Come gestire ingresso e uscita dei dipendenti per tutelare la sicurezza dati

La vita di un’azienda come la tua al giorno d’oggi è caratterizzata da una serie di attività che, in qualche modo, devono necessariamente essere svolte.

Emettere delle fatture è una di queste, ad esempio, e viene svolta tramite un mix di competenze e strumenti che permettono alla “macchina aziendale” di funzionare. Se un’azienda non si preoccupa di come fatturare, cosa fatturare e quando fatturare, se non sa come fare a gestire l’intero processo, corre il rischio di avere vita breve.

Tutte le aziende devono fatturare e, più si ha il polso della situazione, più questo processo è efficiente e maggiori saranno i vantaggi per le aziende.

Un’altra necessità delle aziende è quella di comunicare: con i clienti, con i fornitori, con i collaboratori, con i colleghi… gran parte della vita aziendale si basa sulla comunicazione. Anche qui esistono strumenti, come la posta elettronica, che agevolano la comunicazione, e permettono alle aziende di svolgere le attività quotidiane.

Come nella situazione precedente tutte le aziende hanno bisogno di comunicare e, un’azienda in cui la comunicazione non funziona si ritroverà ad avere informazioni mancanti, incomprensioni e perdite di tempo infinite.

Ma oltre a queste necessità quotidiane, le aziende come la tua devono scontrarsi anche con altre attività, meno frequenti ma dal notevole impatto sull’operatività dell’organizzazione.

Cosa succede quando assumete un nuovo dipendente? E cosa fate, invece, quando un membro dello staff va via?

Di solito queste situazioni vengono definiti processo di onboarding e processo di offboarding.

Per onboarding si intendono tutte le attività da svolgere quando un nuovo dipendente entra in azienda:

• fornire la strumentazione adeguata;
• sbrigare le pratiche amministrative;
• svolgere le attività di “orientamento” e training; e così via.

Per offboarding, invece, si intendono le attività da svolgere quando un dipendente lascia l’azienda. Spesso si tratta di fare in modo che la dipartita del dipendente abbia il minor impatto possibile sul lavoro degli altri e di gestire il materiale e le informazioni a cui aveva accesso l’ex dipendente.

Via via che gli strumenti da utilizzare durante il lavoro aumentano e diventano più complessi, anche l’onboarding (e l’offboarding) di un dipendente cresce di complessità. Complessità che non fa che aumentare ora che i dipendenti non lavorano più sempre e solo in ufficio ma hanno la necessità di accedere a dati e applicazioni ovunque essi si trovino.

Se non ci sono delle regole da seguire come fai a sapere esattamente cosa fare?

Avere dei processi ben definiti e una checklist con le attività da svolgere, in questi casi, può fare la differenza tra un onboarding o offboarding ben riuscito e un disastro totale.

Proviamo a capire insieme perché onboarding e offboarding di un dipendente sono attività tanto delicate.

 

Alle aziende capita abbastanza di frequente di aver bisogno di assumere un nuovo dipendente: vuoi per il fisiologico turnover esistente all’interno delle organizzazioni, vuoi perché l’azienda sta crescendo, è una situazione abbastanza comune.

Supponiamo che tu abbia fatto dei colloqui e abbia trovato il candidato perfetto per la tua azienda. Bene, anzi, benissimo.

E ora che cosa fai? Gli dici semplicemente “perfetto, inizi lunedì?”.

Sei sicuro che la tua azienda sia pronta ad accoglierlo?

Ecco alcuni esempi delle conseguenze negative che possono verificarsi in caso di onboarding eseguito “alla buona”.

Costi extra da sostenere
Un nuovo dipendente avrà bisogno di un certo tipo di equipaggiamento per poter lavorare. Al giorno d’oggi non puoi semplicemente metterlo al lavoro senza avergli prima fornito almeno un PC e, spesso e volentieri, anche un telefono.

Senza una procedura di onboarding ben definita, rischi di trovarti a dover acquistare tutto all’ultimo secondo, rischiando di spendere molto di più per avere il materiale il più presto possibile. Ti ritroveresti a dover risolvere una situazione del tipo “pago il nuovo dipendente per non fare nulla finché non arriva il PC o pago il PC molto più del suo reale valore?”. Nessuna scelta è quella giusta, perché non dovresti neanche trovarti in questa situazione.

Perdite di tempo
Oltre all’approvvigionamento di hardware c’è molto altro da fare perché il nuovo assunto sia pronto a lavorare.

• Il suo account di posta elettronica è stato configurato a dovere?
• Sono stati installati sul PC tutti i software necessari a lavorare?
• Bisogna acquistare delle licenze software extra per aggiungere un nuovo utente?
• Il nuovo dipendente ha bisogno di un accesso alla VPN?
• Di quali password ha bisogno?
• Sono state eseguite le corrette configurazioni telefoniche o del sistema VoIP?

