Il 67% delle organizzazioni non è sicuro che un ex dipendente non stia ancora accedendo alle risorse aziendali dopo che ha lasciato il posto di lavoro. Il 53% non dispone di processi e sistemi consolidati per monitorare l'accesso alle applicazioni e alle informazioni riservate aziendali.

La digitalizzazione delle informazioni e dei documenti ha indubbiamente reso molto più semplice per qualsiasi dipendente appropriarsi di dati il cui accesso non gli sarebbe stato consentito "su carta". Un dipendente scontento o licenziato potrebbe costituire una serissima minaccia per la riservatezza dei dati aziendali. Nei casi in cui i dati siano protetti dal Codice Privacy (GDPR) o siano vitali per la sopravvivenza futura dell'azienda, il rischio aumenta vertiginosamente. Per questo motivo le aziende più sensibili al tema hanno definito delle politiche (più o meno governate da procedure e strumenti tecnologici) per il provisioning e il de-provisioning delle utenze sui sistemi informatici.

Provisioning per garantire che l'accesso ai dati sia limitato a quanto necessario per svolgere la propria attività lavorativa, De-Provisioning per garantire la rimozione di tutti i profili una volta che il dipendente termini il rapporto di lavoro.

E' importante quindi rimuovere l'accesso a dati, servizi e risorse, disattivare l'ID di accesso del dipendente ai locali, bloccare l'autenticazione del dipendente alla rete aziendale e disabilitare le eventuali carte utilizzate (credito, carburante, etc...), ma anche prevedere la restituzione dai dipendenti in partenza di qualsiasi proprietà, dati aziendali, informazioni riservate, badge, chiavi, laptop, token, fax, telefoni cellulari e altre apparecchiature aziendali in dotazione.

Tutto questo non basta. E' consigliabile inoltre:

  • Far firmare ai dipendenti un accordo di non divulgazione all'atto dell'assunzione e ricordare loro che hanno il dovere di mantenere la riservatezza al momento dell'uscita; 
  • Monitorare l'accesso e le azioni intraprese sui sistemi nei tre mesi precedenti l'uscita del dipendente (analisi degli scostamenti da una baseline). Tenere inoltre presente che spesso i dipendenti iniziano a scaricare i dati molto prima di andarsene spontaneamente (campanello d'allarme);
  • Accertarsi che al dipendente licenziato sia pagato tutto il dovuto senza ulteriori accanimenti;
  • Garantire che le informazioni riservate relative a un dipendente rimangano tali. 

Una società ha il dovere di proteggere le informazioni personali dei dipendenti, assicurandosi (in caso di licenziamento) che non venga intrapresa alcuna azione per mettere in imbarazzo, diffamare o ricattare l'ex dipendente.