Ma már szinte minden álláshirdetések állandó eleme a – szakmai tapasztalat és a nyelvtudás szintjével kapcsolatos elvárások mellett – a felhasználói szintű informatikai ismeret mint alapkövetelmény. Míg a szakmai tapasztalatot a referenciák, a nyelvtudás szintjét pedig egy rövid, az adott nyelven folyó beszélgetés alapján viszonylag jól meg lehet ítélni, és meg is ítélik az állásinterjúk során, az informatikai ismeretekről nem nagyon szokott szó esni az felvételi folyamatában. Azt lényegében bemondásra elhiszik a felvételiztetők.

Pedig ez önmagában jelentő kockázatot jelent majd a beléptetni kívánt új munkatársnál. Az alábbiakban vizsgáljuk meg a felmerülő problémák egyetlen – ám nagyon fontos! – aspektusát: korábbi áttekintő cikkem egyetlen részletét kibontva nézzük meg a fontosabb információ biztonsági eseményeket egy alkalmazás teljes ciklusát végigkísérve!

Alkalmazás előtt és az első munkanap kockázatai

Mint azt a fentebb említett cikkemben is írtam, a toborzás során rengeteg személyes adat gyűlik össze a jelöltekről, melyek a HR-re komoly adatkezelési feladatokat rónak. Alapszabály azonban, hogy az így gyűjtött személyes adatokat mindazon jelentkezők esetében meg kell semmisíteni toborzás befejeztével, akik nem nyertek felvételt, és egy nyilatkozatban nem járultak hozzá a további adatkezeléshez. Ennek oka az, hogy a toborzási folyamat lezárultával megszűnt az adatkezelés oka.

A sikeresen kiválasztott új kollégával ismertetni kell betöltendő pozíció pontos munkaköri leírását, a munkakörrel járó köztelezettségeket, elvárásokat – és természetesen a jogosultságokat is. Mindezt azonban nem csupán azért kell megtenni, mert munkáltatót erre törvény kötelezi. Saját jól felfogott érdekében is, azaz hogy biztosítható legyen a szervezetben az információbiztonság.

Mit jelent ez a mindennapokban?

Az első munkanap minden új munkahelyen sűrű. A frissen felvételt nyert alkalmazottat ki kell képezni: át kell esnie kötelező munkavédelmi, tűzvédelmi oktatáson, meg kell ismertetni vele a szervezet belső szabályzatát, valamint informatikai és információ biztonsági oktatásban is részesülni kell. Ezen a napon veszi át az munkavégzéshez kapcsolódó eszközeit: belépő kártya, telefon, számítástechnikai eszközök és így tovább.

Ha notebookot vagy bármilyen más hordozható eszközt is kell használnia a munkakörében, akkor a legtöbb esetben valamilyen átadás-átvételi procedúra is lezajlik. Asztali gép használatakor ehhez ritkábban ragaszkodnak a munkáltatók, ami nem feltétlenül helyes, ahogy az sem, hogy szervezet nyomtatóinak, fénymásolóinak és egyáltalán, az IT-infrastruktúrának a felelősségteljes használatára okításról szinte mindenhol megfelejtkeznek. Pedig sok jövőbeni probléma megelőzhető, ha a belépő  egy teljes informatikai infrastruktúra használatára kiterjedő szabályrendszert és oktatási csomagot kap kézhez az első munkanapon.

Mihez férjen hozzá az új kolléga?

Az új kolléga belépését a HR-nek kell menedzselnie, így a HR feladata az is, hogy hozzáféréseket igényeljen számára a munkaköri leírás alapján. Sok szervezetben azonban egyáltalán nem dokumentálják és nem definiálják a hozzáféréseket (access manegment), így kézen-közön, szokásjog alapján az új munkatárs ugyanolyan jogokat kap, mint amivel az elődje is rendelkezett.

Pedig vannak jól követhető szabályrendszerek, bevált gyakorlatok. A hozzáférésmenedzsment része például az ITIL-nek ( Information Technology Infrastructure Library) és az ISO 27001 ajánlásainak is. (A HR-es kollégák számára ma már remek, a TÁMOP keretében is elszámolható, akkreditált képzések is elérhetőek a témában. Ezekre érdemes beiskolázni az informatikus kollégákat is.) Összefoglalóan: akkor járunk el helyesen, ha a különböző munkakörökhöz, munkaköri csoportokhoz létrehozzuk és dokumentáljuk az informatikai hozzáférés rendjét. Ennek természetesen azt is kell tartalmaznia, hogy ha ettől el kell térni, azt ki és milyen folyamat keretében engedélyezheti.

