Students and Academics of All Countries, Unite! :-)

Odebranie praw dostępu.

W normie PN-ISO/IEC 17799 „Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. „ Copyright by PKN, Warszawa 2007, w punkcie 8.3- Zakończenie lub zmiana zatrudnienia, a konkretnie w podpunkcie 8.3.3- Odebranie praw dostępu czytamy, iż:

„Zaleca się, aby prawa dostępu pracowników, wykonawców, użytkowników reprezentujących stronę trzecią do informacji i środków przetwarzania informacji były odebrane w momencie zakończenia stosunku pracy, kontraktu, lub umowy, lub zmodyfikowane zgodnie z zaistniałymi zmianami zatrudnienia.”

Jak myślicie, jakie konsekwencje dla firmy może nieść za sobą niedostosowanie się do tych wskazówek?

Jakimi sposobami pracodawca może bronić się przed wyciekiem istotnych dla firmy informacji w momencie zwolnienia pracownika? Co na ten temat mówi norma?

A może Wy słyszeliście lub znacie jakieś konkretne przykłady, gdy zwolniony pracownik ujawnił tajne informacje firmy za pieniądze lub w ramach zemsty na pracodawcy? Jeżeli nie to możecie przeczytać na ten temat chociażby pod adresem:

http://www.egospodarka.pl/38294,Zwolnieni-pracownicy-grozni-dla-dan...

Jak czytamy na stronie: http://www.bezpieczenstwousb.com/2009/04/22/co-drugi-pracownik-krad...:

„ 59% z 1000 przebadanych pracowników, którzy zostali zwolnieni w 2008 roku, przyznało się do kradzieży danych firmowych. Najczęstszym łupem padały listy e-mailowe, dane pracowników oraz bazy danych klientów. Nic dziwnego, w końcu takie informacje mogą stanowić kartę przetargową w poszukiwaniu pracy u niezbyt uczciwego pracodawcy.”

Myślę, że istotny wpływ na to czy pracownik zdecyduje się na wykorzystanie danych firmowych przeciwko pracodawcy może mieć także sposób w jaki został on zwolniony, na pewno nie powinno to wyglądać tak jak na rysunku poniżej ;)

0 members like this

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on May 20, 2010 at 7:38am

Ma Pani rację, Pani Saro. Wszystko wskazuje na to, że rysunek zwolnienie.jpg odegrał znaczącą rolę także w przypadku Marwana Arbache'a ( http://fedcba.ning.com/profiles/blogs/espionnage-industriel ).

Permalink Reply by Natalia Boch on June 1, 2010 at 7:13pm

Firmy zajmujące się bezpieczeństwem informatycznym ostrzegają: im większy kryzys i im więcej zwalnianych pracowników, tym więcej wynoszonych przez nich poufnych danych.
Z najnowszego raportu firmy Kroll Ontrack wynika, że w ciągu ostatnich trzech lat firmy z 10 największych sektorów gospodarki światowej straciły średnio 8,2 mln dol. w wyniku nieuczciwych zachowań pracowników własnych bądź konkurencji.

Im bardziej negatywny stosunek do pracodawcy, tym chętniej i bez skrupułów zwalniani pracownicy wynoszą poufne informacje. W wielu firmach osoby zwalniane kopiują strategiczne dane, takie jak bazy klientów, klauzule poufności czy strategie biznesowe. Takie informacje mogą stać się kartą przetargową przy poszukiwaniu pracy na przykład w firmie konkurencyjnej względem byłego pracodawcy.

