روش‌های محافظت داده‌های سازمانی در زمان ترک کارمندان

Data Protection

آمارها نشان می‌دهد که سازمان‌ها و شرکت‌ها با هک شدن توسط کارمندان سابق ناراضی یا عصبانی میلیون‌ها دلار ضرر می‌کنند. اکثریت کارمندان که سازمانی را ترک می‌کنند افراد راست‌گو، درستکار و باانصاف هستند اما در مواقعی افرادی را می‌توان یافت که سازمان را باحالت دعوا و دلخوری ترک می‌کنند و قبل از ترک سعی بر هک کردن سیستم‌ها و شبکه‌های سازمانی برای دزدی اطلاعات دارند.
حفاظت از سرمایه‌های سازمانی در برابر کارمندان سابق امروزه سخت‌تر از گذشته است، چون داده‌های سازمانی در مکان‌های مختلفی، از کلاود تا وسایل موبایلی کارمندان، وجود دارد. موارد زیر چندین اقدام پیشنهادی برای محافظت از داده‌های سازمانی در مقابل تعداد محدود کارمندان سابق ناراضی و انتقام‌جو می‌باشد.روش‌های محافظت داده‌های سازمانی در زمان ترک کارمندان

1. محدود نمودن دسترسی‌ها در وسایل موبایلی (De-provision): اولین اقدام سازمان‌ها باید محدود نمودن دسترسی‌ها و روند انتقال فایل و پوشه‌ها در جهت آزادسازی منابع (de-provisioning) باشد. بسیار از سازمان‌ها درگیر این مسئله هستند.
شاید محدودسازی آنها در داخل شبکه مناسب باشد، اما در لایه برنامه (application-level) سازمان‌ها ضعیف عمل می‌کنند. مدیریت دسترسی معمولاً نامتمرکز است و در درون برنامه متعلق به کاربر و یا واحد کسب‌وکار فعال است. سازمان‌ها بهتر است پروسه‌هایی را اجرا کنند که هشدار خاتمه و فسخ برنامه‌ها و غیره را به مالکان برنامه اطلاع‌رسانی می‌کند.
محدود نمودن دسترسی‌ها می‌تواند مشکل‌ساز باشد بخصوص زمانی که مدیریت دسترسی و کنترل‌های مربوطه مابین یک سیستم IT مرکزی و مالکین داده‌ها تقسیم‌شده است. طراحی و اجر آ کنترل‌های دسترسی کاربران نیز ریسک‌هایی در بردارد. سازمان‌ها باید گزارش‌ها و آمارهای دقیقی از دسترسی محول شده به کارمندان را داشته باشند. باید تعیین شود که چه کسی اجازه و دسترسی مداوم به داده‌ها را دارد و اطمینان حاصل شود که در زمان نیاز به تغییر یا عدم دسترسی، افراد مربوط ازاین‌گونه موارد آگاه شوند. در اکثر مواقع راه‌حل مدیریت ریسک نیاز فقط به بهبود در ارتباطات را دارد. درنتیجه ارتباطات مابین بخش IT و منابع انسانی باید بسیار قوی و هماهنگ باشد.
ابزار استفاده‌شده برای محدود نمودن دسترسی باید از بیشترین استانداردهای API، برای دسترسی به سیستم‌های مختلف و قطع کردن یا حذف دسترسی کاربران، برخوردار باشد. به‌عنوان‌مثال این ابزار باید بتواند حساب‌های ایمیل را بلوکه یا حذف کند، دسترسی را از Active Directory حذف کند و دسترسی Sharepoint را بردارد. می‌توان دسترسی به رسانه‌های اجتماعی داخلی و سیستم‌های توسعه محصول را از همین طریق مدیریت نمود. این ابزار باید بتواند که ID های SAP و گاوصندوق داده‌های محصول PTC را در توسعه محصول نیز حذف کند. این برنامه باید همچنین بتواند که ایمیل‌های هشدار به مدیر حساب‌های کاربری بفرستد و یک ردپای حسابرسی به وجود بیاورد.
این‌گونه نرم‌افزار قطع دسترسی به تمام سیستم‌ها را در محیط‌های بزرگ IT آسان می‌کند و مراحل کار را با اتوماسیون بیشتری انجام می‌دهد. تمامی پروسه نیز از طریق بخش نیروی انسانی فعال می‌گردد.
برای کارمندی که قرار است سازمان را ترک کند یا استعفا داده است، به‌خصوص اگر او در بخش سازمانی دارای اطلاعات حساس مانند استراتژی سازمانی یا توسعه محصول کارکرده باشد، می‌توان پروسه محدودسازی و حذف دسترسی را قبل از ترک کارمند از سازمان شروع کرد و در موارد دیگر به مدیران بخش مربوط اطلاع‌رسانی شود. در حالت معمول حساب‌های کاربری تا زمان تائید گرفتن اتمام کار از کارمند حذف نمی‌شوند.

