Het ontslag van medewerkers – een potentieel cybersecurityrisico?

Soms verlaten medewerkers de organisatie. We hopen altijd dat het vertrek in goede harmonie verloopt. Helaas is dit niet altijd het geval. Emoties kunnen hoog oplopen, wat kan leiden tot problemen bij de overdracht van werkzaamheden. Juridische en HR-procedures zijn opgesteld om zowel de organisatie als de medewerker in deze situaties te beschermen. Wat echter vaak over het hoofd wordt gezien, zijn de cybersecurityrisico’s die in dergelijke situaties kunnen ontstaan.

Een medewerker heeft vaak toegang tot gevoelige bedrijfsinformatie, zoals klantgegevens, R&D-documenten en financiële rapporten. Soms beschikt hij of zij ook over een bedrijfsapparaat, zoals een laptop of smartphone, gevuld met vertrouwelijke gegevens. Met de opkomst van thuiswerken is het ook niet ongebruikelijk dat medewerkers toegang hebben tot bedrijfsnetwerken via een VPN-verbinding. Als deze toegang niet direct na de aankondiging van vertrek wordt geblokkeerd, kan dit ernstige veiligheidsproblemen opleveren. In vervelende situaties kan een boze medewerker met gevoelige informatie aan de haal gaan of deze weggooien. Maar ook onbedoeld kan een medewerker data "vergeten over te dragen".

De veiligheidsproblemen die in deze scenario’s kunnen voorkomen, mogen niet worden onderschat. De nachtmerrie van een cyberinbreuk moet serieus worden genomen. Daarom is het essentieel om u bewust te zijn van deze risico’s en om proactieve stappen te ondernemen om ze te minimaliseren.

Maatregelen om cybersecurity te waarborgen

1. Stel een offboardingproces op: Een goed gedefinieerd offboardingproces zorgt ervoor dat alle IT-gerelateerde zaken zorgvuldig worden afgehandeld en niets per ongeluk wordt vergeten. Dit proces moet alle stappen omvatten, van het intrekken van toegangsrechten tot het terughalen van bedrijfsmiddelen, en van het maken van afspraken over de mailbox tot het benadrukken van de geheimhoudingsclausule.

2. Rechtmatige toegang intrekken: Zorg ervoor dat de toegang tot alle fysieke locaties, systemen, e-mailaccounts, cloudopslag en andere bedrijfsmiddelen direct wordt ingetrokken zodra een medewerker de organisatie verlaat of wellicht al wanneer hij of zij langere tijd geen werkzaamheden verricht. Dit voorkomt dat ex-medewerkers op enige manier toegang hebben tot bedrijfsinformatie.

3. Monitor gebruikersactiviteit: Het is verstandig om de activiteiten van een vertrekkende medewerker al tijdens de opzegtermijn extra te monitoren, vooral wanneer er een arbeidsconflict aan ten grondslag ligt. Dit kan helpen om ongewoon gedrag of verdachte activiteiten snel op te merken. Zorg dat u de juiste loginformatie bewaart (zie onze blogs over log management, deel 1 & deel 2).

4. Encryptie en datawiping: Gebruik encryptie om gevoelige gegevens te beveiligen, zowel op apparaten als in de cloud. Bij het terughalen van apparatuur moet u ervoor zorgen dat deze volledig wordt gewist (datawiping) om alle bedrijfsgegevens en eventuele privégegevens te verwijderen.

5. Herzien van externe toegang: Zorg ervoor dat alle externe toegang tot netwerken of systemen direct na ontslag wordt beëindigd. Dit geldt ook voor toegang tot VPN’s, SaaS-applicaties en andere externe platformen.

6. Geef security awareness-trainingen: Voorkom onbewuste informatielekken door ervoor te zorgen dat alle medewerkers goed getraind zijn in informatiebeveiliging. Dit helpt hen zich bewust te zijn van de risico’s en hun verantwoordelijkheid om bedrijfsinformatie te beschermen, zelfs na het verlaten van de organisatie.

7. Schakel juridische ondersteuning in: In sommige gevallen kan het raadzaam zijn om juridische stappen te overwegen, vooral als er sprake is van een vermoeden van kwaadwillende activiteiten. Zorg ervoor dat u juridische overeenkomsten (zoals geheimhoudingsverklaringen) zorgvuldig hebt opgesteld en deze handhaaft. Zorg dat u belangrijke informatie en logging bewaart.

Hulp of vragen bij het opstellen van cybersecurityprocessen?

Het ontslag van een medewerker is meer dan een HR-kwestie; het is een potentieel cybersecurityrisico dat serieus genomen moet worden. Door een gestructureerde aanpak te hanteren en passende maatregelen te treffen, kunnen organisaties de risico’s minimaliseren en ervoor zorgen dat hun gevoelige informatie beschermd blijft.

Heeft u ondersteuning nodig bij het ontwikkelen van deze processen voor uw organisatie of heeft u verdere vragen? Vraag een vrijblijvend adviesgesprek aan. We beantwoorden graag uw vragen en kunnen samen kijken naar mogelijke oplossingen die passen bij de behoeften van uw organisatie.