Zakończenie współpracy pracownika i pracodawcy to trudnym moment dla obu stron. Sara i Natalia wspomniały, że istotny wpływ na to czy pracownik zdecyduje się na wykorzystanie danych firmowych przeciwko pracodawcy może mieć sposób w jaki został on zwolniony. Dlatego ważne są takie działania ze strony szefa, które mogą złagodzić nieprzyjemną sytuację jaką jest rozstanie z dotychczasową pracą.
„Łagodnemu rozwiązaniu współpracy z pracownikiem sprzyja zaproponowanie porozumienia stron, w ramach którego pracodawca może udzielić zwalnianemu dodatkowego wsparcia, wychodzącego poza zakres wskazany w Kodeksie pracy. W ramach takich pakietów "przyjaznego rozstania" pracodawcy mogą przykładowo przekazać dodatkowe uposażenie lub ustalić zasady udzielenia niewykorzystanego urlopu wypoczynkowego czy też należnego ekwiwalentu. Możliwe jest również przejęcie przez pracownika używanego dotychczas numeru telefonu służbowego. Okazaniem dobrej woli i wsparcia zwalnianemu pracownikowi bywa również pomoc w poszukiwaniu nowego pracodawcy. Można to zrobić, przekazując list referencyjny czy nie ograniczać mu czasu wolnego na spotkania z potencjalnymi nowymi pracodawcami”( http://biznes.onet.pl/zemsta-bylego-pracownika,18563,3196779,0,pras...)
Ponad to zwalnianie pracowników nie powinno odbywać się z hukiem, w sposób chłodny, bezczelny, bez żadnego zainteresowania ich przyszłością, W ten sposób można zacząć wzbudzać w nich niechęć i bunt.
Zwalniany pracownik powinien mieć możliwość spokojnie rozstać się ze swoim stanowiskiem, poukładać ostatnie sprawy, przekazać obowiązki osobie, która zajmie jego miejsce, poinformować swoich klientów odejściu.
Tutaj podaję link http://www.przekroj.pl/cywilizacja_spoleczenstwo_artykul,1314.html , z którego dowiecie się co nieco o sztuce porządnego zwalniania.

Jednak należy pamiętać , że:
„Wzajemne relacje pracowników i pracodawców są częstokroć napięte, nacechowane wzajemnymi uprzedzeniami, oskarżeniami lub niemożliwymi do spełnienia oczekiwaniami. Odpowiedzialność za taki stan rzeczy z całą pewnością rozkłada się na obie strony. Jednak poczucie krzywdy, ewentualnie niesprawiedliwości, nie uprawnia do wyrównywania sobie strat „na własną rękę”. Kradzież zawsze pozostanie kradzieżą, oszustwo oszustwem, a nieuczciwość nieuczciwością.”
(http://www.deon.pl/inteligentne-zycie/styl-zycia/art,21,wlasnosc-ni...)

Permalink Reply by Tadeusz Lemańczyk on June 1, 2010 at 8:28pm

Im szybciej wyzbędziecie się nawyku dosłownego przepisywania takich długich zdań jak to:

Firmy zajmujące się bezpieczeństwem informatycznym ostrzegają: im większy kryzys i im więcej zwalnianych pracowników, tym więcej wynoszonych przez nich poufnych danych.

bez wskazania na źródło w postaci:

Firmy zajmujące się bezpieczeństwem informatycznym ostrzegają: im większy kryzys i im więcej zwalnianych pracowników, tym więcej wynoszonych przez nich poufnych danych.
http://www.dziennik.pl/wydarzenia/article328175/Zwalniani_mszcza_si...

tym lepiej dla Waszych przyszłych prac dyplomowych.

Permalink Reply by Anita Krotofil on November 19, 2010 at 6:57pm

Jeśli chodzi o przykład osoby, która ujawniła dane firmowe, to ja mogę sie posłużyć. W instytucji, w której pracuję bardzo przestrzegane jest zachowanie tajemnicy służbowej. Zresztą, przy zatrudnieniu musiałam przejść kurs, a także podpisać kilka oświadczeń, w których zobowiązuję się do zachowania tajemnicy służbowej podczas pracy, a także po zwolnieniu z pracy ( a więc do końca życia). Mamy w pracy ograniczony dostęp do internetu. Każdy nasz e-mail może zostać dokładnie sprawdzony.

