Artikel top billede

(Foto: PC World)

Du er stoppet i virksomheden - men har stadig adgang til systemer og data

Alt for mange virksomheder glemmer at lukke for adgangen til systemer og data for de medarbejdere, der stopper i virksomheden. Har du adgang til data og systemer fra din tidligere arbejdsplads?

Hackere, malware og DDoS-angreb.

Der er nok risici, man skal forholde sig til som siekkerhedschef eller CIO i dag.

Men selvom man ofte får på fornemmelsen, at mere eller mindre hele verden står klar til at angribe ens it-infrastruktur, så er det faktisk i lige så høj grad de interne trusler, man bør fokusere på, hvis man vil undgå problemer.

I det interne trusselsbillede er kontrol af adgangsrettigheder og password-politikker ganske centrale områder - men det er langt fra altid, at virksomhederne har styr på netop de ting.

For hvad sker der, når medarbejdere forlader virksomheden?

Det logiske svar er naturligvis, at man lukker for deres adgang til systemerne, men det er bare langt fra altid tilfældet.

Sådan står det til

Vores kolleger på det amerikanske CSO Online skriver om problemet med, at forhenværende medarbejdere efter deres afgang stadig tilgår viksomhedens filer, cloud-services og andre konti.

Cloud-virksomheden Intermedia har eksempelvis foretaget en undersøgelse, der konkluderer, at 89 procent af de voksne amerikanere har oplevet at have adgang til mindst en applikation fra en tidligere arbejdsgiver.

49 procent har prøvet at logge ind på en konto, som det ikke var meningen, at de stadig skulle have adgang til.

Samtidig svarer 45 procent af respondenterne i Intermedia-undersøgelsen ifølge CSO Online, at de stadig havde adgang til fortrolige data, selvom de var stoppet i virksomheden.

Selvom den ikke er givet, at resultaterne fra den amerikanske undersøgelse kan overføres til Danmark, så er problemstillingen reel nok.

Læs også: Trin for trin: Sådan misbruger andre din adgang til kritiske data

Få styr på adgangsrettighederne

Det samme er de råd, som CSO Online og Intermedia også bringer i artiklen.

De går blandt andet på, at man ikke skal vente, til medarbejderen er stoppet med at få overblikket over de konti, personen har adgang til, og man skal heller ikke vente med at sikre sig kontrollen over deres login-rettigheder.

Man bør naturligvis også have helt klare processer for, hvad der skal ske, nå en medarbejder stopper.

Det gælder lige fra, at man skal huske at have nøglen til hoveddøren til, at man skal have lukket for eks-medarbejderens adgang til systemerne.

Som CSO Online også påpeger, så vil de fleste større virksomheder have et active directory, der kan hjælpe med dette arbejde, mens små virksomheder måske håndterer adgangskontrollen på andre måder.

Læs også: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

En af anbefalingerne går også på, at man er særligt opmærksom på adgangen til cloud-services, der jo i sagens natur typisk kan tilgås fra en hvilken som helst maskine - og altså også, når man ikke er på virksomhedens netværk længere.

Endelig lyder et godt råd, at man undlader at dele loginoplysninger til eksempelvis servere, netværk og forskellige applikationer, men i stedet sikrer, at hver enkelt medarbejder har sit eget login.

Gælder også eksisterende medarbejdere

Uanset hvordan I griber adgangsrettighederne an i din virksomhed, bør I også med jævne mellemrum gennemgå, hvem der har adgang til de kritiske systemer og data i virksomheden.

I CSO Online-artiklen lyder anbefalingen, at det bør ske hver halve eller hele år.

Samtidig skal man huske på, at det ikke kun er relevant at have kontrol med adgangsrettighederne for de medarbejdere, der er stoppet i virksomheden - dem, der er ansat, skal man også have styr på, så medarbejderne kun har adgang til de relevante systemer og data.

Amerikanske Ponemon Instuture har tidligere foretaget en undersøgelse blandt 2.276 medarbejdere fra virksomheder i USA og Europa, og her lød konklusionen, at "medarbejderne er vidne til en mangel på kontrol af filadgangen og brugen af virksomheds-data."

Læs også: Her er prisen: Det skal vi have for at sælge vores adgangskoder

Adgangskoder bør i det hele taget være et vigtigt punkt på sikkerheds-agendaen i virksomhederne.

For nylig spurgte sikkerhedsleverandøren SailPoint 1.000 medarbejdere fra store virksomheder rundt rundt omkring i verden, om de ville være villige til at sælge en fortrolig adgangskode?

Konklusionen var, at hver syvende medarbejder er villig til at sælge sin adgangskode til en ekstern part for 150 dollars.

Selvom der var tale om en global undersøgelse, der ikke nødvendigvis siger noget om, hvad en medarbejder med en dansk lønindkomst eventuelt vil være villig til at sælge sin virksomheds-adgangskode eller fortolige data for, så er også denne problemstilling reel.

Her i Danmark har vi blandt andet haft den meget omtalte sag med tys-tys-kilden: En IBM-medarbejder, der solgte fortrolige kreditkort-informationer fra Nets til Se og Hør.

Læs også:

Trin for trin: Sådan misbruger andre din adgang til kritiske data

Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

Derfor kan din 'stærke' adgangskode være totalt usikker - også selvom du får noget andet at vide

Trojansk hest jagter dine adgangskoder: Sådan kan du forsvare dig

Derfor er dine web-adgangskoder alt for ringe

Her er prisen: Det skal vi have for at sælge vores adgangskoder