Potremmo continuare a lungo con questo elenco, ma il punto è: per ognuno di questi elementi fuori dal tuo controllo si rischia di andare incontro a perdite di tempo notevoli, sia da parte del nuovo assunto, sia da parte tua che devi contattare il fornitore IT in continuazione, sia da parte degli altri dipendenti, che si vedranno poste domande come “come mai non vedo questa opzione nel mio account? La posta non va, mi aiuti? Mi passeresti la password di questo servizio?”.

Oltre a questo, per ogni problema, ti ritroveresti a dover correre ai ripari e a cercare di sistemare tutto in fretta e furia. E la fretta è la migliore amica degli errori: fare tutto in maniera sbrigativa e approssimativa ti porterà quasi sicuramente ad avere nuovi problemi in futuro. Ne vale davvero la pena?

Assenza di controllo
Ormai è una settimana che il nuovo dipendente è entrato in azienda.

Che cosa è stato fatto? Cosa non è ancora stato fatto? Che cosa sa? Cosa invece non sa ancora?

Assumere qualcuno e non avere una checklist da seguire, significa non dare dei compiti precisi a chi deve occuparsi delle diverse fasi dell’onboarding. Affidarsi alla buona volontà di chi esegue il lavoro non ti dà la certezza di cosa sia stato fatto e in che modo.

In sintesi, cosa rischi in caso di onboarding lasciato al caso?

• Ingenti perdite di tempo per te e per il tuo staff;
• intoppi burocratici;
• impossibilità a lavorare da parte del nuovo assunto;
• frustrazione da parte dei dipendenti che devono destreggiarsi nel caos;
• pessima esperienza e disagio da parte del neo-assunto.

Come evitare di correre rischi inutili?

Stilando una checklist con l’aiuto di Fastlane, che oltre a mettere a disposizione la sua esperienza nella gestione di queste attività, potrà rendere più efficiente il tuo processo di onboarding automatizzando alcune delle operazioni previste dalla checklist.

Tale checklist dovrebbe includere almeno 4 fasi. Riportiamo sotto una bozza da cui puoi partire per stilare la tua checklist assieme a noi di Fastlane.

Fase 1: raccolta delle informazioni
Gli obiettivi principali di questa fase sono:

• raccogliere informazioni anagrafiche (utili per il settaggio degli account e per sbrigare le pratiche amministrative);
• individuare tool, software e hardware necessari a lavorare;
• individuare a quali risorse occorre dare accesso al nuovo arrivato (quali cartelle e documenti deve vedere? A quali, invece, non deve avere accesso?)
• capire quali nuovi account vadano attivati e, se necessario, contattare il fornitore di tali servizi.

Fase 2: approvvigionamento e configurazione dell’hardware
In questa fase ci si occuperà di effettuare gli ordini necessari per l’approvvigionamento della strumentazione e ci si assicurerà che il nuovo arrivato abbia una postazione di lavoro adeguata, sicura e con una buona connessione a internet.

Fase 3: installazione dei software e configurazione degli account
In questa fase ci sono una serie di attività da svolgere, tra cui: creazione di username e password per l’accesso alla macchina aziendale, installazione e aggiornamento di tutti i software necessari a lavorare, gestione degli accessi alle risorse di rete aziendali, configurazione dell’indirizzo email… e potremmo continuare all’infinito.

In questa fase si prepara tutto il necessario per permettere al neo-dipendente di lavorare.

Fase 4: verifiche del primo giorno
Ora che è tutto pronto per fare entrare il nuovo dipendente, bisogna ancora:

• assicurarsi che firmi i documenti relativi alla privacy;
• effettuare del training su come usare gli strumenti informatici in azienda;
• spiegargli attraverso quali canali chiedere supporto in caso di bisogno;
• effettuare il reset della password e assicurarsi che ne scelga una che rispetta i requisiti minimi di lunghezza e complessità;
• verificare che tutti i software siano installati a dovere.

Oltre a evitare i rischi elencati in precedenza, seguendo una checklist ben organizzata e assicurandoti che i nuovi dipendenti abbiano una buona esperienza durante l’onboarding, ottieni l’effetto di:

• fidelizzare il dipendente, aumentandone la motivazione e accrescendo le possibilità che resti a lungo in azienda;
• riuscire a far percepire la cultura e i valori aziendali in modo appropriato, soprattutto se all’interno del processo di onboarding è previsto un momento per la condivisione di tali valori.

Così come l’onboarding, anche l’offboarding di un dipendente comporta dei rischi notevoli se non accompagnato da un processo all’altezza. Vediamoli insieme.

Problemi di sicurezza informatica
Non c’è giorno in cui non si senta parlare di un nuovo attacco informatico o di un’azienda bloccata da un virus. Ma in che modo la dipartita di un dipendente può portare a una minaccia informatica?

Tanto per cominciare, se non si cambiano tutte le password a cui aveva accesso quella persona, questa potrà continuare indisturbata ad accedere ai diversi account. Ma oltre al possibile furto di dati c’è un’altra conseguenza da non sottovalutare: l’ex dipendente può avere le migliori intenzioni del mondo, ma le password, soprattutto se non cambiate spesso, possono essere facilmente rubate dai cyber criminali e, una volta in loro possesso, possono essere usate per accedere a sistemi e applicazioni.