Wracając jednak do naszego przykładu. Była u nas zatrudniona kiedyś osoba, która została zwolniona za przesyłanie drogą elektroniczną (e-mail) informacji firmowych, a także po zwolnieniu (prawdopodobnie właśnie w celach zarobkowych lub w ramach zemsty na pracodawcy), posłużyła się danymi wyniesionymi z pracy i przesłała je do innych osób. Było to czywiście złamanie tajemnicy służbowej. Za ten czyn osoba ta zapłaciła wysoką karę, ponieważ sprawa ta trafiła do sądu i osoba ta została skazana. Złamała bowiem oświadczenie, o którym wcześniej wspomniałam.

Nasza norma bardzo dokładnie określa bezpieczeństwo po zakończeniu pracy.
Zreszą, jeśli poczytamy regulamin pracy (http://www.bip.mikolow.um.gov.pl/content/show.php?pg=zuk_regulamin_...), widzimy, że on również określa zachowanie tajemnicy służbowej.

A odpowiadając na pytanie Sary (Jakimi sposobami pracodawca może bronić się przed wyciekiem istotnych dla firmy informacji w momencie zwolnienia pracownika?) uważam, że pracodawca może stosować różne sposoby, np. takie oświadczenia, o których wpomniałam, ale do końca nigdy nie uniknie takich nieprzyjemnych sytuacji. Zawsze, bowiem, może zdarzyć się taka osoba, jak ta opisywana przeze mnie.

Na koniec ciekawy artykuł,ciekawy tytuł i jeszcze ciekawsze zdjęcie:
http://biznes.interia.pl/news/scisle-tajne-przez-poufne,1504390

Permalink Reply by Anita Sikorska on March 14, 2011 at 10:19pm

Niedostosowanie się do wskazówek, które zostały umieszczone w normie PN-ISO/IEC 17799 „Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji”, o której wspomniała Sara, może przynieś przedsiębiorstwu wiele szkód, co nie podlega wątpliwości. Spowodowane w ten sposób straty finansowe są ogromne, niejednokrotnie nie da się ich nawet wycenić. W tym przypadku potwierdza się proste przysłowie, iż „mowa jest srebrem, a milczenie złotem.” Trudno jednak skłonić sfrustrowanego pracownika, któremu np. po zwolnieniu z pracy świat się zawalił, aby pozostał lojalny wobec postępującego nie zawsze według podstawowych zasad etyki pracodawcy. Czasami bardzo kusząca i satysfakcjonująca dla człowieka staje się kolaboracja będąca jakoby „mniejszym złem”- lepiej współpracować z nieprzyjacielem i zaszkodzić temu, kto nie był lojalny wobec nas, niż pozostać biernym. Takie podejście jest niestety powszechne. Nie rozliczamy tutaj nawet pracodawcy z tego, czy postępował on uczciwy wobec pracownika, czy też nie, bo często w sytuacji zwolnienia, upokorzenia, czy też wtedy, gdy w grę wchodzą niesnaski międzyludzkie spowodowane sprawami osobistymi, nie ma to większego znaczenia.

Przykładów na wyciek danych z firm jest mnóstwo, jak choćby ten przytoczony przez tygodnik „Polityka”: „Duża śląska firma startuje w przetargu na budowę instalacji górniczej w Iraku. Ale zwyciężają Chińczycy ze sklonowaną ofertą – chińska firma o identycznej nazwie jak śląska sprzedaje podpatrzone u Polaków maszyny znacznie taniej. Efekt: przetarg wygrywają Chińczycy. Polacy tracą kontrakt na 300 mln zł. Podejrzenie: wschodni cyberterroryzm (najgroźniejszy na świecie). Decyzja: polska firma wynajmuje informatyków śledczych. Ci pracują w ukryciu, przez trzy tygodnie przetrząsają dane w 150 komputerach. Misja: ustalić, czy winę za wyciek dokumentacji ponosi technologia (konkurencja zdalnie włamała się do systemu) czy czynnik ludzki (ktoś z firmy im w tym pomógł). Wnioski: dowody elektroniczne przeciw 10 pracownikom śląskiej firmy, sprawa w sądzie” [http://www.polityka.pl/kraj/271387,1,tw-komputer-serial-fantasy.read ]

