Een medewerker vertrekt, de laptop wordt ingeleverd, er is taart — en drie maanden later logt zijn account nog gewoon in op de boekhoudsoftware. Bij grote bedrijven vangt een geautomatiseerd proces dit af. Bij kleinere organisaties hangt het van een mailtje aan “iemand van IT” af, en dat mailtje wordt nogal eens vergeten.
Dat is geen theoretisch risico. Vergeten accounts spelen een rol in een flink deel van de inbraken bij bedrijven: soms omdat een ontevreden ex-medewerker zelf nog even rondkijkt, vaker omdat criminelen het gelekte wachtwoord van zo’n account bemachtigen. Niemand merkt het misbruik op, want niemand kijkt naar een account waarvan de eigenaar al maanden weg is.
Waarom het bij kleine bedrijven vaker misgaat
Het probleem is zelden onwil, maar versnippering. Een gemiddeld MKB-bedrijf gebruikt tegenwoordig tientallen clouddiensten: Microsoft 365 of Google Workspace, het boekhoudpakket, de CRM, de planningstool, marketingsoftware, dat ene gedeelde Dropbox-account. Wie houdt bij waar de vertrekkende medewerker allemaal toegang toe had? Meestal niemand — er is geen lijst.
Extra lastig zijn de gedeelde wachtwoorden: het socialmedia-account van de zaak, de inlog van de webshop-leverancier, de code van het alarmsysteem. Die verander je niet door één account uit te zetten.
Een offboarding-checklist die werkt
Het goede nieuws: dit is met één middag inrichten grotendeels op te lossen.
Houd per medewerker een toegangslijst bij. Niet achteraf reconstrueren, maar bijhouden vanaf de eerste werkdag: welke systemen, welke rollen, welke gedeelde wachtwoorden. Een simpele spreadsheet of een notitie in de wachtwoordmanager volstaat.
Maak offboarding een vast proces met een eigenaar. Eén persoon (kantoormanager, IT-verantwoordelijke) loopt op de laatste werkdag de lijst na: accounts blokkeren, e-mail doorschakelen, toegang tot gedeelde mappen intrekken, bedrijfsgegevens van de privételefoon (laten) verwijderen.
Wijzig gedeelde wachtwoorden direct. Elk gedeeld wachtwoord waar de vertrekker bij kon, gaat op de laatste werkdag om. Met een wachtwoordmanager is dat een kwestie van minuten.
Blokkeer, verwijder niet meteen. Zet accounts de eerste maanden op inactief in plaats van ze te verwijderen — zo blijven mail en documenten beschikbaar voor overdracht en onderzoek, zonder dat er nog iemand op kan inloggen.
Controleer twee keer per jaar de accounts. Loop elk halfjaar alle actieve accounts in je belangrijkste systemen na. Elk account dat je niet direct kunt koppelen aan een huidige medewerker is huiswerk.
Vertrekt er binnenkort iemand? Zie het als een gratis oefening: als de offboarding soepel verloopt, staat je proces. Zo niet, dan weet je precies wat er nog ontbreekt — en dat is beter dan het van een aanvaller te horen.
Redactie CybersecurityNieuws.nl
Blijf op de hoogte
Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.