İşten çıkarma süreçleri ve politikaları nasıl belirlenir?

Verilerinizi dış siber saldırılardan korumak ve çalışanları iç tehditler konusunda eğitmek çok önemli olsa da, ya bir iç tehdit dış tehdide dönüşürse? İşten ayrılan çalışanların oluşturduğu risk genellikle göz ardı edilir, ancak bir şirketin veri güvenliği için önemli ve zararlı olabilir. İşten çıkarma süreçleri nasıl yönetilmelidir?

Bu makalede, bir çalışan şirketten ayrılırken hassas ve gizli verilerinizi nasıl koruyacağınız konusunda size rehberlik edeceğiz. Çalışanları işe alma sürecinde nelere dikkat etmelisiniz?

İşten ayrılan çalışanların riskleri

Her ne kadar çalışanlarınızın şirketiniz için en iyisinden başka bir şey istemediğine inanmak isteseniz desağlıklı bir şüphe düzeyini korumanız gerekir. Şirketinizin verilerini kötü adamlardan korumazsanız, iyi adamlar da zarar görecektir.

Bu, işten ayrılan çalışanların bir gecede sihirli bir şekilde kötüleştiği anlamına gelmez; içeriden tehdit, kimsenin işine son verilmediği durumlarda bile dikkat edilmesi gereken bir şeydir. Veri kaybı kötü niyetli veya kasıtsız eylemlerden kaynaklanabilir. Örneğin:

• Çalışanlar genellikle müşteri verileri veya ticari sırlar gibi hassas bilgilere erişebilir ve bu bilgiler kötüye kullanılabilir veya sızdırılabilir.
• Eski bir çalışan gizli bilgileri yeni işvereniyle paylaşarak değerli bilgilere erişmesini sağlayabilir veya rekabet avantajınızı kaybetmenize neden olabilir.
• Bir çalışan kötü şartlarda ayrılırsa, verileri silerek veya değiştirerek ve hatta kişisel kazanç için kullanarak kasıtlı olarak bir şirkete zarar verebilir.
• İyi niyetli çalışanlar yanlışlıkla dizüstü bilgisayar veya akıllı telefon gibi cihazlarında hassas bilgiler bırakabilir ve bu bilgilere yetkisiz kişiler tarafından erişilebilir.

Şirketinizin başına bu tür şeylerin gelmesini önlemek için, bir çalışan işe alım sürecine sahip olmanız gerekir. “Hazırlık yapmazsanız, başarısız olmaya mahkumsunuz”.

Net işe alım politikaları sayesinde, bir çalışan işten ayrıldığında hazırlıksız yakalanmazsınız ve işe alım kontrol listesine dayalı adım adım bir süreç izleyerek şirketinizin hassas verilerini koruyabilirsiniz.

İşten çıkarma planı geliştirme

Çalışan ayrılışlarının sorunsuz ve mükemmel bir dünyada herhangi bir olumsuzluk yaşanmadan gerçekleşmesini istersiniz. Bunun arkasındaki İK süreçleri başka bir şeydir, bir çalışanın ayrılmasının teknik yönleri ise başka bir şeydir. Bir çalışanın ayrılması üzerine şirket verilerinin korunmasına ilişkin her adım bir işe alım planında belirlenmelidir.

Bu şekilde, iş akdinin feshedilmesi durumunda, hiçbir şeyi şansa veya hayal gücüne bırakmadan işten çıkarma planını hazırlayabilir ve işten çıkarma kontrol listenizi takip edebilirsiniz.

Şirketinizin işten çıkarma süreci şu adımları kapsamalıdır:

• İletişim: Çalışanı fesih konusunda bilgilendirdikten sonra (ya da tam tersi), önümüzdeki günlerde ne beklemeleri gerektiğini bildirmek iyi bir uygulamadır. Bu aynı zamanda şirkete katıldıklarında imzaladıkları gizlilik sözleşmesini hatırlatmak için de mükemmel bir fırsattır.
• Erişim ve cihazlar: Çalışanın tüm şirket ağlarına, e-postalarına, veri tabanlarına ve şirketinizin kullandığı tüm yazılımlara erişimini iptal edin. Bunu bulut hizmetleri veya sosyal medya hesapları gibi kullandığınız tüm üçüncütaraf sistemlerle takip edin. Şirkete ait tüm cihazların çalışandan toplanmasıiçin bir süreç oluşturun.
• Çıkış görüşmesi: İşten çıkarma sürecinin son adımı olarak, çalışan ile bir görüşme yapın ve onlara gizlilik yükümlülüklerini ve diğer yasal gereklilikleri hatırlatın.

