Empregado não mais com a empresa

O RH deve coordenar com a TI antes que o funcionário seja efetivamente encerrado. Dessa forma, a TI pode remover o acesso antes que a ação ocorra. Isso é importante porque impede que o funcionário exclua ou remova dados que eles a) não queriam que a empresa visse ou b) quisessem excluir para prejudicar a empresa (por meio de perda de tempo, perda de pesquisa, perda de registro, etc.) de alguma forma.

É também importante que a TI não remova quaisquer dados, por razões semelhantes às de b). As empresas geralmente precisam recuperar e recuperar os dados dos funcionários anteriores por motivos legais, além dos motivos de continuidade dos negócios. A TI só deve conceder acesso a esses dados a pessoas aprovadas pelo RH.

Primeiro: faça o seu processo informar ao I / T antes de informar ao funcionário que ele foi encerrado. Tê-los retirados antes que eles saibam que eles estão demitidos.

Segundo: mantenha registros detalhados e cuidadosos de todos os sistemas aos quais o usuário tem acesso e remova-os em ordem de prioridade. Certifique-se de que as pessoas em I / T compreendam de quem é a responsabilidade de remover cada acesso.

Terceiro: no caso de um disparo "fora do cuff", detalhe alguém para ficar de olho no funcionário até que a I / T termine de remover seus privilégios.

Supondo que você não está demitindo-os por fraude ou qualquer coisa.

Antes de começar a política de colocar sacos pretos na cabeça deles, e arrastá-los chutando e gritando do prédio - pense na interação futura que você terá com eles. Se você precisar ligar para um ex-administrador de sistema uma semana depois, para perguntar como algum sistema que você esqueceu realmente funciona, isso ajuda a lidar com eles como um profissional e não como um potencial terrorista.

Você simplesmente implementa o procedimento pré-estabelecido.

i.e. A coisa mais importante é que você já tem um plano e não apenas se arrisca fazendo o que vem à mente no momento. Se você tem meses para pensar e desenvolver um plano, será muito melhor do que se você pensar sobre isso.

Ah, e pelo que vale dizer, eu me preocupo mais com coisas físicas (chaves, construção de acesso, armazenamento de usuários, cópias de mídia) do que bloquear eletronicamente - a maioria das perdas de dados mal-intencionadas vem dessas formas puramente eletrônicas.

• coordene com o RH
• desligue o computador enquanto o funcionário está sendo demitido / solto
• O RH acompanha o funcionário do prédio
• mude, no mínimo, as senhas das contas
• determine se as contas precisam ser salvas / passadas, etc.
• tome as medidas adequadas daqui (exclua contas, arquive contas, encaminhe e-mail um pouco, etc.)

Como uma nota lateral, é uma questão muito mais longa e imediata se for uma I.T. pessoa que você tem que deixar ir, dada a quantidade de acesso de administrador que eles podem ter para tudo.

Esta é mais uma questão processual do que técnica. Basicamente, você precisa ter um processo de provisionamento e um processo de desprovisionamento. As pessoas tendem a esquecer o desprovisionamento.

Esse processo pode ser tão simples quanto "ligue para fulano e crie contas" ou pode envolver a abertura de tíquetes de help desk ou pode ser feito por um aplicativo corporativo. Isso não é realmente relevante - o que é relevante é que você precisa lidar com isso de forma consistente e ter um plano pré-estabelecido.

Temos alguns armazenamentos de identidade do usuário e um modelo de administrador delegado. Essencialmente, um representante designado em cada unidade de negócios pode acessar o sistema de provisionamento e configurar contas de usuário. Um ticket é aberto com suporte de TI para atribuir / designar PCs, e um ticket com outra organização cuida dos cartões de acesso ID / building / parking.

O que acontece com os dados depende da organização. Os locais que são processados geralmente tendem a sair primeiro, fazer perguntas depois. Outros lugares variam muito. Eu trabalhei em alguns lugares que expurgaram tudo, outros lugares que mantinham dados críticos no diretório pessoal de um engenheiro que saiu cinco anos antes.

Acho que a melhor prática é "apreender" os dados do PC e do diretório inicial por algumas semanas, depois excluir tudo, a menos que haja uma boa razão para não fazê-lo.

Todo sistema precisa de um proprietário do sistema responsável por isso. Eles podem delegar tarefas como essa para o administrador desse sistema, mas é a tarefa do proprietário iniciar a mudança, portanto, o proprietário deve saber se deve priorizar a remoção do acesso e assim por diante. Dependendo do tamanho, o CSO ou qualquer que seja o título em inglês para o responsável pela segurança da informação deve coordenar e / ou solicitar rotinas específicas a serem seguidas quando isso acontecer.

Tenha uma rotina / política manual para começar se as propriedades não estiverem claras o suficiente e então começar a automatizar as partes que parecem caras ou geralmente problemáticas.

Percorrendo todo o caminho, há sistemas de ciclo de vida de identidade para procurar também ajudar a gerenciar isso.