员工不会永远为同一家公司工作，处理他们的离职只是公司业务的一部分。但离职员工带来的安全风险可能很大。如果没有安全的离职流程，企业就会面临各种各样的（从无害的意外到恶意的蓄意）网络安全风险。

高流动率和裁员只会增加离职带来的安全压力，潜在的大量员工离开组织，有时甚至是在很短的时间内发生。首席信息安全官、安全团队和相关业务职能部门应定期审查离职流程，以查明潜在风险和漏洞，解决关键因素，确保离职策略在不断变化的网络威胁和员工模式中保持安全。

以下是离职员工给组织带来的一些最大风险，以及一些有助于使离职策略更具弹性的建议。

1. 数据失窃

Rapid7首席安全官Jaya Baloo表示，

安全卫生员兼顾问James Bore称，最著名的例子是一个经典故事：一位销售人员离职时带走了公司的客户名单。即使有合同条款等诸多限制，也很难阻止这种情况发生。

2. 心怀不满的离职者变成心怀恶意的内部人士

信息安全论坛（Information Security Forum）首席研究分析师Paul Holland表示，被告知离职日期的员工可能会心怀不满，对公司产生怨怼情绪，成为恶意的内部人士。这种风险更大，因为这些员工知道他们要比组织中的其他人更早离开，这可能使他们能够在任何人怀疑或意识到发生了什么之前执行恶意行为，如数据提取、数据操纵、数据破坏或安装恶意软件/后门。在他们最终离开之前，这种情况可能会持续数月。

在通知期内工作的员工也往往不太注意自己的工作，更容易犯可能泄露数据的错误。Omdia高级分析师Don Tait表示，使用多个应用程序的员工很快就会感到密码疲劳，使用容易被猜到的密码，有时还会将密码存储在不安全的地方。当他们离开时，这些威胁可能会使组织受到攻击，并且导致发现和响应延迟。

3. 影子IT、SaaS的使用

Orange Cyberdefense公司全球首席信息安全官Richard Jones表示，影子IT和信息系统不属于企业身份和访问管理（IAM）架构的一部分，这对成功、安全的离职构成了巨大风险。对于不需要特定网络访问或办公室物理存在的云和SaaS系统/应用程序，这种情况会被进一步放大，IT团队通常不知道员工使用SaaS的程度。如果没有成为IAM架构的一部分，或者没有零信任的访问管理方法，这些云系统将不可避免地导致在雇佣关系终止之后的持续访问。

另一个挑战是管理软件资产许可。如果员工没有正确地脱离云系统许可证，这可能会导致过高的IT成本和安全风险，因为许可证通常是按每个用户、每个月更改的。

首席信息安全官需要考虑的不仅仅是离职员工本身的风险。DTEX Systems的首席技术官Mohan Koo表示，在大多数情况下，大规模裁员会让留下来的员工担心自己的工作安全，这可能会增加内部威胁，并引入由无意疏忽造成的安全漏洞。

4. 离职期间IT和HR不同步

首席信息安全官及其组织在安全处理员工离职方面面临着各种各样的挑战。这主要是因为人力资源需要通知IT团队的流程并非总是万无一失；它通常很复杂，而且不能及时完成。

这可能导致诸多问题，因为团队没有正确理解风险水平，每个离职员工的风险水平都是不同的，当大量员工同时离职时，风险水平会变得更加复杂。首席信息安全官还需要谨慎行事，确保在解雇员工时遵守隐私和合规方面的法规，这些法规在全球范围内各不相同。

5. 访问权限未及时、彻底地清除

人力资源技术公司Applaud的首席技术官兼联合创始人Duncan Casemore表示，首席信息安全官及其组织面临的最大挑战是未能及时、彻底地删除访问权限。通常情况下，组织很难列出一名员工曾经拥有的所有权限，尤其是那些服务时间较长或负有行政责任的员工。

分散的用户和远程工作人员数量的增加都加剧了这一困难，同时也给首席信息安全官和组织带来了身份、身份验证和访问方面的挑战。每个员工可能都有多个登录凭据，这些信息需要被存储、保护，并在辞职时及时更新。

数据位置和数据蔓延是首席信息安全官需要考虑的另一个问题。首席信息安全官需要考虑目前正在管理的各种数据——其中一些数据将是敏感和机密的。这些数据可能不加加密地存储在本地不安全的家庭设备上，连接也可能使用的是家庭Wi-Fi。首席信息安全官可能还必须处理数据可视性差的问题。总而言之，跟踪离职员工的外部共享和权限设置正变得越来越困难。

