Havde fuld adgang til kritiske systemer længe efter at han var stoppet

Det var da mærkeligt, tænkte Henrik. Midt i hans frokost modtog han en SMS om at der er et fællesmøde i kantinen dagen efter kl. 12, hvor der vil blive informeret om konsekvenserne af budgettet for næste år.

Det mærkelige er at afsenderen er hans tidligere arbejdsgiver, hvor han stoppede for et halvt år siden. Henrik havde nemlig sagt sit job op, fordi han havde accepteret en ny stilling hos en konkurrerende virksomhed.

På hans sidste arbejdsdag havde han indleveret sin PC og sit adgangskort. Han beholdt sit telefonnummer, men SIM-kortet i mobilen blev byttet, og hans mail blev sat til auto-reply. Der er styr på det hele, tænkte Henrik.

Et par dage senere kom han til at tænke på SMS'en igen. De må have glemt at slette ham fra SMS-udsendelsessystemet, men hvilke andre systemer har de mon også glemt at slette ham fra?

Henrik starter sin private PC som han tidligere brugte på hjemmekontoret. Der opdager han, at han har stadig adgang til kundedata i CRM-systemet og til flere af virksomhedens cloudtjenester. I mailboksen er der flere hundrede ulæste e-mails, flere af dem med advarsler om faktura der skal godkendes. Han kan se et direkte link til præsentationen fra fællesmødet, som han fik en SMS om. Han har lyst til at åbne dokumentet, men lader være.

Utroligt at IT-afdelingen ikke har slettet min bruger, tænkte Henrik.

Mailen som IT gik glip af

Problemet hos Henriks gamle arbejdsgiver er ikke specielt usædvanligt og skyldes noget så simpelt som at IT havde overset en e-mail fra HR om at han skulle stoppe.

Historien illustrerer en typisk udfordring for mange virksomheder, nemlig at man har mange forskellige systemer, hvor de samme medarbejderdata bliver vedligeholdt manuelt, og der mangler gode rutiner for at opdaterer disse systemer og synkronisere data.

”Ofte har man dybest set kontrol over processerne inden for HR-området, når det gælder om at registrere en nyansat, få vedkommende ind i HR- og lønsystemer, tildele den rigtige rolle, give adgang til IT-systemer osv. Det er også god kontrol over at afslutte arbejdsforholdet i forhold til at lukke ned for lønnen, men udover det er der ofte store udfordringer.” Udtaler Tore Karlsen, partner i PwC, med mange års erfaring med at hjælpe virksomheder med at få orden på sine systemer.

Systemerne kan være medarbejdernes stamdata i HR-systemet, lønsystemet, systemer for rejseafregninger og udlæg, systemer for tidsregistrering, valgt og skemaplanlægning, samt forskellige cloudsystemer til læring og udvikling, fakturagodkendelsessystemer osv.

”Hos én kunde var der 8-9 steder hvor den samme data blev indtastet manuelt”, fortæller Karlsen.

Kvaliteten på disse data bliver dårligere og dårligere efterhånden som de ansatte igennem deres karriere skifter stilling eller måske også lokation.

”En klassiker er at man bare giver ekstra adgang til de nye systemer, uden at fjerne adgangen til de gamle systemer, for at undgår at man mister noget i de gamle systemer”, siger Karlsen.

Sikkerhedsrisiko og øgede omkostninger

”For IT har det manglende link til HR to konsekvenser: Den ene er at man ikke har kontrol over softwarelicenser og derfor fortsætter med at betale dyre licenser for brugere som har ændret rolle, stoppet eller af andre grunde ikke har behov for software eller tjenesterne længere. Dette er en konsekvens som nemt kan mærkes.”

”Den andre konsekvens er hvad-nu-hvis-det-går-galt som er vanskeligt at måle”, siger Karlsen, og refererer til sikkerhedsrisikoen ved at en tidligere ansat kan have adgang til forretningskritiske systemer efter at personen er stoppet og måske er begyndt at arbejde for en konkurrent.

Så hvordan løser man disse udfordringer?

”Vi er optaget af at synliggøre at du bør registrere din data ét sted, og kun ét sted, men brug jeres data på tværs af mange systemer. Derfor skal du have styr på hvilket system som er master for hvert af disse dataelementer”, siger Karlsen.

”Derfor lægger vi vægt på når vi rådgiver vores kunder, at HR-systemet bør understøtte forskellige typer af integrationer”, fortsætter han.

IT er afhængige af gode HR-data

GDPR har været med til at sætte fokus på denne dataproblematik de sidste par år. IT er afhængig af data fra HR, for at vide hvem der arbejder i virksomheden til enhver tid og hvilke roller de har osv.

”Mange fra IT har fået ansvar for GDPR og for at virksomheden har kontrol over sine data for at kunne sikre de rigtige adgange og rettigheder, og at persondata håndteres korrekt”, siger Svein Erik Myhr, marketing manager fra CatalystOne Solutions som har udviklet HR-teknologi i over 15 år.

”Denne type scenarier som er beskrevet her, er der nok mange som kan genkende - men der er nok mange virksomheder som ikke aner at de har en udfordring med dette før det sker noget eller nogen siger fra”, forsætter han.

Han lægger vægt på hvor vigtigt det er at masterdata håndteres i HR-systemet. Siden det er HR som er bindeleddet for alle ansættelser, rolleændringer og afslutninger af arbejdsforholdet, er det dér at ændringerne sker først. Dermed er det naturlig at dette er udgangspunktet for alle systemer som benytter sig af samme data.

”Vi oplever at IT i større og større grad er med i indkøbsprocessen for HR-systemer, og de sætter krav til et samlet system for at håndtere HR-masterdata på tværs af organisationen. Dette er fordi de ser en stor gevinst i at integrere dette sammen med andre systemer, så de kan styre rettigheder og adgange automatisk”, siger Myhr.

Så hvordan gik det med Henrik? Heldigvis for hans tidligere arbejdsgiver havde Henrik ikke nogen interesse i at læse deres forretningskritiske information eller påføre virksomheden skade. Han tog derfor kontakt til virksomheden og gjorde dem opmærksomme på problemet, så de fik ryddet op. Ingen skade sket… Men alle er jo ikke som Henrik.