Le service informatique doit être impliqué
Laisser partir un employé peut être un sale boulot, mais le service informatique doit l'aider - toujours si vous êtes intelligent.
Il est nécessaire d'impliquer le service informatique dans le processus de cessation d'emploi, car un ancien employé qui a toujours accès au réseau d'une entreprise et aux données d'entreprise propriétaires constitue une menace pour la sécurité. Dans la majorité des cas, les anciens employés ne penseraient jamais à nuire à vos systèmes informatiques, mais pourquoi prendre le risque que vous ayez pu tomber sur le mauvais œuf?
De plus, il est judicieux de conserver certaines ressources technologiques, données et journaux si l'ancien employé ou l'entreprise elle-même décide de poursuivre en justice.
Enfin, il est essentiel d'intégrer les TI dans le processus pour s'assurer que les contrôles de terminaison des employés sont suffisamment complets pour répondre aux exigences pertinentes de la loi Sarbanes-Oxley.
Les politiques de sécurité de l'information et de conservation des données doivent être spécifiques à l'entreprise et adaptées aux lois en vigueur dans votre entreprise.
3 Principes informatiques Les entreprises doivent répondre
Néanmoins, il existe au moins trois grands principes informatiques auxquels une entreprise devrait adhérer au moment et après la cessation d'emploi d'un employé.
- Notification rapide de la résiliation au département informatique - même un avertissement avant la réunion de clôture est apprécié afin que le service informatique puisse bloquer l'accès pendant la réunion.
- Chaque entreprise devrait avoir une politique strictement appliquée qui stipule clairement qui doit notifier qui lorsque l'emploi de quelqu'un se termine ou a pris fin. Cette politique devrait également exiger que ces notifications soient envoyées immédiatement afin que tous les ministères impliqués puissent agir rapidement.
Un contact de sécurité de l'information devrait être parmi ceux qui sont notifiés, et les responsabilités de cette personne devraient comprendre la recherche, la documentation et la révocation de l'accès d'un employé aux informations propriétaires stockées électroniquement et à ses systèmes d'information.
- Révocation prudente de l'accès. Une fois notifié, le service informatique est responsable de la révocation immédiate de l'accès et de la conservation des enregistrements dont la société pourrait avoir besoin maintenant ou à l'avenir.
Que faire lorsque l'emploi est terminé
Dans le cas d'un employé licencié, le service informatique doit immédiatement révoquer tout accès à l'ordinateur, au réseau et aux données de l'ancien employé.
L'accès à distance devrait également être supprimé, et l'ancien employé devrait être dépossédé de tous les biens appartenant à la société, y compris les ressources technologiques comme un ordinateur portable et la propriété intellectuelle comme les fichiers d'entreprise contenant des informations sur les clients, les ventes et la commercialisation.
Toutefois, dans le cas d'un employé dont la fin d'emploi est imminente, le service de TI devrait consulter le gestionnaire, les RH et d'autres décideurs clés afin de déterminer la façon appropriée d'échelonner la révocation de l'accès pour les jours restants. D'emploi.
Tout comme l'octroi d'autorisations d'accès et de sécurité devrait être documenté pour référence future, la révocation de l'accès devrait également être documentée, en particulier à des fins juridiques. Bien entendu, l'objectif devrait toujours être de révoquer l'accès d'une manière qui soit sensée sur le plan financier, technologique et juridique.
Préservation préventive des données
Chaque entreprise doit disposer de politiques de redondance et de rétention des données qui répondent à ses besoins et respectent les lois applicables. Ces stratégies concernent la sauvegarde, la restauration et la préservation des données d'entreprise en général.
Cependant, une entreprise devrait également adopter des politiques qui détaillent quand et comment l'informatique doit protéger les données, dossiers, journaux et autres documents potentiellement et particulièrement sensibles qui pourraient avoir une signification légale, si l'entreprise et l'ancien employé devaient mener une bataille juridique.
Il est particulièrement important de le faire dans le cas d'un ancien employé qui occupait un poste de haut niveau ou qui a laissé l'entreprise dans un nuage de suspicion.
L'appropriation et l'application de ces trois principes devraient être le travail collectif des cadres de l'entreprise, des services informatiques et des ressources humaines, et des conseillers juridiques spécialisés en informatique judiciaire et les lois régissant l'utilisation de la technologie informatique par l'entreprise.
Les résultats de cet effort de coopération devraient être une meilleure protection des données d'entreprise ainsi qu'une meilleure préparation aux litiges concernant le vol de données d'entreprise, le piratage et d'autres formes d'utilisation illégale ou malavisée de la technologie informatique. Travailler avec l'informatique en tant que partenaire précieux garantit que ces objectifs sont atteints en cas de cessation d'emploi.
Les