Offboarding
Door een bedrijf in de productiesector werden ineens spookbestellingen geplaatst vanuit het zakelijke bol.com-account en op willekeurige adressen afgeleverd. Waren ze gehacked? Ook e-mails bleken soms al gelezen voordat iemand ze op kantoor had gezien. Uiteindelijk bleek dat een recent ontslagen medewerker, die nog steeds toegang had, de dader was.
Bij kleine en middelgrote klanten is het Offboardings-proces van personeel opvallend vaak niet goed geregeld. Zij hebben niet altijd een HRM-medewerker in dienst en weten niet precies wat er moet worden geregeld.
Bij veel bedrijven zijn niet alle processen tot in detail gedocumenteerd. Omdat er geen tijd voor is, het belang wordt onderschat, of omdat door groei dit soort documenten toch heel snel achterhaald zijn.
Ook het onboardings-proces voor nieuwe mensen is vaak een ondergeschoven kindje. In mijn bedrijf krijgen we nog regelmatig op vrijdagmiddag een verzoek krijgen voor nieuwe accounts en een nieuwe laptop, oh ja en graag spoed want die nieuwe medewerker begin maandag al!
Als in het Onboardingsproces een stap ontbreekt, dan komt vaak vanzelf wel goed. De nieuwe medewerker zal het zelf wel aangeven als hij niet in een bepaalde map, mailbox of cloudpakket kan. Andersom is dat lastiger. Als een medewerker (al dan niet in goede verstandhouding) vertrekt, moet er vanalles worden geregeld. Naast het inleveren van sleutels en mobiel wordt hij ook uit de whatsappgroep verwijderd. Maar is dat alles? Van wie wordt zijn e-mailbox? Tot welke andere systemen had deze medewerker toegang?
Naast het meegluren in e-mail en bestanden, zijn er meer gevaren bij een incomplete Offboarding. Wanneer een bedrijf gebruik maakt van algemene accounts van bijvoorbeeld leveranciers, is het niet uit te sluiten dan iemand die nog kent of heeft.
Een vertegenwoordiger van een telecomleverancier die was overgestapt naar een concurrent, bood mij schaamteloos aan de einddatum van lopende contracten te vervroegen. Via haar telefoon bleek ze nog toegang had tot het administratieve systeem van haar oude werkgever.
Ook zijn er voorbeelden van bedrijven die al jaren te veel betalen aan licenties, simpelweg omdat de accounts nooit zijn beëindigd.
Niet alleen is dat een risico op gegevensinbreuk, maar kosten lopen ook onnodig door. Geen enkele organisatie kan zich veroorloven geen goede Offboarding-procedure te hebben. Ook een registratie van alle digitale systemen waar medewerkers toegang toe hebben is eigenlijk onmisbaar.
Indien er sprake is van gedeelde wachtwoorden bij systemen van leverancier, zullen die ook na elk vertrek van een medewerker moeten worden gewijzigd.
Offboarding is natuurlijk maar één van de processen die een bedrijf op orde dient te hebben. De verregaande digitalisering hebben vrijwel alle processen een ICT-component gekregen. Vanuit de overheid, banken, accountants en verzekeraars worden steeds meer en hogere eisen gesteld aan ICT-beleid. Veiligheid gaat over meer dan continuïteit en het weren van externe aanvallers.
Toegangsbeleid hoort goed te zijn ingeregeld, ook binnen de mensen van een organisatie. Als een medewerker niet meer toegang heeft dan strikt noodzakelijk, kan er ook minder lekken als het fout gaat.
Het kan organisaties enorm helpen een heldere registratie van systemen, afspraken en verantwoordelijkheden bij te houden in samenwerking met de ICT-dienstverlener.
Ronald Zijlstra
Oké-PC IT