Критерии проверки
Критерий 1 — Актуальность учётных записей. Проверьте, все ли аккаунты принадлежат текущим сотрудникам. По данным нашего анализа, среднее время жизни «мёртвого» аккаунта после увольнения в компаниях без регламента составляет от 5 до 14 дней. За это время бывший работник теоретически может получить доступ к клиентской базе, финансовой отчётности или коммерческим предложениям.
Критерий 2 — Соответствие ролей обязанностям. Каждый сотрудник должен иметь ровно те права, которые необходимы для выполнения его текущих задач. По нашему опыту, каждый третий сотрудник в среднем SaaS-стеке обладает привилегиями, превышающими его должностные обязанности. Маркетолог с доступом к бухгалтерии или разработчик с правами администратора в HR-системе — типичные находки при аудите.
Критерий 3 — Целостность интеграций. Если аккаунт был привязан к единому входу (Single Sign-On), его деактивация в одном сервисе не гарантирует автоматического закрытия доступа ко всем остальным системам. Необходимо проверить все связанные интеграции и webhook-и.
Для удобства мы составили сводную таблицу критериев проверки по категориям сервисов:
| Категория сервиса | Примеры | Критичность | Что проверять в первую очередь |
|---|---|---|---|
| Финансы и ERP | 1С:Бухгалтерия, FinOps | Высокая | Права на проведение операций, лимиты, экспорт данных |
| CRM и продажи | AmoCRM, HubSpot | Высокая | Доступ к базе клиентов, история сделок, интеграции |
| HR и кадры | PeopleForce, Zoho People | Средняя | Доступ к персональным данным, зарплатной информации |
| Задачники и коммуникации | Jira, Slack, Notion | Средняя | Доступ к каналам, архивы, права на удаление |
| Облачные хранилища | Google Drive, Яндекс.Диск | Высокая | Общий доступ к папкам, конфиденциальные файлы |
Детальный разбор методов проверки каждого типа сервиса мы описали в отдельном материале — чек-лист проверки безопасности SaaS-аккаунта.
Как найти и удалить аккаунты бывших сотрудников без потери данных
Деактивация аккаунта — это не просто нажатие кнопки «Удалить». Неправильный порядок действий может привести к потере важных документов, истории переписок или привязанных к учётной записи бизнес-процессов. Мы рекомендуем следовать алгоритму из пяти шагов.
1. Архивация данных. Перед деактивацией экспортируйте или архивируйте все данные, принадлежащие сотруднику или связанные с его деятельностью: файлы, письма, задачи, записи в CRM. Проверьте политику хранения данных сервиса — большинство платных тарифов сохраняют информацию в архивном режиме от 30 до 90 дней после деактивации, но лучше не полагаться на это и сделать собственную копию.
2. Передача ответственности. Назначьте нового ответственного за активы и задачи уходящего сотрудника. Убедитесь, что он получил необходимый доступ и понимает контекст незавершённых процессов.
3. Деактивация вместо удаления. В большинстве SaaS-сервисов рекомендуется сначала заблокировать аккаунт, а не удалять его. Это позволяет сохранить историю действий и при необходимости восстановить доступ. Удаление стоит применять только после истечения срока хранения данных в архиве.
4. Проверка связанных сервисов. Убедитесь, что деактивированный аккаунт не использовался для входа в другие системы через SSO или каким-либо образом интегрирован с другими платформами. Если интеграция была критичной, настройте замену — например, перенесите автоматическую выгрузку данных на аккаунт нового сотрудника.
5. Документирование. Зафиксируйте факт деактивации в журнале инцидентов или кадровой системе. Укажите дату, причину, перечень деактивированных сервисов и ответственного за операцию. При необходимости составьте акт передачи данных.
Если после деактивации обнаружились ошибки в правах доступа или сбои в интеграциях, воспользуйтесь нашим планом отката при ошибках в правах доступа — в нём описаны пошаговые действия для восстановления работоспособности систем.
