При увольнении сотрудников

Ранее на этих страницах уже указывалась необходимость ужесточения процедур доступа к секретной информации, паролям, номерам дозвона на серверы компании, и т.п. Процедуры информационной безопасности должны обеспечить способ учета тех лиц, которые имеют права доступа в различные системы. Для какого-нибудь социального инженера преодоление ваших барьеров безопасности может оказаться трудной задачей, но это легко может сделать бывший сотрудник.

Еще один момент, зачастую игнорируемый: когда увольняется сотрудник, имевший права доступа к резервным копиям данных, необходимо незамедлительно оповещать компанию, осуществляющую резервное хранение ваших данных, для того, чтобы вычеркнуть этого человека из списка авторизованных сотрудников.

В Главе 16 представлены подробные рекомендации по этой жизненно важной теме, поэтому здесь приведены лишь некоторые ключевые моменты, которые должны учитываться для обеспечения безопасности:

• Полный и исчерпывающий перечень действий, которые должны предприниматься при увольнении сотрудника, включая специальные меры предосторожности при увольнении тех сотрудников, которые имели доступ к секретным данным.
• Политика незамедлительного аннулирования прав доступа в компьютер уволенного сотрудника – желательно даже раньше, чем сотрудник покинет здание.
• Обязательное возвращение сотрудником персонального удостоверения или бейджа, ключей и других электронных устройств доступа.
• Меры предосторожности, позволяющие охранникам сверять личность сотрудника, пришедшего на работу без удостоверения, по фотографии в базе данных, и убедиться, что этот человек находится в списке работающих сотрудников.

Некоторые дальнейшие действия покажутся излишними или слишком затратными для одних компаний, но они могут быть приемлемыми для других. Такими наиболее убедительными методами обеспечения безопасности являются:

• Электронные идентификационные бейджи наряду со сканирующими устройствами на входах; каждый сотрудник должен приложить бейдж к сканеру (или провести сквозь него, в зависимости от устройства) для немедленного определения того, что этот человек является действующим сотрудником и имеет право входа в здание. (Заметьте, однако, что охранники даже в этом случае должны быть всегда начеку, чтобы предотвратить возможное проникновение посторонних людей вслед за авторизованными сотрудниками).
• Необходимость того, чтобы все работники той рабочей группы, из которой увольняется сотрудник (а особенно, если его увольняют), сменили свои пароли. (Вам кажется это крайностью? Много лет спустя после того, как я непродолжительное время работал в компании «Дженерал Телефон», я узнал, что люди из отдела безопасности компании «Пасифик Белл», услышав, что «Дженерал Телефон» наняла меня на работу, «катались по полу от смеха». Но, надо отдать должное компании «Дженерал Телефон»: после того, как они узнали, что в их компании работает известный хакер, и уволили меня, было выполнено требование смены паролей всех сотрудников компании!)

Вы, конечно, не хотите, чтобы ваше здание было похоже на тюрьму, но в то же самое время вам необходимо защититься от парня, который был вчера уволен, а сегодня снова пришел, чтобы отомстить и нанести непоправимый ущерб.