Annonsørinnhold fra  
Advertiser company logo

Hadde full tilgang til kritiske systemer lenge etter at han sluttet i jobben

Medarbeiderdata som ikke blir oppdatert i IT-systemene kan gi både økte kostnader og betydelig sikkerhetsrisiko.
Medarbeiderdata som ikke blir oppdatert i IT-systemene kan gi både økte kostnader og betydelig sikkerhetsrisiko. ©GavranBoris - stock.adobe.com
Del

— Det var da merkelig, tenkte Henrik. Midt i lunsjen blinker det en tekstmelding mot han om at det blir allmøte i kantina dagen etter kl 12, hvor det vil bli informert om konsekvensene av de vedtatte budsjettene for neste år.

Det merkelige er at avsenderen er hans tidligere arbeidsgiver, hvor han sluttet for et halvt år siden. Henrik hadde nemlig sagt opp jobben fordi han hadde akseptert et bedre tilbud hos en konkurrerende bedrift.

Siste dagen leverte han PC og adgangskort, og fikk informasjon om pensjonskapitalbevis fra HR. SIM-kortet i mobilen ble byttet, og ny epost ble konfigurert. Alt på stell, tenkte Henrik.

Et par kvelder senere kommer han til å tenke på tekstmeldingen igjen. Her må de jo ha glemt å slette han fra SMS-utsendingssystemet. Hvilke andre systemer kan de ha glemt å slette han fra?

Vis mer

Henrik starter den gamle PC-en han tidligere brukte på hjemmekontoret. Der har han fortsatt tilgang til kundedata i CRM-systemet, og han kommer rett inn i flere av skytjenestene som bedriften hadde gått over til før han sluttet. I mailboksen er det flere hundre uleste eposter, flere av dem varsler om å godkjenne fakturaer. Han kan klikke seg rett inn på fellesområdene, der presentasjonen fra allmøtet han fikk tekstmelding om lyser mot han. Han får lyst til å åpne den, men lar være.

— Utrolig dårlig av IT-avdelingen å ikke slette brukeren min, tenkte Henrik.

Mailen som glapp hos IT

Glippen hos Henriks gamle arbeidsgiver er ikke spesielt uvanlig, og skyldtes noe så enkelt som at IT hadde oversett en mail fra HR om at han skulle slutte.

Historien illustrerer en ganske vanlig utfordring i norske bedrifter, nemlig at man har mange ulike systemer hvor de samme dataene om de ansatte blir lagt inn manuelt, men så mangler det gode rutiner for å vedlikeholde disse systemene og synkronisere data.

— Man har stort sett kontroll på prosessene innenfor HR-området når det gjelder å registrere en ansatt første gang, få vedkommende inn i HR- og lønnssystemer, gi riktig rolle, gi tilganger til IT-systemer og slike ting. Det er også god kontroll på å avslutte arbeidsforholdet i forhold til å stenge ned lønn, men så har vi sett at det er store utfordringer utover det.

Det sier Tore Karlsen. Han er partner i PwC og har lang erfaring med å hjelpe bedrifter med å få orden på systemene sine.

Problemstillingen ble nylig aktualisert i forbindelse med sammenslåingen av kommunene Øygaarden, Fjell og Sund, der man ifølge NRK oppdaget at avviket mellom faktisk antall ansatte og antall ansatte i de ulike systemene var flere hundre.

Alle disse ulike systemene kan være kjernedataene i HR-systemet, lønnssystemet, systemer for reiseregninger og utlegg, systemer for tidsregistrering, skift og turnusplanlegging, det kan være ulike skyapplikasjoner for læring og utvikling, godkjenningssystemer for fakturaer osv.

— Hos en kunde vi hjalp var det åtte-ni steder hvor samme data ble punchet inn manuelt, forteller Karlsen.

Kvaliteten på disse dataene blir dårligere og dårligere etter hvert som de ansatte gjennom en karriere skifter posisjon eller kanskje også lokasjon, stillinger endres og man får ny stillingstittel og lignende.