Przykład ten nie pozostawia wątpliwości, że przyczyny do ujawnienia danych mogą być różne, jednak zawsze prowadzą do wielkich strat, najczęściej finansowych. Wielokrotnie firma traci wiarygodność w oczach swoich klientów i na pewno trudno jej w takiej sytuacji odbudować utraconą pozycję. Kolejna sytuacja opisana w tym samym artykule prasowym na potwierdzenie moich słów: „Szefowie firmy z branży informatycznej podejrzewają swoje komputery o współpracę ze złodziejami danych. Na miejsce przybywa ekipa śledczych informatyków. Zanim przystąpią do pracy, zawsze podpisują z klientem umowę z klauzulą poufności. Są incognito. Przeczesują systemy połączeń międzykomputerowych, aby wytypować zainfekowane ogniwo. Zwrot akcji: nagle okazuje się, że donosi maszyna prezesa. Zapisane w jej pamięci operacyjnej ślady elektroniczne wskazują na nocne godziny wykradania informacji. Śledczy proszą o pomoc siły human resources (dział kadr). Zwrot akcji: komputerowe kody łamie sprzątaczka. Wnioski: szczelniejszy nadzór nad personelem.”

[http://www.polityka.pl/kraj/271387,1,tw-komputer-serial-fantasy.read ]

„Zgodnie z art. 11 ust. 4 stawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.” [http://www.informacjapubliczna.org.pl/6,350,tajemnica_przedsiebiorc...] Czasami chęć zemsty staje się celem nadrzędnym, co pociąga za sobą niewyobrażalne straty. Trudno nie zgodzić się ze słowami prof. Jana Hartman, filozofa z UJ, że „Łatwiej dzisiaj jednemu małemu człowiekowi zrobić wielkie świństwo, dawniej to duzi robili krzywdę małym.” Krzywdy wyrządzone w ten sposób są niewątpliwie zmorą wszystkich przedsiębiorców.

Jak powinien się on bronić przed wyciekiem istotnych informacji z jego firmy? Istnieje wiele programów komputerowych mających wspomóc ten proces, zatrudnia się ludzi specjalnie przeszkolonych w celu zabezpieczania informacji, najlepszym jednak sposobem, choć dość nieudolnym, wydaje się być zatrudnianie odpowiednich, zaufanych ludzi. Co do tego jednak nigdy nie możemy mieć pewności, bo jak już wspomniała jedna z koleżanek w swojej wypowiedzi, to człowiek pozostaje ciągle najsłabszym ogniwem w całej sieci powiązań.

Na koniec, traktując sytuację trochę z przymrużeniem oka, sfrustrowanych pracowników do których nie trafiają żadne racjonalne argumenty by jednak nie ujawniali powierzonych im informacji, można próbować przekonać tym, że wybaczanie jest po prostu zdrowsze niż tłumienie urazy, żalu , gniewu, czy angażowanie się we współpracę w celu wyrządzenia krzywd: „nie tylko wybaczanie poprawia zdrowie, lecz można także proces ten przyspieszyć drogą psychoterapeutycznej interwencji. Ci uczestnicy eksperymentu, wobec których zastosowano opracowane przez Luskina metody terapii pojednawczej, mieli zdecydowanie lepsze samopoczucie, wykazywali mniej symptomów stresu – takich jak bóle krzyża i mięśni, zawroty głowy czy dolegliwości żołądkowe – a także cechował ich większy optymizm. Obserwowane u nich obniżenie we krwi poziomu kortyzolu – hormonu stresu – także sugeruje, że uwolnienie się od uraz może zmniejszyć ryzyko zawału serca.”

