Qual è la procedura da seguire contro una violazione della sicurezza?

Serverfault ha una grande risposta canonica su " cosa dovremmo fare ora per ripulire questo casino ", così io Prenderò una pugnalata a "cosa dovremmo fare per evitare che ciò accada di nuovo".

• La tua organizzazione deve stabilire un processo di "uscita dai dipendenti" e attenersi ad esso.
• La tua organizzazione dovrà risolvere se devono trattare tutte le terminazioni allo stesso modo, o in modo diverso tra le terminazioni "ostili" e "non ostili", o in modo diverso tra i dipendenti regolari e quelli con accesso a informazioni sensibili.
• L'IT deve documentare le procedure per la chiusura di ogni account che un dipendente potrebbe avere, inclusi gli account IT che non controlla .
• L'IT deve mantenere un registro degli account dei dipendenti che consenta loro di identificare immediatamente gli account di un dato dipendente. (Questo può essere molto lavoro.)
• L'IT deve disporre di un elenco di tutti gli account generici e di chi conosce le password. Devono anche rimuovere il maggior numero possibile di account generici, idealmente tutti.
• Quando viene presa la decisione di "ostile", le risorse umane devono incontrarsi preventivamente con l'IT e pianificare in modo che gli account siano tutti disattivati mentre il dipendente sta imparando che sono stati interrotti .
• Contemporaneamente alla chiusura degli account, è necessario proteggere l'hardware del computer e i badge ID.

IT, risorse umane e senior management devono tutti impegnarsi per quanto sopra.

Inoltre, dalla tua domanda risulta anche che le tue procedure di backup non sono buone - risolvi il problema. (Non dimenticarti di proteggere i tuoi backup, in particolare cerca di non avere nessuno autorizzato a cancellare sia gli originali che i backup.)

Quello che segue è quello che farei, data la tua situazione.

1. Ripristina le e-mail da un precedente backup. Se li hanno cancellati, supponiamo che abbiano qualcosa da nascondere.
2. Contatta un professionista in grado di controllare i tuoi sistemi e assicurarti che non ci siano backdoor o buchi di rete che non vengono rimossi dalla terminazione (credenziali webmail / vpn / blackberry, connessioni RDC, file, ecc.)
3. Confronta i backup dei tuoi file dal giorno della chiusura alla notte precedente. Ripristina tutti i file che potrebbero essere stati cancellati.
4. Arruola il tuo team di PR / Comunicazione in quanto dovrai eseguire un controllo sui danni per quanto riguarda l'e-mail che è stata inviata.
5. Come affermato da Graham, è necessario creare una serie di criteri e una "lista di controllo partenza dipendenti" per evitare che ciò accada.
6. Hai bisogno di sederti con le risorse umane e l'alta direzione per discutere le procedure di terminazione in quanto tipicamente devono essere ben orchestrate (vale a dire assicurarsi che il dipendente non stia attorno a un computer mentre sta accadendo e chiedere all'IT di bloccare i sistemi mentre sta accadendo ecc.)
7. A seconda del livello di auditing (e giudicando dalla tua situazione, assumerò che tu non abbia molto), vedi quali file sono stati consultati e modificati dalla partenza.
8. Tieni sotto controllo le tue e-mail lasciando il tuo sistema - se i dipendenti hanno ancora degli amici potrebbero ancora divulgare segreti commerciali / informazioni aziendali riservate ai loro amici terminati.

Spero che ti aiuti!