Du er stoppet i virksomheden - men har stadig adgang til systemer og data

Alt for mange virksomheder glemmer at lukke for adgangen til systemer og data for de medarbejdere, der stopper i virksomheden. Har du adgang til data og systemer fra din tidligere arbejdsplads?

Hackere, malware og DDoS-angreb.

Der er nok risici, man skal forholde sig til som siekkerhedschef eller CIO i dag.

Men selvom man ofte får på fornemmelsen, at mere eller mindre hele verden står klar til at angribe ens it-infrastruktur, så er det faktisk i lige så høj grad de interne trusler, man bør fokusere på, hvis man vil undgå problemer.

I det interne trusselsbillede er kontrol af adgangsrettigheder og password-politikker ganske centrale områder - men det er langt fra altid, at virksomhederne har styr på netop de ting.

For hvad sker der, når medarbejdere forlader virksomheden?

Det logiske svar er naturligvis, at man lukker for deres adgang til systemerne, men det er bare langt fra altid tilfældet.

Sådan står det til
Vores kolleger på det amerikanske CSO Online skriver om problemet med, at forhenværende medarbejdere efter deres afgang stadig tilgår viksomhedens filer, cloud-services og andre konti.

Cloud-virksomheden Intermedia har eksempelvis foretaget en undersøgelse, der konkluderer, at 89 procent af de voksne amerikanere har oplevet at have adgang til mindst en applikation fra en tidligere arbejdsgiver.

49 procent har prøvet at logge ind på en konto, som det ikke var meningen, at de stadig skulle have adgang til.

Samtidig svarer 45 procent af respondenterne i Intermedia-undersøgelsen ifølge CSO Online, at de stadig havde adgang til fortrolige data, selvom de var stoppet i virksomheden.

Selvom den ikke er givet, at resultaterne fra den amerikanske undersøgelse kan overføres til Danmark, så er problemstillingen reel nok.

Læs også: Trin for trin: Sådan misbruger andre din adgang til kritiske data

Få styr på adgangsrettighederne
Det samme er de råd, som CSO Online og Intermedia også bringer i artiklen.

De går blandt andet på, at man ikke skal vente, til medarbejderen er stoppet med at få overblikket over de konti, personen har adgang til, og man skal heller ikke vente med at sikre sig kontrollen over deres login-rettigheder.

Man bør naturligvis også have helt klare processer for, hvad der skal ske, nå en medarbejder stopper.

Det gælder lige fra, at man skal huske at have nøglen til hoveddøren til, at man skal have lukket for eks-medarbejderens adgang til systemerne.

Som CSO Online også påpeger, så vil de fleste større virksomheder have et active directory, der kan hjælpe med dette arbejde, mens små virksomheder måske håndterer adgangskontrollen på andre måder.

Læs også: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

En af anbefalingerne går også på, at man er særligt opmærksom på adgangen til cloud-services, der jo i sagens natur typisk kan tilgås fra en hvilken som helst maskine - og altså også, når man ikke er på virksomhedens netværk længere.

Endelig lyder et godt råd, at man undlader at dele loginoplysninger til eksempelvis servere, netværk og forskellige applikationer, men i stedet sikrer, at hver enkelt medarbejder har sit eget login.

Gælder også eksisterende medarbejdere
Uanset hvordan I griber adgangsrettighederne an i din virksomhed, bør I også med jævne mellemrum gennemgå, hvem der har adgang til de kritiske systemer og data i virksomheden.

I CSO Online-artiklen lyder anbefalingen, at det bør ske hver halve eller hele år.

Samtidig skal man huske på, at det ikke kun er relevant at have kontrol med adgangsrettighederne for de medarbejdere, der er stoppet i virksomheden - dem, der er ansat, skal man også have styr på, så medarbejderne kun har adgang til de relevante systemer og data.

Amerikanske Ponemon Instuture har tidligere foretaget en undersøgelse blandt 2.276 medarbejdere fra virksomheder i USA og Europa, og her lød konklusionen, at "medarbejderne er vidne til en mangel på kontrol af filadgangen og brugen af virksomheds-data."

Læs også: Her er prisen: Det skal vi have for at sælge vores adgangskoder

Adgangskoder bør i det hele taget være et vigtigt punkt på sikkerheds-agendaen i virksomhederne.

For nylig spurgte sikkerhedsleverandøren SailPoint 1.000 medarbejdere fra store virksomheder rundt rundt omkring i verden, om de ville være villige til at sælge en fortrolig adgangskode?

Konklusionen var, at hver syvende medarbejder er villig til at sælge sin adgangskode til en ekstern part for 150 dollars.

Selvom der var tale om en global undersøgelse, der ikke nødvendigvis siger noget om, hvad en medarbejder med en dansk lønindkomst eventuelt vil være villig til at sælge sin virksomheds-adgangskode eller fortolige data for, så er også denne problemstilling reel.

Her i Danmark har vi blandt andet haft den meget omtalte sag med tys-tys-kilden: En IBM-medarbejder, der solgte fortrolige kreditkort-informationer fra Nets til Se og Hør.

Læs også:

Trin for trin: Sådan misbruger andre din adgang til kritiske data

Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

Derfor kan din 'stærke' adgangskode være totalt usikker - også selvom du får noget andet at vide

Trojansk hest jagter dine adgangskoder: Sådan kan du forsvare dig

Derfor er dine web-adgangskoder alt for ringe

Her er prisen: Det skal vi have for at sælge vores adgangskoder




Premium
Derfor er SAP ramt af kæmpe nedtur trods stor stigning i indtjeningen
ComputerViews: Mægtige SAP’s markedsværdi er på et øjeblik styrtdykket i den største enkeltstående nedtur for selskabet siden 1999. Selskabet er krise. Se her hvorfor.
Computerworld
Salling Group lukker stor online-satsning efter kun et år
Millionsatsningen Fillop lukker ved årets udgang. I stedet er supermarkeds-giganten Salling Group nu på vej med en række helt nye online-satsninger, der er affødt af coronakrisen.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Optimér netværket til håndtering af hybrid- og multicloud infrastruktur
I januar 2020 konstaterede Gartner, at cloudcomputing var blevet ”The New Normal” – og op gennem året gjorde Covid-19 det endda helt essentielt at være i stand til at drifte infrastrukturen helt eller delvist fra skyen. Situationen har tvunget virksomheder til hastigt at omstille eller gentænke deres driftsstrategi, og hybride infrastrukturmodeller er nu mere udbredte end nogensinde før. Men mange har også været nødt til at erkende, at den stigende kompleksitet – i særdeleshed på det netværks- og sikkerhedsbaserede felt – stiller helt nye krav til de organisationer, der anvender dem. Denne hvidbog går i dybden med nogle af de mest udbredte udfordringer, som disse transformationsscenarier stiller din organisation overfor. Den giver et solidt bud på, hvordan en netværkshub baseret på Interxion-teknologi gør det muligt at gentænke og optimere netværksinfrastrukturen. Særligt med henblik på at optimere den til at kunne håndtere en hybrid- eller multicloudbaseret infrastruktur.