Konu sadece bir çalışan dostane bir şekilde ayrıldığında sorunsuz bir geçiş için hazırlanmakla ilgili değil, aynızamanda işinizi riske atabilecek potansiyel riskleri öngörmekle de ilgilidir. Etkili bir işten çıkarma planı, şirketinizin hassas verilerinin tüm olası durumlarda yanlış ellere geçmesini engelleyen bir güvenlik önlemidir.

İşten çıkarma kontrol listenizde dikkatle değerlendirilmesi gereken senaryolar vardır. Koşullar ne olursa olsun, verilerin ve ekipmanın güvenli bir şekilde devredilmesini sağlamanız gerekir.

Belki de bir çalışanın (veya bir grup çalışanın) işine son vermeniz gerekecek ve bir soruşturma veya yasal işlem bekliyorsunuz. Ya da konu uzaktan çalışan biri ve/veya kendi cihazını getir (BYOD) politikasıuyguluyorsunuz.

İşten çıkarma planınızı, kuruluşunuzda ortaya çıkabilecek her durumun kendine özgü zorluklarını ele alacak şekilde uyarlamanız çok önemlidir.

İşten çıkarma kontrol listesi oluşturmak

İşten ayrılma planının bir parçası da “işten ayrılma kontrol listesi “dir – bu, çalışanların işten ayrılma sürecinde hiçbir şeyin gözden kaçırılmamasını sağlamak için kullanılan bir araçtır. Gerekli tüm görevlerin tamamlanmasını sağlar ve şirketin hassas bilgilerini tehlikeye atabilecek veya veri kaybına neden olabilecek göz ardı edilmelere yer bırakmaz.

İşten ayrılma kontrol listesi, ayrılan çalışanın işlerini tamamlamasına ve şirketten ayrılmasıyla ilgili tüm idari görevleri yerine getirmesine yardımcı olacaktır.

İşten çıkarma kontrol listesinin içermesi gerekenler:

• Gizliliği hatırlatın: Çalışana gizlilik yükümlülüklerini hatırlatın ve gizli bilgileri yanlarında götürmemelerini veya kimseyle paylaşmamalarını sağlayın.
• Şirket varlıklarını kurtarın. Çalışan, telefonlar, dizüstü bilgisayarlar, erişim anahtarları, jetonlar ve şirkete ait diğer cihazlar dahil olmak üzere tüm donanımı iade eder. Çalışanların ayrılırken telefonlarını veya dizüstü bilgisayarlarını şirketten satın almalarına izin veriyorsanız, donanımın tüm verilerden veya erişim bilgilerinden temizlendiğinden emin olun.
• Sistem erişimini iptal edin. Çalışanın ayrıldıktan sonra herhangi bir şirket ağına, e-postasına, bulut hizmetine veya sosyal medya hesabına erişimi olmayacağından emin olun. Erişimin (gerektiğinde) başka bir çalışana aktarılması da işe alım kontrol listesindeki bu adımın bir parçasıdır.
• Şifreleri sıfırlayın. Bu, listedeki bir önceki noktanın devamıdır: ayrılan çalışanın hesaplarıyla ilişkili tüm şifreler değiştirilmelidir.
• Çalışanın bilgilerini toplayın. Ayrıldıktan sonra herhangi bir formalitenin ortaya çıkması ihtimaline karşı, ayrılan çalışanın tüm bilgilerinin elinizin altında olması önemlidir.
• Bir çıkış görüşmesi gerçekleştirin. Bir çıkış görüşmesi, şirketin ayrılan çalışanın oluşturduğu potansiyel güvenlik risklerini belirlemesine yardımcıolabilir. Aynı zamanda çalışanın hassas veriler, ticari sırlar ve erişebildiği diğer bilgilerle ilgili yükümlülüklerini hatırlatma ve detaylandırma zamanıdır. Ayrıca şirketlerin veri koruma politikalarının eksik olabileceği veya geliştirilebileceği alanları belirlemek için iyi bir fırsattır.

