TK
Cyberbezpieczeństwo

Jak uporządkować dostępy przed odejściem pracownika

V

Uporządkuj dostęp do systemów, zanim odejście pracownika wywoła bałagan. Sprawdź, jak odzyskać kontrolę i zamknąć luki.

Tomasz Karczmarczyk
AutorTomasz Karczmarczyk
9 minut czytania

Jak uporządkować dostępy przed odejściem pracownika

Odejście pracownika nie tworzy chaosu – ono tylko pokazuje, że firma od dawna nie kontrolowała dostępu do własnych systemów. Jeśli logowanie, uprawnienia i odzyskiwanie kont są rozproszone między ludźmi, wiadomościami i prywatnymi skrzynkami, problem nie zaczyna się przy offboardingu. On istnieje już od miesięcy.

Najgorsze w tym bałaganie jest to, że przez długi czas wygląda niewinnie. Wszystko niby działa, dopóki nie odchodzi osoba, która „miała to ogarnięte”. Wtedy firma odkrywa, że nie ma procesu, tylko pamięć ludzi i trochę szczęścia.

Kontrola zaczyna się od jednego rejestru

Zarządzanie dostępami nie działa bez jednego miejsca, w którym widać całość. Jeśli lista systemów siedzi w głowie właściciela, zgody są w mailach, hasła w czacie, a poziomy uprawnień w kilku panelach, nie ma mowy o kontroli. To jedynie zbiór luźnych wspomnień.

Minimalny rejestr dostępów nie musi być skomplikowany. Na początek wystarczy tabela z ośmioma polami:

  • nazwa systemu,
  • właściciel biznesowy,
  • właściciel techniczny,
  • użytkownik,
  • poziom uprawnień,
  • powód nadania dostępu,
  • data przeglądu,
  • sposób odzyskania kontroli nad kontem.

Bez tych pól trudno odpowiedzieć na podstawowe pytania: kto ma dostęp, po co go ma, kto go zatwierdził, kiedy trzeba go sprawdzić i co zrobić, jeśli dana osoba zniknie z firmy.

Nie każdy system jest równie ważny

Firmy często wykładają się na próbie porządkowania wszystkiego naraz. Taka droga zwykle kończy się tym, że nie zostaje uporządkowane nic. Lepiej zacząć od prostego podziału systemów według krytyczności.

Systemy krytyczne to takie, których utrata blokuje firmę albo grozi utratą pieniędzy, danych lub kontroli.

Zwykle należą do nich:

  • poczta firmowa,
  • domena,
  • hosting,
  • CRM,
  • system płatności,
  • księgowość,
  • repozytorium kodu,
  • konta administratorów,
  • panele reklamowe.

Systemy ważne to te, bez których da się działać przez chwilę, ale z wyraźnym kosztem. Systemy pomocnicze to cała reszta. Taki podział oszczędza czas, bo pozwala zacząć tam, gdzie jeden błędny dostęp może zatrzymać firmę.

Rola porządkuje dostęp, wyjątek go psuje

Dostęp powinien wynikać z roli i zakresu obowiązków, a nie z historii przypadków. Jeśli ktoś pracuje w sprzedaży, dostaje pakiet uprawnień potrzebny do sprzedaży. Jeśli przechodzi do innego obszaru, stare dostępy znikają, a nowe wynikają z nowej roli.

W praktyce wiele firm działa odwrotnie. Ktoś dostaje kolejny dostęp, bo „na chwilę pomoże”, „też tego czasem używa” albo „szkoda to teraz zdejmować”. Po pół roku taka osoba ma więcej uprawnień, niż uzasadnia to cały proces.

Sam wyjątek nie musi jeszcze oznaczać problemu. Problem zaczyna się wtedy, gdy nikt nie wpisze go do rejestru, nie przypisze do właściciela i nie oznaczy datą przeglądu. Wtedy wyjątek przestaje być wyjątkiem i zamienia się w stary bałagan z datą ważności ustawioną na nigdy.

Najwięcej szkód robi prywatny dostęp do firmowych zasobów

Krytyczny zasób nie powinien być zakładany i utrzymywany tak, jakby był prywatnym kontem pracownika. Jeśli domena, panel reklamowy, hosting, skrzynka, płatności albo repozytorium są podpięte do prywatnego maila jednej osoby, firma nie kontroluje zasobu. Korzysta jedynie z cudzego dostępu.