1. 创建一个强大的入职流程

如果只是在员工离开时才启动安全措施，那可能就太晚了。信息安全合规公司ISMS.online亚太区主管Michelle McCarthy表示，

入职与离职正好相反，这是一个捕捉新员工可以使用的实物和数字资产清单的好机会。这也是一个为企业内部数据的使用设定界限，并强调保持系统更新重要性的好机会。

组织必须对新员工实施全面的入职流程，包括对账户的管理批准和对敏感系统或数据的访问。CyberGRX的首席信息安全官Dave Stapleton表示，这一过程应包括确保定期审查访问权限的步骤，并确保必要权限的任何变化都得到沟通、记录并迅速采取行动。如果没有这些流程，终止服务的效率将不可避免地降低，并且可能会带来访问权限没有得到适当解除的风险。

2. 积极参与跨部门合作

随着裁员不断增加企业内部风险，人力资源、IT和其他关键利益相关者之间的主动性和协作变得比以往任何时候都更加重要。为了应对潜在的风险，企业应该指定一个专门的委员会，尽可能提前通知即将发生的裁员，以应对潜在的后果。这将促使关键利益相关者积极思考如何阻止风险转化为威胁——无论是通过教育、意识还是政策变化。从合同和法律的角度来看，它还允许与人力资源和法律团队就离职员工可以做什么和不可以做什么进行协调。这可以及时彻底地消除员工对系统和数据的访问权限，并消除人为错误的风险。

3. 确保员工的SaaS使用和权限清晰可见

随着SaaS的蓬勃发展，适当地了解离职员工的所有SaaS使用情况变得越来越重要，如果不知道离职员工使用了哪些SaaS应用程序，并授予了哪些SaaS应用程序访问公司数据的权限，就无法断开它们的连接。

Wing security的威胁情报主管Yoav Kalati表示，

一种名为云权限管理（CPM）技术的出现——Gartner将其称为云基础设施权利管理（CIEM）——可能很有帮助。它可以发现组织内给定身份积累的所有云资产权限，使公司能够在认为合适的情况下减少或删除这些权限。

4. 监控即将离职员工的异常、危险行为

作为缓解离职员工风险的一种方法，用户实体行为分析（UEBA）和监控可以发现不寻常的模式或活动，然后加以解决。例如，下载部分或数据模式的变化可能表明发生了一些异常的事情，可以进行预警并加以处理。

组织应该在个人离职后至少几周内继续监控其活动，以领先于潜在的威胁或数据丢失情况。建立实时取证审计追踪将提供透明度和监督，从而在不侵犯员工隐私的情况下开发更有效、更高效的威胁管理项目。

追溯性监控也很有用，但需要包含在合同中，以确保流程获得许可。一旦有人提交了离职申请，就应该对其活动、下载或电子邮件进行追溯性检查，看看可能发生了什么，并识别任何潜在的风险。

5. 保护公司资产、设备和凭据

在混合办公时代，保护员工在其任职期间一直拥有的公司资产可能极具挑战性，但这对于应对离职风险非常重要。在有些情况下，设备从未被归还给组织，也没有完全清除与业务相关的内容。其他包含企业知识产权的可移动资产也是如此。

收回所有离职员工的设备，并终止任何可能被允许的BYOD网络访问。在裁员之前，对上传到个人邮箱、文件共享网站和USB端口的文件实施设备锁定，这是一个很好的方法，可以遏制在宣布裁员后可能发生的潜在数据丢失情况。

忽视这一点可能会导致敏感信息被竞争对手获取和利用。它还可能导致资产被用于恶意活动，如种子下载、盗版媒体和比特币挖矿。关闭单点登录（SSO）可以阻止用户访问其应用程序和设备，同时应该重置任何特权帐户密码，并且应该删除主目录帐户访问权限。

此外，跟踪员工与组织其他成员之间共享的账户和凭证也很重要，以确保密码及时更新。

6. 谨慎地、透明地处理离职过程

对离职过程进行细致、机智的处理，可以大大降低离职员工带来的一些风险。无论一个人在公司工作了一周还是十年，处理不当的离职程序都有可能把他们从最友好的员工变成一个真正的威胁。

处理这种情况的方法绝不是层层保护，相反地，您需要确保清晰的沟通，对事情的原因透明化，并努力使离职过程成为一个积极和协作的过程。

一种常见的做法是让离职突如其来，但这可能会导致内部分歧，更危险的是，会让员工心怀不满，觉得自己受到了不公平对待，或者感到自己是被赶出公司的。如果对递交辞呈的人的回应是让他们收拾桌子，并把他们赶出大楼，从理论上讲，你是在采取良好的安全措施，但实际上，你可能正在制造威胁。离职需要根据具体情况谨慎而恰当地处理。

鼓励人力资源部门对所有即将离职的员工进行离职面谈，以了解员工的态度，并了解他们是否会对公司构成潜在风险，这是件好事。最后，确保员工受过良好的培训和教育，养成良好的对外数据安全习惯，并了解他们是保护组织的第一道防线。

参考及来源：https://www.csoonline.com/article/3693709/top-risks-and-best-practices-for-securely-offboarding-employees.html