במהלך מחזור חיי העובד משתדלים הארגונים לספק לעובד חוויה טובה לכל אורך הדרך, משלב המיון והראיונות, דרך תהליך הגיוס וכמובן לאורך תקופת עבודתו בארגון. אך יש שלב שאליו אולי מייחסים פחות חשיבות והוא שלב העזיבה ותהליך האוף בורדינג, בין אם העובד הועזב (בשל קיצוצים או אי התאמה) או עזב מרצונו.

לתהליך עזיבה מסודר יש חשיבות עצומה בכמה מישורים. ראשית, בשלב הרגיש הזה שבו עובד עוזב את הארגון מכל סיבה שהיא, חשוב מאוד שהעזיבה תהיה ברוח טובה עם חוויה טובה של העובד ומתן הזכויות המגיעות לו. חוויה טובה תשאיר פתח לעובד לחזור לארגון בעתיד (תופעה המכונה עובדי בומרנג) או להמליץ לחבריו להצטרף לאותה חברה.

הסיבה השנייה והלא פחות חשובה היא סגירת כל הקצוות הפתוחים ובעיקר סגירת פרצות אפשריות לרשת הארגונית וליישומים הארגוניים. אוף בורדינג של עובד שנעשה כבדרך אגב, בצורה לא מסודרת ולא מובנית ובלי תשומת לב לכל הפרטים יכול לעלות לארגון בחשיפה או דליפת מידע של נתונים רגישים.

סקר מיוחד של חברת Torii גילה כי 76% ממנהלי ה-IT מרחבי העולם מסכימים או מסכימים מאוד ש"עזיבת עובדים היא איום אבטחה משמעותי". 67% סבורים שהפרות וסכנות אלו קרו בשוגג, אך דווקא בשל כך הן מסוכנות יותר כי לא תמיד שמים לכך לב, הן מצד העובד לשעבר והן מצד הארגון. דוגמה להפרה שכזו היא במצב של עובד שהועזב או עזב מרצונו ועדיין יש לו גישה למאגרי הנתונים של החברה, כך שאם ירצה יוכל לשנותם או במקרה חמור יותר לגנוב אותם.

בתהליך אוף בורדינג יש להתייחס ולסגור את כל הקצוות בנושאים כגון: גישה לסיסמאות והרשאות גישה, גישה ליישומים, גישה לקבצים, כניסה לרשת ממחשבים ניידים ומכשירים ניידים אחרים, כרטיסים מגנטיים ומפתחות למשרד. פרצה נוספת שאם לא מטופלת מהווה סכנה נובעת מן המעבר של כולנו מרכישה של תוכנות באריזה לשימוש בתוכנות SaaS, דוגמת דוא"ל בענן, תוכנות CRM בענן, מאגר שיתוף קבצים בענן וכדומה. חלק מן התוכנות הללו נקנו ברשת על ידי העובד ללא עדכון מערך ה-IT בארגון ולכן הן גם לא ידועות - תופעה המכונה ShadowIT.

לעזיבת עובדים את הארגון בלי ניתוק מתוכנות ה-SaaS בהם השתמשו, יש זווית נוספת - כלכלית. כאשר עובדים עזבו את הארגון מבלי שנותקו מן התשלום הקבוע עבור מנויי תוכנה, הארגון עלול להמשיך לשלם לעוד תקופה ארוכה לחינם

לעזיבת עובדים את הארגון בלי ניתוק מתוכנות ה-SaaS בהם השתמשו, יש זווית נוספת - כלכלית. כאשר עובדים עזבו את הארגון מבלי שנותקו מן התשלום הקבוע עבור מנויי תוכנה, הארגון עלול להמשיך לשלם לעוד תקופה ארוכה לחינם. לנו ב-Torii יש לקוחות שחסכו למעלה ממיליון דולר בשנה רק מסגירת מנויי תוכנה שאינם בשימוש או מנויים שהשימוש בהם הוא דל כל כך שלא משתלם לחברה להשאירם.

האתגר הזה מסתבך עוד יותר עם עבודה מרחוק או מודל עבודה היברידית. כך קורה לעיתים קרובות שעובדים רוכשים מנויים לתוכנות שונות ושירותים שונים דרך היוזרים האישיים שלהם (אך בכרטיס האשראי של הארגון), עלולים להזין לשם מידע ארגוני סודי וזאת מבלי לעדכן את מנהלי ה-IT של הארגון ובלי מתן תשומת לב רבה מדי לתקנות האבטחה שנקבעו לארגון.

אז איך עושים זאת באופן מסודר?

בעולם דיגיטלי שבו כל כך הרבה מהעבודה שלנו מתרחשת באינטרנט, לאפשר לעובד לשעבר גישה למערכות וקבצים זה כמו לאפשר לו להחזיק מפתח לדלת הכניסה של המשרד ואף גרוע מכך. המעבר לעבודה מן הבית הביא לעלייה בשימוש ביישומים ובתוכנות, ועל כן מנהלי טכנולוגיה צריכים להשקיע את מרצם בשלוש משימות:

1. שיפור תהליך האוף בורדינג: ניתוק יעיל של העובדים מהמערכת ומהתוכנות להן היו הרשאות. התהליך כולל בדיקה של כל שיטות הגישה מרחוק; שינוי או ביטול של הסיסמאות בחשבונות משותפים; שינוי הבעלות על מערכות דוגמת רשת ארגונית, חשבונות דוא"ל, גישה לרשתות חברתיות; העברה או מחיקת כתובת הדוא"ל של העובד; החזרת ציוד החברה; עדכון תשלומים בכרטיס אשראי של החברה ותזמון מחיקת חשבון עבור חשבונות מושהים.

כיום, חברות יכולות גם להשתמש בכלים שמבצעים את תהליך האוף בורדינג אוטומטית מכל התוכנות שהיו בשימושן בזמן שעבדו בחברה. אלו כלים המשולבים במערכות של החברה שמבצעים את ניתוק העובד מכל התוכנות ותיבת המייל שלו ברגע שהוא מעודכן כעובד לשעבר.

2. סגירת גישה מרחוק לרשת ולתוכנות: צמצום החשיפה לאיומי אבטחה על ידי סגירת חשבונות של תוכנות SaaS לעובד שעוזב, על ידי בדיקה מקיפה באילו תוכנות SaaS השתמש. בדיקה זו חשובה גם על מנת שלא להמשיך לשלם כסף עבור עובדים שכבר אינם משתמשים בתוכנות. בנוסף, סיום של החיבור ל-VPN ובדיקת כל שיטות הגישה מרחוק.

3. שיפור ידע וחידוד מדיניות - שיפור הידע על אודות סכנות אבטחה וחידוד המדיניות הן לכלל העובדים ובעיקר למחלקת ה-IT ומשאבי אנוש האחראים לתהליך אוף בורדינג.

עולם העבודה עובר מהפכה ועל כן גם הליך העזיבה מהעבודה עובר מהפכה. אם חברות וארגונים לא יפנימו וילמדו את הסיכונים החדשים לא ילמדו וישתלטו על התוכנות שהעובדים מכירים, הם יחשפו את עצמם ואת החברה שלהם לסיכוני אבטחה שעלולים לפגוע בה ובלקוחותיהם.

תמונת עיגול אורי נתיב  (צילום: יחצ)
אורי נתיב|צילום: יחצ

הכותב הוא אורי נתיב, מייסד וסמנכ"ל מוצר בחברת Torii, אשר פיתחה פתרון לניהול וניטור תוכנות ענן (SaaS)