To częsty błąd w mniejszych firmach. Na początku „tak było szybciej”, później nikt tego nie poprawił, a na końcu przychodzi dzień, w którym trzeba odzyskać konto i okazuje się, że kody Multi-Factor Authentication (MFA) trafiają na prywatny telefon byłego pracownika, reset hasła przychodzi na jego prywatny mail, a dokumentów potwierdzających własność nikt nie ma pod ręką.

Dlatego krytyczne konta powinny być firmowe. Dostęp powinien opierać się na firmowej skrzynce, menedżerze haseł, MFA i jasno wskazanym właścicielu zasobu. W przeciwnym razie firma nie buduje kontroli, tylko opiera się na zaufaniu.

Offboarding nie kończy się na wyłączeniu konta

Wyłączenie konta pracownika to dopiero początek. Jeśli proces kończy się na zablokowaniu logowania do poczty albo komunikatora, połowa problemu zostaje nierozwiązana.

Pełny offboarding obejmuje co najmniej sześć elementów:

  • blokadę kont użytkownika,
  • odebranie licencji,
  • przejęcie plików i zadań,
  • zmianę haseł do zasobów współdzielonych,
  • unieważnienie tokenów i kluczy API,
  • weryfikację urządzeń, aktywnych sesji i metod odzyskiwania dostępu.

Właśnie tutaj firmy najczęściej tracą kontrolę. Pamiętają o mailu, ale zapominają o integracji. Pamiętają o CRM-ie, ale pomijają token do formularza. Pamiętają o laptopie, ale nie o prywatnym telefonie z aplikacją MFA. Bałagan często ukrywa się w rzeczach, które z pozoru wyglądają na drobiazgi.

Jeden scenariusz mówi więcej niż dziesięć ogólników

Załóżmy prostą sytuację. Odchodzi handlowiec, który miał dostęp do CRM-u, współdzielonej skrzynki, panelu do kampanii, narzędzia do podpisu dokumentów i prywatnego telefonu używanego do MFA. Dodatkowo był podpięty do integracji, która automatycznie przerzuca leady z formularza do CRM-u.

Jeśli firma nie ma rejestru dostępów, w dniu odejścia zaczyna zgadywać: kto zmienia hasło do skrzynki, kto odbiera dostęp do CRM-u, czy integracja nadal działa, czy panel kampanii był założony na firmę czy na prywatne konto, czy token do formularza trzeba unieważnić i czy kody odzyskiwania zostały w ogóle zapisane.

W dobrze ułożonej firmie taki scenariusz jest nudny. W źle ułożonej bywa bardzo kosztowny, zwykle nie dlatego, że system był skomplikowany, lecz dlatego, że nikt wcześniej nie spisał odpowiedzialności.

Czasem konto współdzielone zostaje, ale pod ścisłym nadzorem

Zdarzają się sytuacje, w których konto współdzielone nadal istnieje, bo system jest stary, źle zaprojektowany albo ma fatalny model uprawnień. Nie trzeba udawać, że zawsze da się tego uniknąć.

Takie konto musi jednak funkcjonować pod ścisłym nadzorem. Trzeba wiedzieć, kto z niego korzysta, gdzie jest hasło, kto może je zmienić, kiedy było ostatnio rotowane i jaki jest plan odejścia od tego rozwiązania. Bez tego konto współdzielone zamienia się w czarną skrzynkę, której nikt nie ufa, ale wszyscy jej używają.

To istotny przypadek graniczny. Kłopotem nie jest sam wyjątek, lecz wyjątek bez nadzoru, właściciela i daty przeglądu.

Bez przeglądu dostępów porządek długo nie wytrzyma

Jednorazowe uporządkowanie dostępu daje ulgę, ale nie zapewnia trwałej kontroli. Jeśli później nikt nie wraca do uprawnień, po kilku miesiącach wraca ten sam bałagan, tylko lepiej ukryty.

Dobry przegląd dostępów nie musi być skomplikowany. Dla każdego dostępu wystarczą cztery pytania:

  • czy ta osoba nadal pracuje z tym systemem,
  • czy nadal potrzebuje tego dostępu,
  • czy poziom uprawnień jest nadal właściwy,
  • czy ten dostęp ma nadal uzasadnienie biznesowe.

Jeśli na któreś z tych pytań odpowiedź brzmi „nie”, dostęp trzeba zmienić albo odebrać. W ten sposób zamyka się stare wyjątki, martwe konta i uprawnienia, które kiedyś miały sens, a dziś są już tylko organizacyjnym odpadem.

