עובד עוזב? צ׳קליסט גישה למייל, קבצים, SaaS וטלפון
מדריך מעשי לעסקים בישראל: איך לסגור גישה לעובד שעוזב במייל, קבצים, SaaS, מובייל ו-VPN בלי לאבד מידע חשוב.
עובד עוזב? צ׳קליסט גישה למייל, קבצים, SaaS וטלפון
עובד שעוזב עסק קטן משאיר אחריו יותר מכיסא פנוי. לפעמים נשארים גם מייל פתוח, תיקיות ב-SharePoint, גישה ל-CRM, אפליקציה בטלפון וקישור שיתוף שאף אחד כבר לא זוכר מי יצר. זה לא דרמטי כמו בסרטי האקרים, אבל בעסק אמיתי זה בדיוק המקום שבו טעויות קטנות הופכות לסיכון גדול.
Offboarding הוא תהליך סגירת הגישה של עובד, ספק או פרילנסר שסיים לעבוד עם העסק. המטרה פשוטה: לוודא שמי שכבר לא צריך גישה למידע העסקי, באמת לא מחזיק בה. במיוחד עכשיו, כשיותר מערכות מחוברות דרך ענן, Microsoft 365, Google Workspace, כלי SaaS ואפליקציות מובייל.
בחודש האחרון פורסמו שוב אזהרות על חולשות בכלי גישה מרחוק ואימות זהות, כולל SimpleHelp בקטלוג CISA Known Exploited Vulnerabilities. גם אם העסק שלכם לא משתמש בכלי הזה, המסר ברור: חשבונות וגישה מרחוק הם דלתות. דלת שלא סוגרים נשארת דלת, לא “זיכרון ארגוני”.
למה זה חשוב דווקא לעסקים קטנים בישראל
בעסק עם 5–50 עובדים אין תמיד מחלקת IT פנימית. מנהלת המשרד פותחת מייל, הספק מקים משתמש, בעל העסק נותן גישה לדרייב, והכול עובד — עד שמישהו עוזב.
הבעיה היא שהגישה מפוזרת בכמה מקומות:
- מייל ויומן ב-Microsoft 365 או Google Workspace.
- קבצים ב-OneDrive, SharePoint, Teams או Google Drive.
- מערכות SaaS כמו CRM, הנהלת חשבונות, תמיכה, סליקה או ניהול משימות.
- אפליקציות מובייל בטלפון פרטי של העובד.
- VPN, כלי שליטה מרחוק או גישה לשרתים.
- קבוצות WhatsApp עסקיות עם מסמכים, לקוחות וספקים.
אם אין צ׳קליסט קבוע, כל עזיבה הופכת לאלתור. ואלתור הוא אחלה לחביתה, פחות לניהול הרשאות.
צעד 1: להגדיר מי מודיע ל-IT ומתי
הטעות הראשונה היא לחכות ליום האחרון. ברגע שנקבע שעובד עוזב, צריך לפתוח משימת offboarding מסודרת.
הגדירו מראש:
- מי אחראי להודיע על עזיבה: בעל העסק, מנהל ישיר או משאבי אנוש.
- מתי סוגרים גישה: מיד, בסוף יום העבודה, או לפי תאריך מוסכם.
- מי מאשר חריגים, למשל גישה זמנית להעברת חפיפה.
- איפה מתעדים שהמשימה בוצעה.
לעובד רגיל אפשר לסגור גישה בסוף יום העבודה האחרון. לעובד עם גישה רגישה במיוחד — כספים, ניהול משתמשים, לקוחות אסטרטגיים או קוד — כדאי לתכנן סגירה מדויקת יותר.
צעד 2: לסגור חשבון מרכזי לפני שמטפלים בכלים הקטנים
התחילו מהזהות המרכזית. Identity הוא מנגנון הזיהוי של המשתמש: החשבון שבעזרתו הוא נכנס למייל, קבצים ואפליקציות. ב-Microsoft 365 זה בדרך כלל Entra ID; ב-Google Workspace זה חשבון Google הארגוני.
