessoais

Qualquer informação relativa à demissão ou afastamento do funcionário que não seja mais necessária deve ser cuidadosamente removida do sistema. Antes de fazer isso, certifique-se de compreender suas responsabilidades legais. Por exemplo, as empresas podem ser obrigadas a reter certas informações sobre o funcionário, por exemplo, por motivos fiscais.

Certifique-se de compreender quais leis de privacidade de dados se aplicam à sua organização e as regras que estipulam quais dados podem ser armazenados e os protocolos recomendados para removê-los.

Alterando senhas compartilhadas

Embora não seja recomendado, não é incomum que os usuários compartilhem as mesmas credenciais. Conforme mencionado acima, às vezes os usuários compartilham acesso a contas de redes sociais, como LinkedIn ou Twitter. Eles também podem compartilhar o acesso a contas de e-mail privilegiadas, talvez para lidar com reclamações e dúvidas de clientes.

Naturalmente, um funcionário que tenha sido dispensado ou demitido deve ser impedido de acessar essas contas após sua saída. No entanto, o problema óbvio com contas compartilhadas é que é impossível bloquear o acesso de um único usuário à conta, sem alterar a senha da conta. Nesse caso, você deve informar todos os funcionários relevantes sobre a alteração da senha e fornecer-lhes uma data e hora específicas em que a alteração ocorrerá.

Naturalmente, você precisará garantir que todas as outras contas de usuário associadas ao funcionário demitido foram encerradas primeiro, para garantir que eles não tenham acesso à nova senha. Pode ser uma boa ideia garantir que todas as senhas compartilhadas tenham uma data de validade.

Existem soluções disponíveis que podem automatizar o processo de lembrar aos administradores de redefinir a senha da conta compartilhada.

Recuperando Dispositivos da Empresa

As empresas costumam fornecer dispositivos móveis e laptops para seus funcionários. E esses dispositivos (presumimos) terão sido verificados pelo departamento de TI para garantir que atendem aos requisitos de segurança da empresa. Quando um funcionário sai da empresa, você não apenas precisará garantir a recuperação desses dispositivos, mas também realizar verificações de segurança adicionais.

Isso pode incluir a verificação de malware, aplicativos vulneráveis ou qualquer outra coisa que possa indicar que o dispositivo foi comprometido de alguma forma. Muitos desses dispositivos terão acesso aos aplicativos e servidores da empresa, mesmo que o indivíduo que possui o dispositivo não tenha acesso a nenhuma credencial.

Antes de recuperar o dispositivo, dê ao funcionário a oportunidade de fazer uma limpeza, o que inclui fazer backup e remover quaisquer dados do dispositivo que lhe pertence. Como alternativa, ofereça-se para ajudá-los extraindo seus dados do dispositivo e enviando-os por e-mail ou salvando-os em uma unidade portátil.

Apagando todos os dados da empresa de dispositivos pessoais

Hoje em dia, cada vez mais empresas introduziram uma política Traga o seu próprio dispositivo (BYOD), que, como a sigla sugere, permite que os funcionários utilizem o seu próprio dispositivo no local de trabalho. No entanto, dados os riscos de segurança significativos que acompanham o BYOD, muitas empresas realizam verificações de segurança nestes dispositivos antes de poderem ser utilizados para aceder à rede da empresa.

Isso é ótimo, mas o que acontece quando um funcionário sai da sua organização? Idealmente, o futuro ex-funcionário permitirá que você realize outra verificação de segurança em seu dispositivo para garantir que todos os dados da empresa e aplicativos que têm acesso aos dados da empresa sejam removidos com segurança.

É claro que o funcionário demitido ou dispensado pode não estar disposto a cooperar, especialmente se estiver insatisfeito com os termos de sua demissão. Nesse caso, pode ser necessário pedir-lhes que assinem algum tipo de contrato legal, antes que possam usar o dispositivo para acessar os dados da empresa.

Comunicação efetiva

As empresas devem encontrar um equilíbrio entre garantir que os seus dados estão seguros e ser amigáveis e receptivos às preocupações do funcionário. No final das contas, você precisa da cooperação deles. Tratá-los como criminosos, quando não fizeram nada de errado, pode ter o potencial de sair pela culatra. Comunique-se com os funcionários tanto quanto possível.

Fale com eles sobre a importância da segurança dos dados e assegure-lhes que os protocolos aparentemente draconianos que você está pedindo que cumpram são necessários e não pessoais.

Se você quiser ver como o Lepide pode ajudá-lo a manter a segurança dos dados ao trabalhar com funcionários dispensados, agende hoje mesmo uma demonstração da plataforma de segurança de dados Lepide.