[http://www.polityka.pl/psychologia/poradnikpsychologiczny/1503500,1...] Zachęcam do lektury ;-)

Permalink Reply by Tadeusz Lemańczyk on May 7, 2011 at 8:38am

Skorzystam z okazji, by w tym miejscu po raz kolejny podkreślić dwojakiego rodzaju zestaw przypadków pozostających w kręgu zainteresowań przedmiotu Bezpieczeństwo informacji ( http://fedcba.ning.com/group/bi ). W wymienionej powyżej grupie czynów zabronionych "bezprawne uzyskanie informacji - kradzież informacji (art. 267 § 1-2)" jest miejsce na staroświeckie "otwieranie zamkniętego pisma" obok nowoczesnego "podłączania się do sieci telekomunikacyjnej" (Art. 267. § 1.). Jak sądzicie, czy w § 3. tego artykułu, obok explicite wymienionego, nowoczesnego "zakładania lub posługiwania się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której się nie jest uprawnionym", jest miejsce na nader staroświeckie przykładanie gołego oka do dziurki od klucza i gołego ucha do tychże drzwi? Gdyż trudno chyba nazwać ludzkie ucho z samej swej natury podsłuchowym urządzeniem, nieprawdaż?

Permalink Reply by Ilona Kruszyńska on June 12, 2011 at 2:34pm

Wielu moich poprzedników wspomniało i bardzo dokładnie wymieniło skutki, które mogą mieć miejsce w przypadku niedostosowanie się do wskazówek zawartych w normie PN-ISO/IEC 17799 „Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.„ Copyright by PKN, Warszawa 2007, w punkcie 8.3- Zakończenie lub zmiana zatrudnienia, a konkretnie w podpunkcie 8.3.3- Odebranie praw dostępu. Nikt jednak nie zdecydował się na zacytowanie treści wskazanej normy przez Sarę Piątek, która daje nam odpowiedź na pytanie: (…) jakie konsekwencje dla firmy może nieść za sobą niedostosowanie się do tych wskazówek?. Możemy ją znaleźć pod koniec punktu 8.3.3 tej normy:

W przypadku zakończenia zatrudnienia inicjowanego przez kierownictwo, niezadowoleni pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią mogą celowo spowodować uszkodzenia informacji lub sabotować funkcjonowanie środków przetwarzania informacji.

Ponadto odpowiadając na kolejne pytanie zadane przez Sarę w głównym wątku tematu: Jakimi sposobami pracodawca może bronić się przed wyciekiem istotnych dla firmy informacji w momencie zwolnienia pracownika? również posłużę się wskazówkami zawartymi w normie:

Przy zakończeniu zatrudnienia zaleca się przegląd praw dostępu do aktywów związanych z systemami informacyjnymi i usługami. (…) Zaleca się, aby zmiany w zatrudnieniu były odzwierciedlone w odebraniu wszystkich praw, które są nieuzasadnione w związku z nowymi obowiązkami. Prawa dostępu, które zaleca się odebrać lub dostosować, obejmują dostęp fizyczny i logiczny, klucze, karty identyfikacyjne, środki przetwarzania informacji, subskrypcje oraz dokumenty stwierdzające, że dana osoba aktualnie reprezentuje organizację. Jeśli odchodzący pracownik, wykonawca lub użytkownik reprezentujący stronę trzecią zna hasła do kont, które pozostają aktywne, to hasła te zaleca się zmienić w momencie ustania stosunku pracy, kontraktu lub umowy.

Uważam, że wskazówki zawarte w normie są niezbędne do wdrożenia przez firmę w przypadku zwolnienia pracownika.

Permalink Reply by Joanna Kańduła on November 19, 2011 at 2:12pm

Zgadzam się, że odebranie praw dostępu osobom kończącym zatrudnienie w danej firmie jest bardzo istotne. Osobiście spotkałam się natomiast z całkowitym zlekceważeniem tej kwestii. Pracowałam jakiś czas temu dla firmy farmaceutycznej X i moja praca była realizowana przez pewien panel internetowy, do którego ja znałam dane dotyczące logowania się oraz osoba nadzorująca moją pracę. Na tym portalu, po zalogowaniu się, można było znaleźć praktycznie wszystkie informacje dotyczące firmy i jej całej działalności. Po zakończeniu przeze mnie pracy, miałam nadal do tego dostęp przez ponad miesiąc. Nikt w ogóle nie zainteresował się tym, że mogłam w ten sposób zadziałać na szkodę firmy. Norma, o której pisze Sara Piątek mówi, że: Jeśli odchodzący pracownik, wykonawca lub użytkownik reprezentujący stronę trzecią zna hasła do kont, które pozostają aktywne, to hasła te zaleca się zmienić w momencie ustania stosunku pracy, kontraktu lub umowy. W moim przypadku zostało to zrealizowane dopiero, gdy sama kilkukrotnie składałam o to prośbę. Sądzę, że w przypadku większości firm takie sytuacje zdarzają się zdecydowanie rzadziej i bardziej dba się jednak o swoje informacje.