2. استفاده از ابزارهای اتوماسیون: در زمان ترک کارمند به هر دلیلی، این امر باید فورآ و به‌صورت خودکار توسط بخش نیروی انسانی به بخش IT برای محدودیت و حذف دسترسی حساب‌های کاربری ابلاغ گردد. برای این امر برنامه‌های پیشرفته زیادی وجود دارد. در راستایی اجر آ امنیت گسترده‌تر، برنامه‌های نرم‌افزاریoff-the-shelf وجود دارد که از خروج قطعی کارمندان سطح بالا از سیستم‌های سازمانی اطمینان حاصل می‌کنند و در سازمان‌هایی متعددی در حال استفاده هستند.
نرم‌افزارهای مدیریت شناسه Privileged اطمینان حاصل می‌کنند که کارمندان سابق با بالاترین سطوح اختیارات، شامل اعضا هیئت‌مدیره و مدیران سیستم و شبکه، نمی‌توانند از دسترسی بالا و full-access خود سوءاستفاده کنند و به سازمان ضرر رسانده یا خراب‌کاری کنند.
برخی از کارشناسان یک روش جامع را توصیه می‌کنند و میگویند که بدون یک برنامه‌ریزی جامع پروسه مدیریت بر شناسه و دسترسی مؤثر نخواهد بود. استقرار مکانی داده‌ها در حال پراکندگی است و نمی‌توان نظارت کافی بر همه دادها داشت پس‌نیاز تقسیم‌بندی داده‌ها اصل مهمی بر “مدیریت برداده” است.
یکی از عوامل مهم برای تمامی سازمان‌های بزرگ، داشتن یک پروسه تصدیق یا گواهی کردن (attestation) اتوماسیون است که در آن مالکان کسب‌وکار تائید می‌کنند که چه افرادی بر اساس نقش و سمت در سازمان به چه داده‌هایی دسترسی خواهند داشت. این کار درگذشته به‌صورت دستی و توسط spreadsheet انجام می‌شد اما باوجود نرم‌افزارهای اتوماسیون، قابل به‌روزرسانی و ارسال هشدار برای چنین وقایعی در زمان کشف ایراد، مشکلات پروسه تصدیق و گواهی کاهش‌یافته است.

3. پاک‌سازی و حذف داده وسایل: در محیط‌هایی که می‌توان در آن وسیله و دستگاه‌های شخصی (BYOD) داشت، کارمندان در حال ترک سازمان وسایل خود را توسط بخش IT پاک‌سازی می‌کنند و داده‌ها حذف می‌شود. در مواردی خود کارمندان پاک‌سازی را انجام می‌دهند، اما قبل از اجر آ این کار بخش IT باید از نوع داده‌های موجود در وسیله یا دستگاه آگاه باشد. سازمان‌ها باید مشخص کنند که چه نوع داده‌هایی به‌عنوان سرمایه‌های فیزیکی محسوب می‌شوند (مانند ID بر روی تلفن موبایل). برخی از سازمان‌ها پس از تعیین این معیار ممکن است که در تعیین داده‌هایی که باید حذف شود شک داشته باشند. شرکت‌هایی که تحت نظارت قانونی هستند کمتر در این راستا با مشکل مواجه می‌شوند. بهتر است که از طریق یک قرارداد امضاشده قانونی سازمان‌ها کارمندان را از نیاز به حذف یا محدود کردن داده‌ها و مسئولیت‌ها و تعهدهای آنان در قبال سازمان آگاه نمایند و در کارم ندادن تعهد ایجاد نمایند.

4. توجه داشتن به کلاود: پس از خروج کارمند از سازمان، دسترسی وی به کلاود ممکن است مسائل خاصی ایجاد کند چون کلاود یک کانال غیرقابل‌کنترل است. داشتن سیاست‌هایی، قبل از خروج کارمند از سازمان، برای کنترل روند انتقال داده‌های سازمانی از طریق کلاود تأثیر به سزایی بر امنیت دارد. سازمان‌ها بهتر است که سیاست‌ها و روندهای را به اجرا بگذارند و مشخص نمایند که کدام سایت‌ها و محتوی مجاز هستند و کدام باید بلوکه شوند. باید از انتقال داده‌ها به محل‌هایی که در آن visibility وجود ندارد، مانند Dropbox و سایر خدمات کلاود، جلوگیری شود. یک روش مناسب برای این کار ارسال یک presentation از برنامه به کلاود به‌جای ارسال بیت‌های واقعی برنامه می‌باشد.
اکثر برنامه‌های موبایلی Stack از طریق کلاود (داخلی و خارجی) عمل می‌کنند در زمان دیدن داده‌های مالی، داده‌های واقعی دیده نمی‌شوند و فقط presentation مشاهده می‌شود که یعنی مقایسه بیت با پیکسل. برای کلاود و داده‌های موبایلی نیاز است که فقط presentation را دانلود کنید. با این حساب داده‌های کمتری بر روی وسایل موبایلی قرار خواهد گرفت. برای مثال اگر یک spreadsheet را در یک مرورگر اصلاح کنید، همه آن به‌صورت پیکسل است و در زمان قطع کردن خدمات به آن دسترسی وجود ندارد.روش‌های محافظت داده‌های سازمانی در زمان ترک کارمندان

چون داده‌های استراتژی سازمانی و توسعه محصول از نوع بسیار حساس هستند، نمی‌توان آنرا در Google Drive ذخیره نمود. توصیه می‌گردد که افرادی که بر روی پروژه‌های حساس کار می‌کنند احتیاط لازم را به عمل‌آورده و از اطلاعات خود محافظت کنند.