Cách xử lý IT khi nhân viên nghỉ việc?

Xử lý việc nhân viên rời đi với một danh sách kiểm tra offboarding có thể lặp lại. Phần cơ bản khá đơn giản: loại bỏ hoặc giới hạn quyền truy cập, thu hồi thiết bị của công ty, lưu dữ liệu doanh nghiệp và cập nhật người có thể phê duyệt thanh toán, xem tệp hoặc đăng nhập vào các ứng dụng quan trọng.

Điều này quan trọng dù nhân viên rời đi trong điều kiện tốt hay không. Phần lớn sự cố sau khi nhân viên nghỉ việc không quá nghiêm trọng theo kiểu “kịch tính”. Thường là những “khoảng trống” nhỏ, như một tài khoản đăng nhập email cũ vẫn còn hoạt động, một chiếc điện thoại cá nhân vẫn nhận tin nhắn công ty hoặc không ai biết tệp quan trọng đó đang nằm ở đâu.

Nếu bạn có một nhà cung cấp IT được quản lý độc lập, thường được gọi là MSP (Managed Service Provider - đơn vị quản lý và hỗ trợ IT cho doanh nghiệp trên cơ sở liên tục), họ thường có thể giúp bạn xây dựng và duy trì một quy trình. Nếu bạn chưa có, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp độc lập phù hợp với doanh nghiệp của bạn.

Khi việc offboarding bị gấp, quyền truy cập có thể vẫn mở lâu hơn mức cần thiết. Điều đó có thể ảnh hưởng đến email, lưu trữ tệp trên nền tảng đám mây, các công cụ kế toán, phần mềm quản lý quan hệ khách hàng, bảng lương, chat nhóm, hệ thống điện thoại và các phiên đăng nhập từ xa. Nó cũng có thể gây nhầm lẫn cho những nhân sự ở lại.

Ngoài ra còn có vấn đề về tính liên tục trong hoạt động kinh doanh (business continuity). Nếu một người phụ trách các đăng nhập nhà cung cấp, báo cáo, tệp khách hàng hoặc một hộp thư chung (shared inbox), bạn cần một bàn giao rõ ràng. Một quy trình tốt vừa bảo vệ doanh nghiệp vừa giúp người kế tiếp bắt đầu nhanh hơn.

Với một số doanh nghiệp, còn có các quy định pháp lý hoặc yêu cầu tuân thủ. Yêu cầu khác nhau theo ngành và theo bang. Ví dụ, HIPAA (Health Insurance Portability and Accountability Act - luật về bảo vệ thông tin y tế) hoặc PCI (các yêu cầu bảo mật đối với thẻ thanh toán) có thể ảnh hưởng đến cách thức quản lý và ghi nhận quyền truy cập.

Offboarding tốt thường bắt đầu trước ngày cuối nếu có thể. Xác định chính xác thời điểm quyền truy cập sẽ thay đổi. Trong một số trường hợp, đó là thời điểm kết thúc ngày làm việc. Ở những trường hợp khác, cần thực hiện ngay lập tức. Sau đó, dùng một danh sách kiểm tra duy nhất bao quát nhân sự, thiết bị, tài khoản và dữ liệu.

Tối thiểu, hãy rà soát email, lưu trữ tệp, ứng dụng doanh nghiệp, hệ thống kế toán, bảng lương, truy cập từ xa, thiết bị di động và mọi chìa khóa hoặc thẻ ra vào (badge) vật lý. Vô hiệu hóa hoặc đặt lại quyền đăng nhập khi cần. Xác thực đa yếu tố, hay MFA (Multi-Factor Authentication), nghĩa là bước xác minh thứ hai ngoài mật khẩu, ví dụ như mã trên điện thoại. MFA cần được gỡ khỏi thiết bị cá nhân của người đã thôi việc và chuyển sang đúng chủ sở hữu doanh nghiệp hoặc nhân sự hiện tại.

Thu hồi laptop, điện thoại, tablet và chìa khóa/thẻ thuộc sở hữu công ty. Endpoint (thiết bị đầu cuối) là bất kỳ thiết bị nào kết nối với hệ thống của doanh nghiệp bạn, như laptop, máy bàn hoặc điện thoại. Đảm bảo mỗi endpoint được ghi nhận đầy đủ, thu hồi và được kiểm tra trước khi đưa vào sử dụng lại.

Lưu thông tin doanh nghiệp trước khi đóng tài khoản nếu cần. Điều đó bao gồm email, tài liệu dùng chung, dấu trang trình duyệt, ghi chú và các tệp gắn với khách hàng, dự án hoặc nhà cung cấp. Mục tiêu không phải là giữ lại tài liệu cá nhân. Mục tiêu là lưu trữ hồ sơ doanh nghiệp và đảm bảo đội ngũ vẫn có thể tiếp tục làm việc.