İşten ayrılma kontrol listenizde değinmek isteyeceğiniz, şirket içi iletişim, maaş bordrosu ve sözleşme yükümlülüklerinden bilgi aktarımı ve şirket veri tabanlarının güncellenmesine kadar başka alanlar da vardır. Bu konuları burada derinlemesine incelemeyeceğiz, ancak bunlar işten ayrılma sürecinin çok önemli bir parçasıdır ve işten ayrılma kontrol listesi oluştururken unutulmamalıdır.

İşten çıkarma politikalarının uygulanması

İşten ayrılan çalışanlara yönelik beklentileri belirleyen politikalar, veri ihlalleri, fikri mülkiyet hırsızlığı veya diğer güvenlik endişeleriyle ilişkili potansiyel risklerin azaltılmasına yardımcı olabilir. Ancak bir işten çıkarma politikası ile korunan sadece şirket değildir, ayrılan çalışan da bundan faydalanır.

İyi yapılandırılmış bir işten ayrılma politikası, çalışanın deneyiminde büyük bir fark yaratabilir ve düzgün olmayan veya saygısız bir ayrılma nedeniyle kendilerini yük altında hissetmemelerini sağlayabilir. Bu sadece işten ayrılan çalışanlarınız için olumlu bir kültürü teşvik etmekle kalmaz, aynı zamanda şirketinizin itibarına da katkıda bulunur ve rolleri, kıdemleri veya işten ayrılma koşulları ne olursa olsun tüm çalışanlara onurlu ve saygılı davranma konusundaki kararlılığınızı gösterir.

İyi belgelenmiş politikalar, şirketlerin veri korumayla ilgili yasa ve yönetmeliklere uymasına da yardımcı olur. Bu nedenle, herhangi bir şirketin veri kaybını önleme sisteminin önemli bir parçasıdırlar. 

İşten çıkarma sürecinizi kurarken, bunu şirketinizin bilgi güvenliği yönetim sisteminin bir parçası haline getirin (rehberlik için ISO 27001‘e başvurabilirsiniz).

Etkili bir işten çıkarma sürecinin değeri

Sağlam bir işten çıkarma planı, şirketinizi aşağıdakiler gibi birçok potansiyel riskten korumaya yardımcı olur:

Yasal sorumluluk: Eski bir çalışanın hassas veya gizli verileri şirket dışına çıkarması durumunda şirket, gelir kaybı, yasal ücretler ve para cezaları da dahil olmak üzere bu verilerin ifşa edilmesinden kaynaklanan her türlüzarardan sorumlu tutulabilir.

İhlal maliyetleri: Veriler çalınırsa veya ayrılan çalışan tarafından alınırsa ve şirket bunun sonucunda bir veri ihlaline maruz kalırsa, şirket için maliyetler oldukça hızlı bir şekilde artabilir. Şirketler ayrıca ihlal bildirimi, veri kurtarma ve sistem restorasyonu ile ilgili ek maliyetlerle de karşılaşabilir.

İtibar kaybı: Herhangi bir veri kaybı olayı, bir şirketin itibarına zarar vererek müşteri güveninin ve nihayetinde iş ve gelir kaybına neden olur.

Fikri mülkiyet kaybı: Çalışanlar bir şirketten ayrılırken, yeni işverenleriyle paylaşılabilecek gizli bilgileri veya ticari sırları da yanlarında götürebilirler. Fikri mülkiyet kaybını önlemek için, bu konuyu gizlilik anlaşmaları(NDA’lar) kullanarak ele almak çok önemlidir.

Mevzuata uygunluk: Şirketiniz HIPAA, GDPR veya CCPA gibi çeşitli düzenleyici gerekliliklere tabi olabilir. Bu düzenlemelere uyulmaması önemli para cezalarına ve yasal yaptırımlara neden olabilir.

Çalışanınız şirketten ayrılırken işleri yarım bırakmak istemezsiniz. Düzgün bir işten çıkarma süreci oluşturarak veri kaybı veya hırsızlığı riskini en aza indirebilir, şirketinizin çıkarlarını koruyabilir ve son dakikada şirketinizin veri güvenliğini ve itibarını riske atacak bir karmaşadan kaçınabilirsiniz.