Per un hacker a quel punto diventa un gioco da ragazzi colpire la tua azienda rubando dati o paralizzandola completamente con un attacco ransomware.

In più, va anche gestita la disattivazione dell’account di posta elettronica. Se l’ex dipendente dovesse avere cattive intenzioni o se le credenziali di accesso dovessero finire nelle mani dei cyber criminali, saresti in guai seri.

L’account email custodisce tutta la corrispondenza di quella persona: contatti di clienti, fornitori, coordinate di pagamento, fatture… può esserci di tutto e tutto può essere usato per colpire in modo fraudolento la tua azienda: ci vuole davvero poco a usare quell’account per fingersi ancora un dipendente dell’azienda per truffare il nuovo arrivato o a utilizzare le informazioni ricavate da quelle email per fingersi un vostro fornitore che all’improvviso vi chiede di inviare i bonifici a nuove coordinate bancarie.

Con tutti questi dati a disposizione per i cyber criminali l’unico limite è la fantasia.

Oltre a quanto hai appena letto vanno anche cancellate applicazioni e dati sensibili dal PC utilizzato dal dipendente: oltre a problemi di sicurezza, qui si corrono anche rischi di privacy perché il nuovo regolamento per il trattamento dei dati (GDPR) è particolarmente attento a come i dati vengono salvati, trattati ed eventualmente cancellati. Oltre al danno, quindi, rischi anche la beffa di una multa salatissima.

Mancanza di visibilità sul lavoro svolto
Il dipendente è andato via, ma non si può fare finta che non sia mai esistito: ha lavorato a documenti e progetti per tutto il tempo per il quale ha lavorato nella tua azienda… hai visibilità su di essi?

Sicuramente a qualcuno servirà sapere a che punto è un certo progetto o andare a recuperare delle informazioni su un lavoro svolto dall’ex dipendente.

Sei sicuro che le informazioni importanti siano ancora accessibili in qualche modo a te e ai tuoi collaboratori?
Se così non fosse rischiate di perdere molto più tempo del necessario per portare a termine alcuni lavori o, addirittura, di rimanere bloccati e dover ricominciare tutto da capo.

In conclusione, in caso di pessimo offboarding, rischi di trovarti ad affrontare:

• perdite di tempo;
• problemi legati alla sicurezza informatica;
• mancanza di visibilità sul lavoro svolto da parte del dipendente uscente, con conseguenti rallentamenti o blocchi di attività e progetti.

Come fare, dunque, a evitare i problemi citati nel paragrafo precedente? Ancora una volta con l’aiuto di un elenco delle cose da fare.

Anche qui possiamo suddividere il processo in 4 fasi. Vi ricordiamo che questa è solo una bozza di partenza e che la checklist definitiva potrebbe essere differente.

Fase 1: ritiro dell’equipaggiamento
In questa fase occorre determinare se l’ex dipendente può essere un rischio per l’azienda, in tal caso occorre disabilitare immediatamente tutti gli accessi e rimuovere i dati aziendali dai suoi dispositivi personali.

Oltre a questo bisogna assicurarsi che la persona in questione restituisca tutta la strumentazione aziendale in suo possesso. È necessario, inoltre, capire in quali applicazioni l’ex dipendente ha salvato dei dati.

Fase 2: accesso a telefono e email
Qui bisogna resettare le password dell’account email dell’ex dipendente, creare messaggi di risposta automatici nel caso in cui qualcuno dovesse contattarlo, disattivare il numero di telefono o impostare delle regole di inoltro delle telefonate e così via.

Fase 3: accesso alla rete e agli archivi in cloud
In questa fase sono incluse tutte quelle attività necessarie a impedire che l’ex dipendente possa accedere alla rete aziendale tramite VPN o altre modalità di accesso remoto, oltre a impedire che possa visualizzare, scaricare o modificare i file salvati in cloud.

Fase 4: comunicazione e gestione di password e licenze
Tra le attività previste in questa fase è presente un’analisi per capire a quali password ha avuto accesso l’ex dipendente, in modo da modificarle. Oltre a questo bisogna assicurarsi di disattivare licenze di utilizzo dei software, per evitare di pagarle inutilmente.

Bisogna, infine, avvisare i fornitori (ed eventualmente i clienti, se era in stretto contatto con alcuni di loro) che quel dipendente non lavora più in azienda.

 

Come avrai visto sono tante le attività da svolgere e tante le cose che potrebbero andare storte durante l’onboarding o l’offboarding di un dipendente.

Fastlane ti aiuterà ad adattare le checklist alla tua realtà aziendale, a migliorare e automatizzare i processi e a ridurre al minimo il margine di errore.

La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT. Solo una analisi puntuale ed approfondita della situazione in essere può far emergere eventuali criticità.

Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Collaboration e Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.