Odzyskanie kontroli trzeba mieć opisane przed problemem

Hasło nie jest jeszcze planem odzyskania dostępu. Taki plan zaczyna się wtedy, gdy wiadomo, na jaki adres trafia reset, kto ma dostęp do MFA, gdzie są kody odzyskiwania, kto widnieje jako właściciel usługi i gdzie znajdują się dokumenty potwierdzające rozliczenia albo własność konta.

Ma to szczególne znaczenie przy domenach, hostingu, poczcie, reklamach i płatnościach. W tych obszarach odzyskanie kontroli bez dokumentów i bez prawidłowo ustawionego właściciela bywa wolne, upokarzające i momentami absurdalne. Firma nagle odkrywa, że płaciła za usługę od lat, ale nadal nie umie jej formalnie przejąć.

Dlatego w rejestrze systemu warto mieć nie tylko informację, kto korzysta z narzędzia, lecz także opis tego, jak firma odzyska kontrolę, jeśli zabraknie administratora, właściciela procesu albo osoby, która kiedyś zakładała konto.

Bez właściciela systemu nie ma komu oddać odpowiedzialności

Każdy ważny system powinien mieć dwóch właścicieli. Właściciel biznesowy odpowiada za to, po co system istnieje, kto go potrzebuje i jakie ryzyko powstaje, gdy dostęp jest błędny. Właściciel techniczny odpowiada za administrację, nadawanie uprawnień, odzyskiwanie dostępu i porządek po zmianach.

Te role nie zawsze muszą oznaczać dwie różne osoby, zwłaszcza w małej firmie. Same odpowiedzialności powinny jednak być rozdzielone w myśleniu i w dokumentacji. Inaczej wszystko kończy się starym firmowym rytuałem: „zapytaj Marka, on chyba wie”.

Jeśli dla domeny, hostingu, CRM-u, płatności i repozytorium nie da się wskazać właściciela biznesowego, technicznego i procedury odzyskania dostępu, nie ma systemu zarządzania. Jest tylko organizacyjna prowizorka.

Firmy często mylą porządek z zakupem kolejnego narzędzia

Nowe narzędzie nie naprawi braku odpowiedzialności. Można kupić menedżer haseł, Single Sign-On (SSO), Identity and Access Management (IAM) i trzy dodatki audytowe, a nadal nie wiedzieć, kto odpowiada za konto płatnicze założone pięć lat temu na prywatny mail byłego pracownika.

Częstym błędem jest też zostawianie dostępów „na wszelki wypadek”. Brzmi to niewinnie tylko do chwili, gdy ktoś odchodzi albo kliknie nie tam, gdzie trzeba. Wtedy okazuje się, że dawny tymczasowy dostęp był tymczasowy tylko z nazwy.

Kolejny problem to brak regularnego rytmu przeglądu. Bałagan zwykle nie rodzi się z jednego złego dnia. Powstaje z wielu małych zaniedbań, których nikt nie sprawdza przez kwartał, pół roku albo dłużej.

Od czego zacząć, jeśli dziś jest bałagan

Nie trzeba zaczynać od wielkiego projektu. Lepiej zacząć od miejsca, które najbardziej zaboli przy utracie kontroli. Najpierw spisz systemy krytyczne, potem przypisz właścicieli, a następnie sprawdź, czy konta są firmowe, kto ma dostęp i jak wygląda odzyskanie kontroli.

Drugi krok to zamknięcie najbardziej ryzykownych luk. Prywatne maile przy kontach firmowych, brak MFA, brak menedżera haseł, jeden administrator od wszystkiego i brak wiedzy o tokenach – to obszary, którymi warto zająć się najpierw.

Trzeci krok to wprowadzenie prostego rytmu. Nowy dostęp przechodzi przez schemat:

  • wniosek,
  • akceptacja,
  • nadanie,
  • wpis do rejestru.

Odejście pracownika przechodzi przez checklistę. Raz na ustalony okres robi się przegląd uprawnień. Ta powtarzalność właśnie dlatego działa, że nie wymaga improwizacji.

FAQ

Czy Excel albo arkusz wystarczy na start?

Tak, jeśli naprawdę jest utrzymywany. Nawet słabszy arkusz używany regularnie jest lepszy niż świetne narzędzie, którego nikt nie prowadzi. Problem zaczyna się wtedy, gdy arkusz jest tylko jednorazową akcją porządkową i przestaje być używany po tygodniu.

