83 procent af tidligere ansatte opdager efter ansættelses ophør, at de stadig kan logge på interne systemer i virksomhedens netværk.
Og 56 procent - over halvdelen - af disse har udnyttet denne adgang for blandt andet at læse mails og tilgå dokumenter.
Det viser en undersøgelse foretaget af it-leverandøren Beyond Identity, som er foretaget i USA, Storbritannien og Irland blandt 903 personer.
Og "Resultater af lignende undersøgelser fra Beyond Identity med respondenter i Norden gør, at it-sikkerhedsfirmaet ikke har grund til at antage, at forholdene skulle være anderledes i Danmark," lyder det fra virksomheden.
Vi lever i en tidsalder hvor dét at skifte job er mere og mere almindeligt. Udskiftningen blandt medarbejderne er stor i de fleste brancher i dag, og coronakrisen har - efter de første måneders vente-tilstand i begyndelsen af 2020 - i den grad sat skub i modtageligheden for nye jobtilbud.
Derfor bliver det kun mere aktuelt for virksomhedslederne at få etaberet en sikker rutine, når ansatte finder nye græsgange, for at få lukket af for systemer og interne netværk.
31 procent af de tidligere medarbejdere i Beyond Identitys undersøgelse erkender decideret at have stjålet dokumenter fra deres tidligere arbejdsplads.
Og hele 74 procent af de adspurgte virksomhedsledere i undersøgelsen svarer, at deres virksomheder er blevet påvirket negativt af, at en tidligere ansat har haft adgang til sin brugerkonto som medarbejder.
For de virksomheder, der ønsker at lukke porten efter de tidligere medarbejdere, skal der både procedurer og teknologi til, mener Patrick McBride der er CMO og sikkerhedekspert hos Beyond Identity.
"Grundlæggende skal procedurerne sikre, at alle de adgangsrettigheder, som en medarbejder havde under arbejdet, fratages ved ansættelsens ophør. Men det er ofte lettere sagt end gjort," siger McBride.
En fast procedure, der bør foretages, når en medarbejder stopper leverer Patrick McBride i punktform:
1. fjern alle adgangsrettigheder ved opsigelse.
2. Sørg for at diskutere adgang med medarbejderens leder og deres teammedlemmer for at afgøre, om medarbejderen havde adgang til systemer, der ikke var en del af virksomhedens it-regime.
3. Dobbelt- og tredobbelt tjek af adgangsrettigheder, hvis medarbejderen havde forhøjede "administrative" rettigheder til systemer. Især hvis medarbejderen blev opsagt eller ikke forlod virksomheden på god fod med ledelsen.
"I så fald vil du gerne sikre dig, at medarbejderen ikke gav adgang til en falsk medarbejder, der vil give den tidligere medarbejder adgang, selv efter at vedkommendes egne legitimationsoplysninger blev fjernet," vurderer McBride.
Det er ikke kun når medarbejdere forlader virksomheden, at de givne rettigheder i systemerne bør gennemgås.
"Selv med god teknologi bør organisationen implementere årlige procedurer til revision af applikationsbrug på tværs af afdelinger for at sikre, at nye systemer er inkorporeret i identitetsstyringsprocessen."
Nogle større organisationer implementerer også IAG-løsninger (identity and access governance), der hjælper med at automatisere processen med at revidere og justere adgangsrettigheder på periodisk basis.