— En klassiker har da vært at du får nye tilganger i systemene for den nye stillingen, men så mister man aldri noe, sier Karlsen.

Sikkerhetsrisiko og økte kostnader

For IT har denne manglende linken til HR to konsekvenser. Den ene er at man ikke har kontroll over programvarelisenser og kanskje fortsetter å betale dyre lisenser for brukere som har endret rolle, sluttet eller av andre grunner ikke har behov for programvaren eller tjenestene lenger. Dette er en kostnadsmessig effekt som lett kan måles.

Vi er opptatt av å synliggjøre at du bør registrere en type data ett sted, og kun ett sted, men til bruk i mange systemer.

Tore Karlsen

—Den andre konsekvensen er en type «hvis-det-smeller-kost» som er vanskelig å måle, sier Karlsen, og sikter til sikkerhetsrisikoen ved at en tidligere ansatt kan ha tilgang til forretningskritiske systemer etter han har sluttet og kanskje har begynt å jobbe for en konkurrent.

— Så hvordan løser man disse utfordringene?

— Vi er opptatt av å synliggjøre at du bør registrere en type data ett sted, og kun ett sted, men til bruk i mange systemer. Så må du være veldig tydelig på hvilket system som er master for hvert av disse dataelementene, sier Karlsen.

— Det vi legger vekt på når vi rådgir kundene våre, er at HR-systemer bør kunne ha støtte for ulike typer integrasjoner, fortsetter han.

IT er avhengige av gode HR-data

GDPR og oppmerksomhet rundt såkalt compliance har vært med på å sette fokus på denne dataproblematikken de siste årene. For IT er gode data fra HR helt nødvendig. De er avhengige av å vite hvem som jobber i bedriften til enhver tid, hvilke roller de har osv.

— Mange innenfor IT har fått ansvar for GDPR og for at bedriften får kontroll på dataene sine for å sikre riktige tilganger og rettigheter, og at persondata håndteres rett, sier Svein Erik Myhr, markedssjef i CatalystOne Solutions, som har utviklet HR-teknologi i over 15 år.

— Denne type scenarier som er beskrevet her er det nok mange som kjenner seg godt igjen i, og det er nok mange selskaper som ikke aner at de har en utfordring med dette før det skjer noe eller noen sier ifra, sier han.

Det er nok mange selskaper som ikke aner at de har en utfordring med dette før det skjer noe eller noen sier ifra.

Svein Erik Myhr

Han legger vekt på hvor viktig det er at masterdata håndteres i HR-systemet. Siden det er HR som er kontaktpunktet for alle ansettelser, rolleendringer og avslutninger av arbeidsforholdet, er det der endringene skjer først. Dermed er det naturlig at dette er utgangspunktet for alle systemer som belager seg på samme data.

— Vi opplever at IT i større og større grad er med i anskaffelsesprosessen for HR-systemer, og de setter krav til et enhetlig system for å håndtere HR-masterdata på tvers av organisasjonen. Dette fordi de ser stor gevinst i å integrere mot andre systemer, og for IT sin del, spesielt IAM-løsninger for å styre rettigheter og tilganger mest mulig automatisk, sier Myhr.

— Ved å integrere andre systemer mot masterdataene, ser vi eksempler på at bedrifter henter ut helt andre gevinster også. Som for eksempel en bedrift som utvikler en app som tilgjengeliggjør data fra HR-systemet ut til medarbeidere i prosjektet, slik at kvaliteten og driftssikkerheten i prosjektet økes, avslutter han. 

Så hvordan gikk det med Henrik? Heldigvis for hans tidligere arbeidsgiver hadde ikke Henrik noen interesse i å hente ut forretningskritisk informasjon eller påføre bedriften skade. Han tok derfor kontakt slik at de fikk ryddet opp. Ingen skade skjedd. Men alle er jo ikke som Henrik.

Les flere artikler fra CatalystOne Solutions AS