Co zrobić, jeśli ważne konto jest założone na prywatny mail pracownika albo byłego pracownika?

Najpierw trzeba odzyskać kontrolę właścicielską nad usługą i przepiąć dane na firmowy adres. Jeśli nie da się tego zrobić od razu, warto przynajmniej udokumentować ryzyko, zabezpieczyć hasło, MFA i przygotować plan migracji. Najgorszym rozwiązaniem jest udawanie, że problem rozwiąże się sam.

Jak często robić przegląd uprawnień?

To zależy od liczby systemów i poziomu ryzyka, ale ważniejsza od ambitnej częstotliwości jest regularność. Lepiej zrobić prosty przegląd co kwartał niż planować duży audyt, którego nikt później nie doprowadzi do końca.

Co dokładnie sprawdzać przy przeglądzie dostępu?

Najprostszy model opiera się na czterech pytaniach: czy użytkownik nadal pracuje z systemem, czy nadal potrzebuje dostępu, czy zakres uprawnień jest właściwy i czy istnieje aktualne uzasadnienie biznesowe. Taki przegląd nie wymaga rozbudowanej metodologii. Wymaga przede wszystkim dyscypliny.

Czy w małej firmie naprawdę trzeba rozdzielać właściciela biznesowego i technicznego?

Tak, choć nie zawsze muszą to być dwie różne osoby. Chodzi o rozdzielenie odpowiedzialności: kto decyduje, że dostęp jest potrzebny, a kto pilnuje, żeby został poprawnie nadany, odebrany i udokumentowany.

Co dalej

Jeśli chcesz sprawdzić, czy po odejściu jednej osoby odzyskasz kontrolę nad systemami, zrób audyt dostępów, właścicieli zasobów i procedur odzyskiwania kont.

Tomasz Karczmarczyk
O autorze
Tomasz Karczmarczyk
Pomagam firmom usługowym odzyskać czas, który codziennie ginie w powtarzalnych zadaniach. Audytuję procesy i narzędzia, wdrażam automatyzacje i wykorzystuję AI tam, gdzie realnie usprawnia pracę. Jestem też założycielem PressShield – marki specjalizującej się w cyberbezpieczeństwie stron opartych na WordPressie.
in
V

Powiązane

Zrozumienie jednego strzępu to za mało, by pojąć nadchodzące zmiany. Zanurz dłonie głębiej w kurz archiwum i odczytaj inne z tego samego stosu.

7 zasad backupu w firmie, które naprawdę działają
8 minut czytania

7 zasad backupu w firmie, które naprawdę działają

Backup ma sens tylko wtedy, gdy da się z niego odzyskać dane. Zobacz 7 zasad, zakres kopii i kolejność działań po awarii.

Passkey to nie mocniejsze hasło, tylko inny model logowania
4 minuty czytania

Passkey to nie mocniejsze hasło, tylko inny model logowania

Zobacz, dlaczego passkey nie jest lepszym hasłem, tylko zmianą modelu logowania i co to naprawdę zmienia w bezpieczeństwie kont.

Cloudflare 1.1.1.1, 1.1.1.2 i 1.1.1.3 bez tajemnic
6 minut czytania

Cloudflare 1.1.1.1, 1.1.1.2 i 1.1.1.3 bez tajemnic

Zobacz, czym różnią się adresy 1.1.1.1, 1.1.1.2 i 1.1.1.3, i sprawdź, co realnie zmienia filtr DNS-u, a co pozostaje takie samo.

Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo
4 minuty czytania

Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo

Dowiedz się, kiedy zmiana hasła ma sens, a kiedy tylko udaje bezpieczeństwo. Zobacz, jak ustawić zasady, które naprawdę zmniejszają ryzyko.

Dlaczego MFA zatrzymuje większość przejęć kont
4 minuty czytania

Dlaczego MFA zatrzymuje większość przejęć kont

Samo hasło dziś nie wystarcza. Sprawdź, jak MFA odcina phishing, wycieki i credential stuffing, zanim ktoś wejdzie na Twoje konto.

Menedżer haseł to nie wygoda, tylko konieczność
6 minut czytania

Menedżer haseł to nie wygoda, tylko konieczność

Jeden wyciek nie musi sparaliżować całej Twojej firmy. Sprawdź, jak menedżer haseł odcina efekt domina, ogranicza szkody i dlaczego to konieczność.