העובד עזב, הגישה נשארה: מדריך אבטחה מקיף לסגירת הרשאות

תהליך עזיבת עובד לקוי הוא פרצת אבטחה שקטה אך מסוכנת. למדו כיצד לנהל תהליך Offboarding מאובטח, לחסום גישה בזמן ולמנוע דליפת מידע קריטי.
בקצרה: תהליך עזיבת עובד ('Offboarding') לקוי הוא פרצת אבטחה קריטית, המשאירה 'חשבונות רפאים' פעילים וחושפת את העסק לדליפת מידע. ניהול צ'קליסט אבטחה קפדני לביטול מיידי של הרשאות גישה למייל, CRM ומערכות SaaS הוא צעד הכרחי להגנה על המידע והנכסים הדיגיטליים של הארגון.

העובד עזב, הגישה נשארה: מדריך אבטחה מקיף לסגירת הרשאות

עזיבת עובד היא חלק טבעי מהחיים בכל עסק. יש לחיצת יד, איחולי הצלחה, ולפעמים גם הרמת כוסית. אבל מה קורה אחרי שהדלת נסגרת? בעולם הדיגיטלי, 'לחיצת היד' החשובה ביותר היא ניתוק הגישה למערכות המידע שלכם. הזנחה של שלב קריטי זה פותחת דלת אחורית לנכסים היקרים ביותר שלכם, והופכת את העזיבה התמימה לסיכון אבטחה ממשי.

מדוע תהליך עזיבה הוא פצצת זמן מתקתקת?

הנתונים מציירים תמונה מדאיגה. על פי מחקר של Beyond Identity משנת 2022, מבין העובדים שעזבו ושמרו על גישה למערכות המעסיק הקודם, 56% הודו שניצלו גישה זו כדי להזיק למעסיקם. הבעיה נפוצה יותר ממה שנדמה: לפי מחקר של OneLogin שפורסם בשנת 2017, נמצא שכ-48% מהארגונים היו מודעים לכך שלעובדים לשעבר עדיין יש גישה ליישומים ארגוניים. באותו מחקר צוין שכ-20% מהארגונים דיווחו שחוו דליפת מידע שקושרה ישירות לעובדים לשעבר. תהליך עזיבה (Offboarding) שאינו מנוהל בקפידה אינו רק רשלנות, הוא הזמנה פתוחה לגניבת מידע, חבלה תפעולית ונזק תדמיתי.

המדריך החיוני: צ'קליסט אבטחה לביטול גישה מאובטח (Offboarding)

ניהול נכון של עזיבת עובד דורש תהליך סדור ושיטתי. עקבו אחר הצעדים הבאים כדי להבטיח 'פרידה דיגיטלית' נקייה ובטוחה.

שלב 1: תיאום ותקשורת מיידית

הכל מתחיל בתקשורת. ברגע שמועד העזיבה נקבע, מחלקת משאבי אנוש חייבת לעדכן באופן מיידי ומסודר את מחלקת ה-IT או את הגורם האחראי על מערכות המחשוב. ללא התראה מוקדמת, לא ניתן לבצע את יתר השלבים בזמן.

שלב 2: ביטול גישה ביום העבודה האחרון

זהו השלב הקריטי ביותר. יש לבצע את הפעולות הבאות באופן מיידי ביום העבודה האחרון של העובד, ורצוי מספר שעות לפני שעת הסיום המתוכננת. במקרים של פיטורין, מומלץ לשקול ביטול גישה עוד לפני מסירת ההודעה לעובד.

  • השבתת חשבון משתמש ראשי: יש לבטל (Disable) את החשבון המרכזי במערכת ניהול הזהויות (כמו Google Workspace, Microsoft 365, Okta). פעולה זו חוסמת את הגישה הראשית למרבית המערכות.
  • ביטול הרשאות פרטני: יש לוודא ביטול גישה לאפליקציות ופלטפורמות SaaS (כמו CRM, מערכות דיוור, כלי ניהול פרויקטים) שאינן מקושרות למערכת ניהול הזהויות הראשית.
  • חסימת גישה מרחוק: יש לבטל לאלתר את כל אישורי הגישה מרחוק, כולל VPN, כדי למנוע כניסה לרשת הארגונית מחוץ למשרד.
  • איפוס סיסמאות לחשבונות משותפים: אם לעובד הייתה גישה לחשבונות משותפים (למשל, חשבון מדיה חברתית או תיבת מייל של מחלקה), יש להחליף את הסיסמאות באופן מיידי.

שלב 3: ניהול נכסים דיגיטליים ופיזיים

לאחר חסימת הגישה, יש לנהל את הנכסים שהשאיר העובד. זה כולל העברת בעלות על קבצים חשובים, הגדרת העברת מיילים אוטומטית (בכפוף למדיניות החברה) לתקופה מוגבלת, וארכוב תיבת הדואר של העובד למטרות תיעוד. במקביל, יש לוודא איסוף מסודר של כל הציוד הפיזי: מחשב נייד, טלפון, כרטיסי אשראי עסקיים וכרטיסי כניסה למשרד.