פעולות בסיסיות:
- חסימת כניסה לחשבון.
- איפוס סיסמה אם צריך לשמר את החשבון לזמן קצר.
- ביטול Sessions פעילות, כלומר חיבורים שכבר פתוחים בדפדפן או בטלפון.
- הסרה מקבוצות הרשאה רגישות.
- ביטול MFA של העובד רק לאחר שמוגדר מנהל חלופי, לא לפני.
Microsoft מפרסמת הנחיות לניהול משתמשים ב-Entra, ו-Google מפרסמת תיעוד לניהול משתמשים ב-Workspace. לא חייבים לקרוא כל עמוד, אבל כן חשוב לעבוד לפי עיקרון ברור: קודם חוסמים כניסה, אחר כך מסדרים בעלות על מידע.
צעד 3: לא למחוק מייל וקבצים לפני שמעבירים בעלות
מחיקה מהירה מדי עלולה לפגוע בעסק. לפני שמוחקים חשבון, בדקו מה צריך להישמר.
במייל:
- האם צריך להגדיר הפניה זמנית למנהל או לתיבת צוות?
- האם צריך להפעיל מענה אוטומטי שמפנה לאיש קשר חדש?
- האם קיימים חוזים, הצעות מחיר או תכתובות שירות שצריך לשמור?
בקבצים:
- להעביר בעלות על תיקיות חשובות ב-OneDrive או Google Drive.
- לבדוק קבצים משותפים שהעובד היה הבעלים שלהם.
- לוודא שפרויקטים פעילים נמצאים בתיקייה ארגונית ולא רק אצל העובד.
זה גם זמן טוב לבדוק את נושא הגיבוי. אם אתם לא בטוחים מה ניתן לשחזר, כדאי לקרוא גם על רציפות וגיבוי במאמר Limitech על חדר מצב IT ב-90 יום ועל שירותי IT לעסקים.
צעד 4: לסרוק כלי SaaS שלא מחוברים לחשבון הארגוני
SaaS הוא שירות תוכנה בענן, כמו CRM, מערכת חשבוניות, כלי דיוור, Helpdesk או ניהול פרויקטים. בעסקים קטנים יש לא מעט כלים כאלה, וחלקם נפתחו עם מייל וסיסמה נפרדים.
עברו על רשימת הכלים העסקיים ושאלו:
- האם לעובד יש חשבון פעיל?
- האם הוא Admin?
- האם יש לו API token, כלומר מפתח גישה לאוטומציות?
- האם הוא מחזיק כרטיס אשראי או הרשאת חיוב?
- האם הוא מקבל התראות או דוחות למייל פרטי?
כדאי להתחיל ממערכות עם מידע רגיש: הנהלת חשבונות, CRM, סליקה, תמיכה, אחסון קבצים וכלי AI. אם העסק כבר משתמש באוטומציות או AI Agents, ראו גם את המדריך על חשבונות זמניים ל-AI.
צעד 5: לטפל בטלפון, מחשב וגישה מרחוק
הטלפון של העובד הוא לא רק טלפון. הוא יכול להכיל מייל, קבצים, אפליקציות עסקיות, קודי MFA ותמונות של מסמכים. אם זה מכשיר פרטי, חשוב לכבד פרטיות; אם זה מכשיר עסקי, צריך להחזיר אותו ולבדוק אותו.
בדיקות מומלצות:
- הסרת חשבון העבודה מהמובייל.
- ביטול מכשירים מחוברים ב-Microsoft 365 או Google Workspace.
- ביטול VPN וכלי שליטה מרחוק.
- החזרת מחשב, מטען, כרטיס עובד ואביזרי גישה.
- בדיקה שאין סיסמאות עסקיות שמורות בדפדפן אישי.
לגישה מהמובייל יש סיכונים נפרדים, ולכן כדאי לחבר את התהליך גם למדיניות מכשירים. הרחבה יש במאמר הטלפון של העובד הוא כבר תחנת עבודה.