Myślę również, że ważną kwestią jest to w jaki sposób pracownik w danej firmie kończy swoje zatrudnienie. Również norma PN-ISO/IEC 17799 w punkcie 8.3.3 Odebranie praw dostępu mówi o tej kwestii we fragmencie dotyczącym oceny czynników ryzyka: czy zakończenie lub zmiana zatrudnienia jest inicjowana przez pracownika, wykonawcę lub użytkownika reprezentującego stronę trzecią, czy przez kierownictwo oraz jakie są tego przyczyny. Jestem zdania, że jest to ważny fragment, ponieważ inaczej może się zachować pracownik, który z własnej woli odchodzi z firmy, a inaczej taki, który zostaje zwolniony. Na pewno powinno brać się to pod uwagę.

Permalink Reply by Sebastian Koczorowski on November 19, 2011 at 2:27pm

Muszę się zgodzić z koleżanką powyżej. Osoby odchodzące z własnej woli są potencjalnie mniej groźne niż te zwolnione przez pracodawcę. Taka osoba może mieć uraz do byłego szefa oraz może chcieć się zemścić za otrzymane wypowiedzenie. W takiej sytuacji wystarczy jeden dzień zwłoki w zakresie odebrania dostępu zwolnionemu pracownikowi i firma może pożegnać się z wieloma tajnymi dokumentami do których były pracownik miał dostęp. Najlepsze jest jednak to, że sami mu na to pozwalamy nie dostrzegając problemu jaki powoduje ten jeden dzień podczas, którego mamy wystarczająco dużo czasu by skopiować i zarazem odsprzedać konkurencji wszystkie informacje robiąc byłemu pracodawcy niezły bałagan oraz narażając go na straty finansowe.

Permalink Reply by Agnieszka Kucharska on May 9, 2012 at 8:16pm

Absolutnie się zgadzam z postem Pana Sebastiana. Na pewno nie jest normą, że pracownik odchodzący samowolnie z firmy jest mniej groźny - bo w końcu nie wiemy z jakich powodów podjął tą decyzję (może został zmuszony..?) - od tego zwolnionego, ale śmiało można powiedzieć, że z tym drugim zdecydowanie wiąże się większa szansa wycieku informacji.

Tylko i wyłącznie od pracodawcy zależy, czy jest chroniony przed takimi wypadkami i jak. Nikt inny się o to nie zatroszczy. Moim zdaniem już w dniu zatrudnienia powinien podjąć pierwsze kroki. Kolejne w trakcie i oczywiście po zakończeniu współpracy z pracownikiem.

(https://docs.google.com/viewer?a=v&q=cache:NiSGPLNskRQJ:staff.e...1) Wg Polskiego Komitetu Normalizacyjnego (POLSKA NORMA PN-ISO/IEC 17799) "Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji." trzy wspomniane przeze mnie kroki wyglądają następująco:

Przed zatrudnieniem

Zaleca się określenie wymagań bezpieczeństwa przed zatrudnieniem w odpowiednim opisie stanowiska pracy oraz zasadach i warunkach zatrudnienia.
Zaleca się, aby wszyscy kandydaci do zatrudnienia, wykonawcy oraz użytkownicy reprezentujący stronę trzecią byli starannie sprawdzani, szczególnie w przypadku naboru na wrażliwe stanowiska.
Jeśli pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią korzystają ze środków przetwarzania informacji, to zaleca się, aby podpisali umowę precyzującą ich zadania i odpowiedzialność w zakresie bezpieczeństwa.