שלב 4: ביקורת ותיעוד

לאחר ביטול הגישה, בצעו סקירה של יומני הפעילות (logs) של המשתמש כדי לוודא שלא נעשו פעולות חשודות לפני העזיבה. תעדו את כל שלבי תהליך ה-Offboarding לצורכי ביקורת עתידית.

מהם 'חשבונות רפאים' ומדוע הם מסוכנים כל כך?

'חשבונות רפאים' (Ghost Accounts) הם חשבונות משתמש שנותרו פעילים במערכות הארגון לאחר שהעובד עזב. חשבונות אלה הם פרצת אבטחה חמורה מכמה סיבות: הם אינם מנוטרים, קל לשכוח מקיומם, ולעיתים קרובות הם עדיין מחזיקים בהרשאות גישה גבוהות. חשבון כזה יכול לשמש את העובד לשעבר לגישה לא מורשית, או להפוך למטרה נוחה עבור תוקפים חיצוניים שמחפשים דריסת רגל ברשת הארגונית שלכם.

השלבים הבאים: בניית תהליך Offboarding חסין תקלות

טיפול נקודתי אינו מספיק. כדי להגן על העסק באופן שיטתי, חשוב להפוך את תהליך העזיבה לחלק בלתי נפרד ממדיניות האבטחה שלכם. הנה כמה צעדים מעשיים להתחיל איתם:

  • מפו את כל המערכות: צרו רשימה מרכזית ומעודכנת של כל התוכנות, הפלטפורמות והשירותים בעסק הדורשים הרשאות גישה.
  • בנו צ'קליסט רשמי: הפכו את השלבים במדריך זה לצ'קליסט מחייב עבור כל עזיבת עובד, עם אחריות ברורה למשאבי אנוש ול-IT.
  • שקלו פתרונות אוטומציה: תהליכים ידניים נוטים לטעויות אנוש. בחינת כלים לניהול זהויות (IdP) ואוטומציה של תהליכים יכולה לסגור את הפרצות הללו באופן כמעט הרמטי.
  • התייעצו עם מומחה: אם אינכם בטוחים מהיכן להתחיל או כיצד למפות את כל הסיכונים, שירותי אבטחת סייבר מקצועיים יכולים לבנות עבורכם תהליך מותאם אישית שיגן על העסק שלכם.

שאלות נפוצות

מתי בדיוק יש לחסום את הגישה של עובד שעוזב?

יש לחסום את הגישה באופן מיידי ביום העבודה האחרון של העובד, ולעתים קרובות מומלץ להתחיל את תהליך ביטול ההרשאות מספר שעות לפני שעת העזיבה המתוכננת. במקרים של פיטורין, הנחיית NIST היא לשקול ביטול גישה עוד לפני מסירת ההודעה לעובד.

מהם 'חשבונות רפאים' (Ghost Accounts) ומדוע הם מסוכנים?

חשבונות רפאים הם חשבונות משתמש שנותרו פעילים ברשת הארגונית לאחר שהעובד שהיה משויך אליהם עזב. הם מהווים סיכון אבטחה חמור מכיוון שהם אינם מנוטרים, ולעיתים קרובות בעלי הרשאות גבוהות, מה שהופך אותם למטרה נוחה עבור תוקפים חיצוניים או לשימוש לרעה על ידי העובד לשעבר.

האם מספיק רק לאפס את הסיסמה של העובד?

לא. איפוס סיסמה בלבד אינו מספיק. יש לבטל (Disable) את החשבון הראשי במערכת ניהול הזהויות (כמו Active Directory או Okta), מה שחוסם גישה לכל האפליקציות המשויכות. בנוסף, יש לבטל הרשאות באפליקציות שאינן מקושרות, להחליף סיסמאות לחשבונות משותפים, ולבטל טוקנים ואישורי גישה מרחוק (VPN).

מהם הצעדים הראשונים והחשובים ביותר בצ'קליסט העזיבה?

הצעדים המיידיים והקריטיים ביותר הם: 1. קבלת התראה בזמן אמת ממחלקת משאבי אנוש ל-IT. 2. השבתת חשבון המשתמש הראשי במערכת ניהול הזהויות (IdP/SSO). 3. ביטול גישה לאפליקציות SaaS וענן שאינן תחת SSO. 4. חסימת גישה מרחוק (VPN). 5. איסוף כל הציוד הפיזי של החברה.

מקורות

רוצים לחבר אוטומציה או AI לעסק שלכם בלי כאב ראש? דברו איתנו.

תוכן עניינים

אולי יעניין אתכם גם:

קצת עליי

נעים מאד, אני ליאור,
נשוי ליעלי ואבא לעומר, אביב ונועה.

טכנולוג שמלמד כבר שנים רבות את עולמות השיווק, הטכנולוגיה וה-AI.

אני לוקח את הניסיון הטכני שלי והופך אותו לכלים פשוטים ופרקטיים, כדי לעזור לכם לשמור על הילדים שלנו בעולם המטורף הזה.

2T6A0230-Edit

תפריט נגישות