צעד 6: לסגור שיתוף חיצוני וקבוצות תקשורת
הרבה מידע עסקי חי בשיתופים: תיקיות עם לקוחות, קבוצות Teams, קישורי Drive, קבוצות WhatsApp וערוצי Slack. עובד שעזב לא צריך להישאר שם “כי אולי נצטרך אותו”. אם צריך ייעוץ עתידי, פותחים גישה זמנית ומוגדרת.
בדקו:
- Teams וקבוצות Microsoft 365.
- תיקיות Drive או SharePoint משותפות.
- קבוצות WhatsApp עסקיות.
- רשימות דיוור פנימיות.
- מערכות קריאות שירות או תמיכה.
- הרשאות לאתר, אחסון, DNS או מערכת ניהול תוכן.
אם יש לעובד גישה לאתר העסקי או לתוספים, חשוב במיוחד לסגור אותה. תוספים וכלי פיתוח יכולים להפוך לנקודת חולשה, כפי שמוסבר במאמר לא רק האקר מבחוץ.
צ׳קליסט קצר ליום העזיבה
הנה רשימה פשוטה שאפשר להעתיק למסמך פנימי:
- התקבלה הודעת עזיבה ותאריך סיום.
- נחסמה כניסה לחשבון המרכזי.
- בוטלו Sessions פעילות.
- הועברה בעלות על מיילים וקבצים חשובים.
- הוגדר מענה אוטומטי או הפניה לפי צורך.
- הוסרו הרשאות מ-SharePoint, Drive ו-Teams.
- נסגרו חשבונות SaaS או הוחלף בעלים.
- בוטלו VPN, גישה מרחוק ו-API tokens.
- הוחזר ציוד עסקי.
- עודכנו קבוצות WhatsApp ורשימות דיוור.
- תועד מי ביצע ומה נשאר פתוח.
FAQ: שאלות נפוצות על סגירת גישה לעובד שעוזב
האם כדאי למחוק את החשבון מיד?
בדרך כלל לא. עדיף קודם לחסום כניסה, להעביר בעלות על מיילים וקבצים, ורק אחר כך להחליט מתי למחוק או לארכב את החשבון לפי צרכי העסק.
מה עושים אם העובד השתמש בטלפון פרטי?
מסירים את חשבון העבודה, מבטלים Sessions פעילות ומוודאים שאין גישה לאפליקציות עסקיות. לא נוגעים במידע אישי של העובד בלי צורך והרשאה מתאימה.
האם MFA פותר את הבעיה?
MFA, אימות רב-שלבי, מצמצם סיכון כניסה לא מורשית, אבל הוא לא מחליף סגירת חשבונות. חשבון פעיל עם MFA עדיין יכול להיות חשבון פעיל מדי.
מי צריך להחזיק את הצ׳קליסט בעסק קטן?
אפשר שמנהלת משרד, בעל העסק או ספק IT יחזיקו אותו. העיקר שלא יהיה תלוי בזיכרון של אדם אחד, כי זיכרון אנושי הוא מערכת גיבוי די יצירתית.
סיכום: עזיבה מסודרת היא אבטחת מידע יומיומית
סגירת גישה לעובד שעוזב אינה פרויקט ענק, אבל היא חייבת להיות עקבית. עסק שמחזיק צ׳קליסט פשוט יכול לצמצם סיכונים, לשמור על מידע עסקי, ולהימנע מהמצב שבו חשבון ישן ממשיך להסתובב במערכות כמו מפתח שנשכח מתחת לשטיח.
לימיטק מסייעת לעסקים בישראל למפות הרשאות, לסדר Microsoft 365, לבדוק כלי SaaS ולבנות תהליכי IT פשוטים שמחזיקים גם ביום עמוס. אם אתם רוצים לבדוק איך נראה תהליך offboarding אצלכם, אפשר לדבר עם גל לשיחת ייעוץ קצרה: 0542395928 או limicompute@gmail.com.