Domov / Tipy a rady / Keď príde bezpečnostný incident: Kto je zodpovedný a čo musia mať firmy dohodnuté
Bezpečnosť

Keď príde bezpečnostný incident: Kto je zodpovedný a čo musia mať firmy dohodnuté

Keď príde bezpečnostný incident: Kto je zodpovedný a čo musia mať firmy dohodnuté

Bezpečnostný incident neprichádza „vhod“. Príde počas uzávierky, uprostred dôležitej ponuky alebo v piatok večer. A vtedy nevyhráva firma s najlepším antivírusom, ale tá, ktorá má dopredu dohodnuté: kto rozhoduje, kto komunikuje a kto má právo spraviť zásah, ktorý dočasne zastaví prevádzku.

V praxi sa pri incidente nerozhoduje o tom, či máte problém. Rozhoduje sa o tom, ako veľký problém z toho bude.

Prečo firmy zlyhávajú pri incidente (aj keď majú „IT“)

Najčastejší dôvod nie je technický. Je procesný:

  • nikto nevie, kto má posledné slovo (IT vs. vedenie vs. dodávateľ)
  • kroky sa robia naraz a bez koordinácie (reset hesiel, reštarty, zásahy do serverov)
  • chýbajú prístupy, kontakty a dokumentácia
  • komunikácia ide z viacerých strán a vzniká chaos

Výsledok: predlžuje sa odstávka, rastú náklady, zhoršuje sa reputácia a zvyšuje sa riziko, že sa incident zopakuje.

Kto je zodpovedný: roly, ktoré musia existovať (aj v malej firme)

Nemusíte mať vlastný SOC ani „security tím“. Potrebujete mať jasne určené roly, ktoré sa aktivujú pri incidente:

  1. Incident Owner (Incident Manager) – riadi zásah, drží časovú os, koordinuje ľudí a kroky. Zvyčajne IT manažér alebo externý správca IT.
  2. Biznis Owner – rozhoduje o dopadoch na prevádzku: odstávka vs. riziko, priority systémov, schválenie kritických zásahov.
  3. IT/Infra Lead – zodpovedá za izoláciu zariadení, účtov, sietí, serverov, záloh a obnovy.
  4. Komunikácia – interné oznámenia zamestnancom a externá komunikácia (ak je potrebná). Dôležité: jeden hlas.
  5. Právna a ochrana údajov – dohľad nad postupom a povinnosťami (konkrétne kroky sa líšia podľa typu firmy a charakteru incidentu).

Čo musíte mať dohodnuté ešte pred incidentom

Nižšie je minimum dohôd, ktoré v kríze urobia rozdiel:

  • Rozhodovací strom: kedy izolovať PC, kedy vypnúť účet, kedy odpojiť server, kto to schvaľuje
  • Kontakty 24/7: IT, vedenie, hosting, ISP, dodávatelia systémov (ERP/CRM), Microsoft 365
  • Prístupy: kto má admin účty, kde sú uložené a ako funguje obnovenie prístupu (MFA/backup kódy)
  • Pravidlá komunikácie: kto informuje zamestnancov, čo sa hovorí zákazníkom, kto odpovedá na otázky
  • Zálohy a obnova: poradie obnovy, priority systémov, testovaná obnova
  • Evidencia incidentu: kto zapisuje časovú os, kroky a rozhodnutia

Prvých 60 minút: jednoduchý postup, ktorý znižuje škody

Keď sa incident potvrdí alebo je silné podozrenie, cieľ je jasný: zastaviť šírenie a neničiť dôkazy.

  1. Zastavte šírenie: izolujte podozrivé zariadenia a prístupy, nezasahujte chaoticky.
  2. Zachovajte dôkazy: nereštartovať naslepo, nemazať logy, nerobiť „upratovanie“, ktoré zničí stopy.
  3. Rýchla triáž dopadu: čo je zasiahnuté (účty, e-mail, server, endpointy, cloud, zálohy) a čo je kritické pre prevádzku.
  4. Rozhodnutie vedenia: odstávka vs. riadená prevádzka, priority obnovy a komunikácie.
  5. Zabezpečte prístupy: privilegované účty, MFA a podozrivé prihlásenia riešte koordinovane.

Po incidente: čo spraviť, aby sa to nezopakovalo

Incident sa nekončí „keď to zase ide“. Profesionálny záver znamená vyhodnotenie príčiny, konkrétne opatrenia (prístupy, aktualizácie, ochrana zariadení, monitoring) a doplnenie dokumentácie podľa reality.

Chcete mať jasný plán a menej chaosu v kríze?

Ak chcete mať bezpečnosť uchopenú prakticky, pozrite si IT audit, endpoint security, monitoring 24/7 alebo školenia o IT bezpečnosti.

Potrebujete pomôcť s IT vo vašej firme?

Kontaktujte nás pre nezáväznú konzultáciu.

+421 948 07 97 07 linka@itpomoc.sk
Zdieľaj:
14. Január 2026 Autor: Tím IT POMOC
📞 Zavolať nám