Bạn không cần một chính sách khổng lồ để bắt đầu. Bạn cần một danh sách ngắn gọn, thống nhất và có người chịu trách nhiệm. Ở nhiều doanh nghiệp nhỏ, người này là quản lý văn phòng, phụ trách vận hành (operations lead) hoặc chủ doanh nghiệp, phối hợp với bộ phận hỗ trợ IT bên ngoài nếu cần.

Dùng danh sách này làm điểm khởi đầu, rồi tùy chỉnh theo doanh nghiệp của bạn và các ứng dụng mà bạn thực sự sử dụng.

Nhiều doanh nghiệp chỉ nghĩ đến việc khóa quyền đăng nhập của máy tính nhân viên. Trên thực tế, những khoảng trống lớn hơn thường nằm ở các ứng dụng trên nền tảng đám mây và dịch vụ bên thứ ba. Hãy nghĩ đến: email newsletter, cổng thông tin bảng lương, danh bạ ngân hàng trực tuyến, tài khoản vận chuyển, hệ thống đặt lịch, công cụ POS (point-of-sale - máy/công cụ bán hàng), mạng xã hội, quyền truy cập của nhà đăng ký tên miền (domain registrar) và nhà mạng điện thoại.

Một điểm thường bị bỏ qua khác là quyền truy cập dùng chung. Nếu nhiều người biết cùng một mật khẩu, việc một nhân viên rời đi là dấu hiệu để đổi mật khẩu đó. Cách thiết lập gọn gàng hơn là phân quyền theo vai trò (role-based access), tức là mỗi người có tài khoản đăng nhập riêng và chỉ có quyền truy cập cần thiết.

Bạn cũng nên biết việc hỗ trợ IT của bạn có dùng công cụ quản lý thiết bị hay không. Ví dụ, RMM (Remote Monitoring and Management - giám sát và quản lý từ xa) là phần mềm mà nhà cung cấp IT có thể dùng để theo dõi sức khỏe thiết bị và thực hiện tác vụ hỗ trợ. EDR (Endpoint Detection and Response - phát hiện và phản hồi trên endpoint) là phần mềm giúp phát hiện hoạt động đáng ngờ trên thiết bị. Nếu nhà cung cấp của bạn dùng các công cụ này, họ cần biết thiết bị nào và tài khoản người dùng nào cần được cập nhật khi có người rời đi.

Patching (bản vá) là việc áp dụng các bản cập nhật phần mềm và cập nhật bảo mật cho thiết bị và hệ thống. Nếu laptop được thu hồi nhưng không dùng trong một thời gian, có thể cần được kiểm tra và cập nhật trước khi nhân viên khác sử dụng. Đây là một lý do khác khiến việc lập danh mục thiết bị (inventory) rõ ràng là rất quan trọng.

Nếu doanh nghiệp của bạn có nhiều hơn một vài nhân sự, sử dụng nhiều ứng dụng trên nền tảng đám mây, xử lý dữ liệu nhạy cảm hoặc có biến động nhân sự ở nhiều địa điểm, bạn nên có một quy trình chính thức. Một nhà cung cấp tốt có thể giúp bạn lập bản đồ các hệ thống, tạo danh sách kiểm tra offboarding và đảm bảo trách nhiệm được rõ ràng.

Một số doanh nghiệp cũng muốn hướng dẫn rộng hơn về việc lập kế hoạch, ngân sách và rủi ro. Bạn có thể nghe đến thuật ngữ vCIO, tức Virtual Chief Information Officer - vai trò CIO (Giám đốc Công nghệ Thông tin) ảo. Đây là vai trò lập kế hoạch IT chiến lược mà một số nhà cung cấp cung cấp. Nó có thể giúp doanh nghiệp đang phát triển thiết lập chính sách cho onboarding (nhập việc), offboarding, quyền truy cập phần mềm, sao lưu và thay thế thiết bị.

Sao lưu cũng quan trọng, nhưng không giống với offboarding. Phương pháp sao lưu 3-2-1 nghĩa là lưu 3 bản dữ liệu, trên 2 loại phương tiện khác nhau, với 1 bản được lưu ngoài địa điểm (offsite). Cách này có thể hỗ trợ khôi phục sau sự cố, nhưng không thay thế việc rà soát quyền truy cập khi ai đó rời đi. Ngoài ra, không có nhà cung cấp uy tín nào hứa hẹn không có thời gian gián đoạn (zero downtime) hoặc một mạng không thể bị tấn công.

Nếu bạn chưa chắc mức hỗ trợ bạn cần, hãy bắt đầu với các câu trả lời của chúng tôi hoặc xem các dịch vụ phổ biến. Nếu bạn muốn được giúp tìm một nhà cung cấp IT được quản lý độc lập, hãy được ghép. NodeBridge IT là dịch vụ ghép nối miễn phí. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa hoặc truy cập vào hệ thống của bạn.