Az új belépővel érdemes megismertetni a következőket:
– az információbiztonsági szabályzatot;
– a hozzáférési jogosultságok rendszerét;
– a fizikai eszközök használati szabályait (notebook, asztali gép , printer, fénymásoló stb.);
– a helpdesk működési módszertanát;
– az utazás alatti informatikai és eszközkezelési elvárásokat és ajánlásokat;
– valamint a közösségi portálokon való megjelenéssel és kommunikációval kapcsolatos elvárásokat és ajánlásokat.

A dolgozó belső titkokat is megtud. De meg is tartja?

Fontos kérdés, hogy az új munkatárs kezelhet-e bizalmas adatokat vagy sem? Nagyon sokat segít, ha ha ezt a témát a munkafolyamatokban illesztve kezeljük.

Már a felvételi folyamatban érdemes az egyes munkaköröknél tisztázni az információbiztonság kérdést, és a munkaszerződés részévé tenni a titoktartási passzusokat. Ha nem minden kolléga szerződése tartalmaz titoktartásra vonatkozó kitételeket, akkor viszont érdemes kontrollokat beépítünk be az IT oldalán is. Ez a gyakorlatban azt jelentheti például, hogy a bizalmas adatokhoz való hozzáférési jogosultságok megadásához az IT-nek minden esetben ellenőriznie kell a titoktartási szerződés meglétét. Ezeket a szerződéseket, mint azt többször is említettem, a HR kezeli.

Ebben az estben az IT kontrollja azt jelenti, hogy hozzáfér ehhez a nyilvántartáshoz (olvasási joggal), és az adatkérés esetén visszaellenőrzi a kérelem jogosságát.

Mindenki ahhoz férjen hozzá, amire a munkájához szüksége van

Sok problémát okoz a cégen belüli pozícióváltás. Egy új munkakörbe kerüléskor ugyanis – elvileg – változnia kellene a dolgozó jogosultságainak is, még akkor is, ha a szervezeti hierarcuhiában feljebb kerül. A szélesebb hatáskör ugyanis nem jelenti feltétlenül azt, hogy mindazon hozzáférései megmaradnak, melyeket az alacsonyabb munkakörben betöltött. És akkor még nem is beszéltünk a szervezeti egységek közötti vándorlásról, amikor akár az is előfordulhat, hogy az új munkakör jogosultságai kizárják a régivel járókat.

Ennek ellenére gyakori probléma a szervezetekben, hogy az átmeneti időszakot követően – amikor munkaszervezési okok miatt mindkét pozíció jogosultságait megkapja a kolléga – sem módosítják a jogosultságának a körét. Legrosszabb esetben egy nagyobb belső mobilitást mutató szervezeteben kialakulnak jogosultsághalmozó „szuperfelhasználók”, akik néhány munkakörváltás után úgy férnek hozzá korlátlanul gyakorlatilag mindenhez, hogy már nyomon sem követhető a tevékenységük. Arra meg végképp nem emlékszik már senki, hogy mikor és miért kapták ezeket a jogosultságaikat.

A részletesen dokumentált hozzáféréséi struktúra erre is jó megoldás. Az IT-rendszerek esetében pedig igazán fejlett jogosultságkezelési eszközöket lehet találni, melyek akár már a szervezet által igénybe vett felhőszolgáltatások esetében is pontosan nyilvántartja, kezeli, automatizálja azt, hogy ki mikor és milyen jogkörrel férhet hozzá. Ezek a rendszerek ráadásul pontosan naplózzák is minden dolgozó tevékenységét és a változásokat.

A biztonságos kilépés, azaz a közös megegyezés és a fekete leves

Habár sokan ezt tartják munkajogilag a legproblémamentesebbnek, információbiztonsági szempontból épp ellenkezőleg: a közös megegyezéssel történő elválás a legkritikusabb. Ez ugyanis sok esetben a kölcsönös bizalomra épít. Csakhogy a bizalom egy olyan luxus, amit egyetlen, a saját biztonságára ügyelő vállalat sem engedhet meg magának.