Типичные ошибки при закрытии доступов и как их избежать
Наиболее распространённая ошибка — отсутствие единого регламента. Когда за деактивацию отвечают одновременно HR, IT и непосредственный руководитель, коммуникация неизбежно даёт сбой. Мы видим случаи, когда аккаунт деактивировали, но не забрали корпоративный ноутбук с сохранёнными паролями и автозаполнением в браузере.
| Типичная ошибка | Последствия | Как избежать |
|---|---|---|
| Удаление данных вместе с аккаунтом | Потеря клиентской базы, истории коммуникаций | Экспорт данных перед деактивацией, проверка политики хранения |
| Игнорирование интеграций | Сбои в автоматизациях, потеря синхронизации | Составление карты интеграций перед деактивацией |
| Задержка с деактивацией | Увеличение окна для несанкционированного доступа | Автоматическая деактивация при фиксации увольнения |
| Отсутствие проверки личных устройств | Сохранённые пароли в браузере на личном смартфоне | Инструктаж сотрудников, удаление корпоративных данных из личных браузеров |
В 2025 году стоимость потери клиентской базы или истории коммуникаций может исчисляться миллионами рублей. По данным нашего анализа, компании, внедрившие автоматическую деактивацию, сокращают среднее время закрытия доступа с 7 дней до 2–3 часов. Целевой показатель — не более 24 часов с момента фиксации увольнения в кадровой системе.
Также часто игнорируется проверка интеграций. Если аккаунт сотрудника использовался для автоматической выгрузки данных в другую систему, его удаление приведёт к сбою в цепочке автоматизаций. Перед деактивацией составьте карту интеграций, привязанных к учётной записи.
Когда назначать повторный аудит: тригеры и рекомендуемая частота
Регулярный аудит доступов — это процесс, который должен быть встроен в корпоративные процедуры. Мы рекомендуем придерживаться следующей частоты.
Базовая частота:
- Критичные сервисы (финансы, CRM, HR, облачные хранилища) — не реже 1 раза в квартал.
- Сервисы средней критичности (задачники, коммуникации, аналитика) — не реже 1 раза в полгода.
- Некритичные инструменты (разовые подписки, тестовые сервисы) — 1 раз в год.
Внеплановые тригеры для аудита:
1. Массовое увольнение или сокращение штата (более 5 человек одновременно).
2. Смена руководства IT-отдела или службы информационной безопасности.
3. Инцидент, связанный с утечкой данных или попыткой несанкционированного доступа.
4. Внедрение нового корпоративного SaaS-сервиса или масштабирование использования существующего.
5. Результаты внешнего аудита безопасности (например, по стандарту ISO 27001), выявившие замечания в управлении доступом.
6. Изменение нормативных требований — например, обновление требований 152-ФЗ «О персональных данных» к обработке и хранению персональной информации.
«Компании, которые проводят аудит доступов регулярно и фиксируют результаты, в среднем в 3 раза реже сталкиваются с инцидентами, связанными с несанкционированным доступом», — отмечает редакция miniwebsansar.com, ссылаясь на данные нашего ежегодного обзора цифровой безопасности.
Что делать, если сотрудник ушёл, а доступ к сервису был привязан к его личному email?
В этом случае необходимо как можно скорее связаться со службой поддержки сервиса. Вам потребуется подтвердить права на корпоративный аккаунт, предоставив договор или другие подтверждающие документы. Процесс восстановления может занять от нескольких дней до недели, поэтому важно заранее прописать в корпоративных правилах использование рабочих email для регистрации в сервисах.
Как часто нужно проводить аудит доступов для небольшой команды до 20 человек?
Даже для небольшой команды рекомендуется проводить базовый аудит не реже 1 раза в полгода. Основной фокус — проверка списков пользователей в критичных сервисах (CRM, финансы, облачные хранилища) и сверка их со списком сотрудников. Полный аудит с анализом ролей и привилегий можно проводить 1 раз в год, но при наличии текучки кадров — чаще.
Какие метрики стоит отслеживать для оценки эффективности аудита?
Основные метрики: количество деактивированных «мёртвых» аккаунтов за период, время от увольнения сотрудника до деактивации его доступа (целевой показатель — не более 24 часов), а также количество выявленных случаев избыточных привилегий. Эти данные помогут оценить зрелость процессов управления доступом и обосновать инвестиции в автоматизацию.