Offboarding, tedy proces odchodu zaměstnanců, je stejně důležitý jako nábor a proces zaučování.

Přesto ho firmy často zanedbávají. Odchod nespokojeného zaměstnance přitom může firmu bezpečnostně ohrozit, například v podobě krádeže nebo smazání dat, ale také ohrožení reputace a finančních škod.

Lidé odcházeli ze zaměstnání vždycky: ať už z vlastní vůle, nebo kvůli závažné chybě či nutnosti firemní restrukturalizace. Pokud k něčemu takovému dojde, ne vždy se firmě bohužel podaří rozejít se se zaměstnancem v dobrém.

Odstrašujícím příkladem, kdy zaměstnanec hrozil svému bývalému zaměstnavateli, je indicent z roku 2017. Závažný kybernetický útok vyvolal Levi Delgago, který pracoval jako IT administrátor ve zdravotnickém centru. Po svém propuštění Delgago neoprávněně vnikl do IT sítě centra a způsobil rozsáhlou škodu: vymazal uživatelské účty a server s daty, čímž znemožnil zaměstnancům přístup k počítačům a ke kartám pacientů. To vedlo k přerušení lékařské péče a nutnosti přeplánování lékařských schůzek. Delgago byl za tento čin odsouzen v roce 2021.

Fakt, že odchod zaměstnance znamená potenciální riziko úniku informací a neoprávněných přístupů do firemního online prostředí, si management uvědomuje, nicméně toto riziko často přehlíží. V prlzkumu portálu TechRepublic se 48 % dotazovaných firem přiznalo, že jejich bývalí zaměstnanci mají i dál přístup k firemním sítím. A celá pětina firem se setkala s případem, kdy odcházející zaměstnanec zcizil nebo smazal citlivá data.

Klíčová je spolupráce HR a IT oddělení

Jak se vyvarovat úniku dat a jiných bezpečnostních pastí, které může představovat odchod zaměstnance? Vše začíná na samotném začátku spolupráce: důsledně nastavený proces onboardingu, na jehož podobě by se mělo podílet i IT oddělení, je základním kamenem ochrany organizace. Pravidla pro uchovávání a sdílení dat, přístupy k sítím, cloudům a aplikacím, by měla být součástí dobře připraveného interního manuálu pro nastupující zaměstnance. Každý nově příchozí pracovník by se sním měl seznámit hned při nástupu a během působení u firmy se jím řídit. Při odchodu takový manuál umožní přehlednou kontrolu ze strany IT a administrátorů.

A na co si dát tedy pozor, když zaměstnanec opouští firmu? Zde je sedm tipů pro bezpečný offboarding:

Dokončení a předání práce

Pokud se daná pozice odcházejícího zaměstnance neruší, je nutné práci předat. V nejlepším případě odcházející pracovník svého nástupce zaškolí nebo vypracuje předávací dokument a potřebnými informacemi a kontakty. Není proto vhodné hned na začátku procesu offboardingu rušit odcházejícímu kolegovi přístup na Google Workspace, Microsoft 365, k aplikacím projektového a zákaznického managementu. IT by ale ve spolupráci s HR mělo ošetřit rozsah oprávnění, která se k aplikacím váží, a zamezit tak případnému neoprávněnému nakládání s daty a kontakty. Samozřejmou, ale občas opomíjenou maličkostí je nastavení přeposílání emailů na nástupce či nadřízeného.

Převzetí souborů

Poslední den ve firmě by měl být i posledním dnem, kdy se v držení bývalého zaměstnance nachází jakákoliv data spojená s firmou. Při předávání je nutné pamatovat na odevzdání všech souborů uložených v e-mailech a aplikacích, rozpracovaných konceptů, zdrojových souborů a podkladů na fyzických nosičích.

Zrušení přístupových hesel a práv

Při přebrání veškerých dat je čas na deaktivaci firemního profilu. To předpokládá jednak odhlášení uživatele ze všech zařízení a služeb, a následně zrušení jeho přístupových práv, včetně práv k používání sdílených aplikací a nástrojů projektového a zákaznického managementu. Deaktivace musí proběhnout i u všech aktualizací softwaru a aplikací. Důležité je také zrušení oprávnění přístupu ke cloudovým službám, které poskytuje externí provider na bázi SaaS (Sofware as a service). Nezapomeňte, že přístup k softwarovým aplikacím, cloudovým službám a datům je možný i prostřednictvím služeb app-to-app. Oprávnění k přístupu a aktualizacím je třeba ošetřit i zde.

Práva na služby, licence a domény

Zvlášť při odchodu vyšších manažerů a klíčových zaměstnanců je potřeba zajistit převedení softwarových licencí, práv v doménám a také oprávnění k vystupování jménem firmy na sociálním médiích.

Fyzické přístroje

IT bezpečnost se neomezuje jen na online prostředí. Stejně důležité je převzetí klíčů, vstupních čipů, karet zaměstnance, tokenů, donglů, disků a USB klíčů. Musí také proběhnout předání telefonu a laptopu. Pokud si odcházející kolega elektroniku ponechává, musí IT oddělení zajistit odinstalování firemního softwaru, změnu hesel a dalších přístupových a identifikačních zařízení. Samozřejmostí by mělo být podepsání předávacího protokolu potvrzujícího, že zaměstnanec vrátil vše, co je třeba.

Oznámení odchodu partnerům a zákazníkům

Vyrozumění, že odcházející kolega už nebude vystupovat jménem firmy, může sloužit jako účinné bezpečnostní opatření. Pokud se po odchodu z firmy exzaměstnanec pokusí kontaktovat zákazníky, dodavatele nebo partnery firmy, oslovení lidé budou předem seznámení s tím, že tento člověk již nezastupuje zájmy společnosti a nemá oprávněí jednat jejím jménem. To pomáhá předejít nedorozuměním nebo potenciálnímu zneužití firemních informací.

Výstupní pohovor či dotazník

Odcházející kolega není jen potenciálním rizikem. Lze ho vnímat jako zdroj cenných a upřímných informací. Odcházející zaměstnanec zpravidla nemá důvod něco zatajovat, a měl by absolvovat výstupní osobní pohovor, nebo alespoň vyplnit dotazník (zvlášť, pokud jde o pracovníka na vysoké pozici). Kromě náhledu do fungování firmy takový přístup znamená i zvýšení šance, že zaměstnanec neodejde ve zlém a že případné hodnocení firmy na platformách typu Glassdoor nebo Atmoskop nebude ovlivněné zjitřenými emocemi.

Význam efektivního offboardingu nelze podceňovat. Naopak, mělo by se k němu přistupovat se stejnou pečlivostí a důrazem na detaily, jako na jakýkoliv jiný strategický proces nebo agendu firmy. Jeho nedílnou součástí by měla být ochrana informací, pečlivé předání práce a zajištění, že firemní data a přístroje odcházející zaměstnanec bezpečně vrátil.

Dobře zvládnutý offboarding navíc pomáhá snížit riziko, že zaměstnanec opustí firmu s negativními emocemi. Spokojený exzaměstnanec nejenže neohrozí kontinuitu podnikání firmy, ale naopak může společnosti přinést cennou zpětnou vazbu a tím j pomoci posunout se kupředu. Každý odchod zaměstnance má být příležitostí k reflexi a využití získaných poznatků pro růst a vývoj organizace.

Zdroj: O2, AN