Általános tapasztalat, hogy ha a valaki távozik a szervezettből, akkor ott előbb utóbb felmerül benne, hogy magával visz mindent, amit lehet, azaz mindent, amivel munkaerő-piaci pozícióit javíthatja: adatbázisokat, leveleket, szerződéseket stb. De még ha nem is visz semmit, a szervezet vezetésében akár ok nélkül is felmerülhet a gyanakvás: vajon elvitt-e olyasvalamit a kilépő dolgozója, amivel jó eséllyel házalhat a konkurenciánál?

Azaz jobb mindent pontosan rögzíteni, ami jó a szervezetnek, mert biztonságban érezheti magát, és a jó kilépőnek, mert nem gyanúsítják fölöslegesen.

Összegyűjtöttem néhány olyan lépést, amely zökkenőmentesebbé és biztonságosabbá teszi az elválást.

Nagyon fontos a naplózás. Ha nincs bekapcsolva a tevékenységek logolása, akkor azt a felmondási idő alatt érdemes az IT-vel bekapcsoltatni. Ha amúgy is naplózzák a kilépő tevékenységét, érdemes azt részletesebb szintre kapcsolni.

Ha a távozó kolléga megvásárolhatja az általa használt eszközök egy részét, például a notebookját, át kell gondolni, hogy milyen adatselejtezést írunk elő az eszközre értékesítés előtt. Ennek ki kell terjednie az operációs rendszer és az alkalmazások licencére ugyanúgy, mint a gépen tárolt adatokra. Ilyen esetben célszerű lehet egy teljes újratelepítés is, miután a gép tárolójának teljes tartalmát törültük (erre bizonyos esetekben jobb visszaállíthatatlan törlést végző célszoftvert használni).

Más és más jogosultsági szinteket kell alkalmazni a felmondási idő munkában töltött időszakára és arra, amikor a dolgozót felmentették a munkavégzés alól, de a leghatásosabb, ha a munkájához használt eszközökkel az utolsó munkában töltött napján elszámol. A jogosultságokat a változás beálltakor azonnal módosítani kell.

Ha a felmondás azonnali hatályú, még fontosabb az időzítés: egyszerre kell lezajlania a jogi és az informatikai folyamatoknak. Amíg a jogi folyamtok zajlanak: felmondás bejelentése, a felmondó levél szövegének átnézése stb. zajlanak, az IT-nek azzal párhuzamosan fel kell függesztenie a a dolgozó hozzáféréseit, és gondoskodnia kell arról is, hogy a távozó alkalmazott csak felügyelet mellett férhessen hozzá a számítógépéhez.

Ere azért van szükség, mert a vállalat információ vagyonát képzi minden adat, ami a vállalt által biztosított eszközön van, beleértve az e-maileket és a dokumentumokat is. Ebből következik az, hogy a felmondáskor az alkalmazott már csak azt viheti el, amihez a munkáltató hozzájárul. A gép persze tartalmazhat személyes adatokat, dokumentumokat (pl. fényképeket) is, aminek a tárolására az alkalmazás megszüntetésével a vállalat nem jogosult. Arról, hogy mi minősül személyes adatnak, a 2011. évi CXII. törvény rendelkezik.

Ebben az esetben is hasonló dolgokra kell figyelni, mint a közös megegyezéssel történő elválásánál. Mindenekelőtt ellenőrizni kell, hogy megszüntettük-e az összes hozzáférési jogogosultságot (Windows belépés, ERP rendszer, távoli hozzáférés, webes partneri, anyavállalati jogosultságok,szervezeti tagságok, beléptető rendszer stb.).

Figyelni kell arra, hogy a dolgozó okostelefonja is tartalmazhatnak céges adatokat, kontaktokat. A beérkező leveleket át kell átirányítani, és biztosítani kell, hogy a vezetés hozzáférjen a dolgozó korábbi levelezéséhez. A postafiókban be kell állítani egy automatikus választ, melyben az ügyfeleket informáljuk a változásról. (Érdemes erről külön kör e-mailt is kiküldeni az ügyfeknek.)

A dolgozói jogviszony azonnali hatályú munka megszüntetésnél az időprés a legfontosabb probléma, ezért érdemes erre külön intézkedési tervet készíteni az informatikával közösen, amelyben előre tisztázzuk, hogy a folyamatban ki miért felel.

A szerző tréner, a Gill & Murry tanácsadó cég vezetője