Kiek buvusių darbuotojų vis dar turi prieigą prie jūsų verslo?

Apie sistemų saugumą dažniausiai kalbama per techninius dalykus: slaptažodžius, dviejų faktorių autentifikaciją, serverių apsaugą, atsargines kopijas. Tai labai svarbu, bet dažnai pamirštama daug paprastesnė ir praktikoje labai pavojinga tema – prieigų valdymas.

Įmonė gali turėti saugią svetainę, tvarkingą serverį, stiprius slaptažodžius ir atsargines kopijas, bet jeigu prie svarbių sistemų vis dar gali prisijungti buvę darbuotojai, partneriai ar žmonės, kuriems prieigos buvo suteiktos laikinai, rizika niekur nedingsta.

Kartais net nereikia įsilaužimo - pakanka aktyvios paskyros, kuri seniai turėjo būti išjungta.

Kodėl prieigos dažnai lieka aktyvios?

Darbuotojas per kelis metus gali būti prijungtas prie svetainės, CRM, failų saugyklų, hostingo, domenų, kodo saugyklos, tiekėjų platformų ar vidinių sistemų.

Kai žmogus išeina, dažniausiai sutvarkomos pagrindinės paskyros, bet jeigu nėra aiškaus prieigų sąrašo, dalis paskyrų lieka aktyvios.

Ne todėl, kad jos reikalingos. Tiesiog niekas nežino, jog jos vis dar egzistuoja.

Tas pats galioja ne tik darbuotojams, bet ir išoriniams partneriams: agentūroms, programuotojams, dizaineriams, konsultantams ar freelancer’iams.

Prieiga suteikiama konkrečiam darbui, tačiau jam pasibaigus, prieiga lieka aktyvi.

Kodėl vien pagrindinės paskyros išjungimo ne visada užtenka?

Jeigu įmonėje prieigos valdomos centralizuotai, darbuotojo el. pašto ar pagrindinės darbo paskyros išjungimas gali automatiškai panaikinti prieigas prie pagrindinių sistemų. Tačiau ne visos prieigos visada būna susietos su centrine paskyra.

Atskiri prisijungimai prie svetainės administravimo, reklamos paskyrų, hostingo, domenų, kodo saugyklų, tiekėjų platformų, projektų valdymo įrankių ar vidinių sistemų gali likti aktyvūs, jeigu jie nėra peržiūrimi atskirai.

Tas pats galioja bendriems slaptažodžiams, API raktams, dokumentų prieigoms, integracijoms ir išorinių partnerių paskyroms.

Todėl darbuotojo išėjimo procese svarbu patikrinti ne tik pagrindinę įmonės paskyrą, bet ir visas sistemas, kuriose prieigos galėjo būti sukurtos atskirai.

Ką verta pasitikrinti?

Pradėti galima nuo labai paprastų klausimų:

  1. Kokias sistemas naudojame?

  2. Kas turi administratoriaus teises?

  3. Ar yra buvusių darbuotojų paskyrų?

  4. Kokias prieigas turi išoriniai partneriai?

  5. Ar naudojame bendrus slaptažodžius?

  6. Ar yra prisijungimų su asmeniniais el. pašto adresais?

  7. Kas turi prieigą prie domenų, hostingo ir serverių?

  8. Kas gali valdyti reklamines paskyras?

  9. Kas gali pasiekti klientų duomenis?

  10. Ar išėjus darbuotojui turime aiškų sąrašą, ką reikia išjungti?

Jeigu į šiuos klausimus sunku atsakyti greitai, problema jau aiški: prieigos nėra pilnai kontroliuojamos.

Nuo ko pradėti?

Nereikia pradėti nuo sudėtingos sistemos.

Pirmas žingsnis – paprastas prieigų sąrašas:

  • kokias sistemas naudojate

  • kas prie jų prijungtas

  • kas turi administratoriaus teises

  • kokie išoriniai partneriai turi prieigas

  • kur naudojami bendri prisijungimai

  • kas atsakingas už kiekvieną sistemą

  • ką būtina išjungti žmogui išeinant

Taip suformuosite pagrindus prieigų valdymo procesui.

Viena pamiršta paskyra gali būti didesnė rizika nei silpnas slaptažodis.

Norite pirmieji gauti naudingus patarimus?

Gaukite praktines įžvalgas apie dirbtinį intelektą, skaitmenizavimą ir individualių sistemų kūrimą. Be reklaminio triukšmo – tik naudinga informacija.

Paspausdami „Prenumeruoti“, sutinkate gauti mūsų naujienlaiškius.
Sužinokite daugiau mūsų privatumo politikoje.

Kitos įžvalgos