Podczas zatrudnienia

Zaleca się określenie odpowiedzialności kierownictwa w celu zapewnienia, że przepisy dotyczące bezpieczeństwa będą przestrzegane podczas całego okresu zatrudnienia osoby w organizacji.
Aby minimalizować ryzyka bezpieczeństwa, zaleca się zapewnienie pracownikom, wykonawcom oraz użytkownikom reprezentującym strony trzecie właściwego poziomu świadomości, kształcenia i szkoleń w zakresie procedur bezpieczeństwa i poprawnego korzystania ze środków przetwarzania informacji. Zaleca się także wprowadzenie formalnego procesu dyscyplinarnego związanego z naruszeniami bezpieczeństwa.

Zakończenie lub zmiana zatrudnienia

Zaleca się, aby przypisano odpowiedzialność za zarządzanie odejściem z organizacji pracowników, wykonawców i użytkowników reprezentujących stronę trzecią oraz za zakończenie go zwrotem wszelkiego sprzętu i odebraniem wszystkich praw dostępu.
Zaleca się, aby zmiana obowiązków lub zatrudnienia wewnątrz organizacji była traktowana jak zakończenie pracy lub indywidualnych obowiązków zgodnie z informacjami podanymi w tym rozdziale, a każde nowe zatrudnienie było przeprowadzone w sposób opisany w rozdziale 8.1.

Jestem niemal przekonana, że pracodawca stosując się do tych wytycznych jest w stanie ochronić siebie i swoją firmę przed niepożądanym celowym wyciekiem informacji, którego mógłby się dopuścić pracownik zwolniony, czy też odchodzący na własne żądanie.

Permalink Reply by Gerard Tkacz on November 25, 2011 at 8:12pm

Zgadzam się, że odebranie praw dostępu osobom kończącym pracę w firmie jest bardzo ważną rzeczą, jednak nie zawsze tak się dzieje. Oczywiście rozpoczynając współpracę z pracownikiem pracodawca zabezpiecza się na różne sposoby. Ale czy to pomaga? Nie zawsze. Przecież wszystko zależy od osobowości oraz charakteru pracownika. Nawet najlepsze stosunki z przełożonym temu nie pomogą. Oczywiście są stosowane różnego rodzaju zabezpieczenia jak, np. kontrolowanie wiadomości wysyłanych z pracowniczego komputera. Ale przecież istnieją różne nośniki danych, tak więc zgranie plików nie stanowi większego problemu. Ważne są też stosunki jakie panują podczas zakończenia współpracy. Przecież pracownik może robić dobrą minę do złej gry. Wraz z przyjęciem wypowiedzenia powinny zostać zmienione dane dostępu i sądzę, że problem byłby mniejszy, ale niestety jesteśmy tylko ludźmi a nie zaprogramowanymi maszynami i najczęściej odkłada się tą czynność na później, ponosząc tego konsekwencje w postaci utraty jakże ważnych danych dla firmy, najczęściej przez zwykłe gapiostwo.

Permalink Reply by Ewa Wojciechowska on December 29, 2011 at 11:13am

O istotności odbioru praw dostępu powiedziano już wystarczająco wiele. Pomimo różnego rodzaju zabezpieczeń nieuczciwi pracownicy znajdują inne sposoby na wyniesienie danych z firmy. Głownie polegać musimy niestety na uczciwości współpracowników, co jest bardzo trudne w czasach gdzie pieniądze odgrywają znaczna role. W jednej z firm w której pracowałam, w celu ochrony wszelkich danych, w momencie podpisania umowy podpisuje się również deklaracje o zakazie rozpowszechniania danych firmowych. Złamanie tej deklaracji związane jest z pokryciem sporego odszkodowania, jeśli nie nawet sprawą sądową. W celu ochrony konkurencyjności, przez okres 2 lat od zakończenia współpracy nie można również rozpocząć pracy we wskazanych w deklaracji firmach...Co u uważacie o tej metodzie...Wydaje mi się że opcja sporego odszkodowania, które musieliby zapłacić pracownicy w momencie złamania deklaracji, sprawi ze przemyślą wszelkie działania.