Firemné IT smernice: čo má obsahovať interný predpis
Zamestnanec odišiel z firmy a odniesol si prístupy. Alebo niekto nainštaloval softvér, ktorý firmu nakazil ransomvérom. Oboje sa dalo predísť jednou vecou: jasnou IT smernicou. Väčšina malých a stredných firiem ju nemá. A väčšina z nich sa to dozvie až vo chvíli, keď je neskoro.
Prečo vôbec potrebujete IT smernicu
IT smernica nie je byrokratický dokument pre korporácie. Je to ochrana vás a vašej firmy. Ak nemáte písomne definované pravidlá, každý zamestnanec si robí, čo uzná za vhodné. Jeden používa firemný počítač na osobné veci, druhý si nainštaluje čokoľvek, tretí nikdy nezálohuje.
Bez smernice nemôžete ani vymáhať zodpovednosť. Súd vám nepomôže, ak nemáte čierné na bielom, čo bolo zakázané. Smernica chráni vás, nie len vaše systémy.
Otázka pre vás: Vedeli by vaši zamestnanci dnes povedať, čo smú a čo nesmú robiť s firemným počítačom? Skúste sa ich opýtať.
1. Pravidlá pre používanie zariadení a prístupov
Toto je základ. Smernica musí jasne povedať, kto má prístup k čomu. Nie každý zamestnanec potrebuje vidieť všetky firemné dáta. Princíp minimálnych oprávnení je jednoduchý: každý dostane prístup len k tomu, čo na svoju prácu naozaj potrebuje.
Rovnako sem patrí politika hesiel. Minimálna dĺžka, povinnosť meniť ich pravidelne, zákaz zdieľania hesiel. Znie to samozrejme? Bez písomného predpisu to väčšina ľudí ignoruje.
A nezabudnite na osobné zariadenia (BYOD). Ak zamestnanci pracujú z vlastných telefónov alebo laptopov, musíte mať jasno v tom, čo smú a čo nie, a ako sa chránia firemné dáta na súkromnom zariadení.
2. Inštalácia softvéru a správa aktualizácií
Viete, aký softvér beží na firemných počítačoch? Väčšina konateľov to nevie. A práve neautorizovaný softvér je jednou z najčastejších príčin bezpečnostných incidentov. Smernica musí určiť, kto môže čo inštalovať a kto to schvaľuje.
Rovnako dôležité sú aktualizácie. Nezáplatovaný systém je otvorené dvere pre útočníkov. Podľa údajov agentúry ENISA patrí využívanie nezáplatovaných zraniteľností dlhodobo medzi najčastejšie vektory kybernetických útokov. Smernica by mala určiť, kto za aktualizácie zodpovedá a v akom časovom horizonte sa musia vykonať.
3. Zálohovanie a obnova dát
Zálohovanie bez písomného predpisu je len zvyk, ktorý sa ľahko zabudne. Smernica musí určiť, čo sa zálohuje, ako často a kto za to zodpovedá. Nestačí povedať "zálohujeme každý deň". Treba definovať, kde sú zálohy uložené, ako dlho sa uchovávajú a kto ich pravidelne testuje.
Odporúčame doplniť smernicu o základný plán obnovy po havárii. Ak by ste sa chceli v tejto téme prehĺbiť, pozrite si náš článok Disaster recovery plán: prečo ho každá firma potrebuje. Zistíte, čo všetko firmy podceňujú, kým sa to nestane.
4. Onboarding a offboarding zamestnancov
Nový zamestnanec nastupuje a IT prístupy dostane o týždeň. Zamestnanec odíde a jeho konto zostane aktívne mesiace. Oboje sú vážne bezpečnostné riziká. IT smernica musí definovať presný postup pri nástupe aj odchode každého zamestnanca.
Pri nástupe: aké zariadenia dostane, aké prístupy, kto ich zriadi a v akom čase. Pri odchode: okamžité odňatie prístupov, zmena zdieľaných hesiel, odovzdanie zariadení. Viac o tom, ako tento proces nastaviť, nájdete v článku Onboarding a offboarding zamestnancov z pohľadu IT.
Ak tieto procesy nie sú nikde zapísané, každé oddelenie si ich robí po svojom. A to je presne situácia, z ktorej vznikajú incidenty.
Správa IT pre firmy
Postaráme sa o celú vašu IT infraštruktúru vrátane nastavenia a vynucovania interných pravidiel. Vy sa sústreďujete na biznis, my na poriadok v IT.
Pozrieť službu →IT audit a analýza stavu
Nevieme, kde začať? IT audit ukáže, kde má vaša firma medzery v procesoch, bezpečnosti aj dokumentácii. Jasný výstup, konkrétne odporúčania.
Pozrieť službu →5. Bezpečnostné incidenty: čo robiť, keď sa niečo stane
Každá smernica musí obsahovať postup pri incidente. Čo má zamestnanec urobiť, keď klikne na podozrivý link? Komu to nahlási? Kto rozhodne, čo sa stane ďalej? Bez definovaného postupu ľudia incidenty zatajujú, pretože sa boja reakcie nadriadeného.
Incident response nemusí byť zložitý dokument. Stačí jasná štruktúra: zisti, ohláš, izoluj, zdokumentuj. Dôležité je, aby to bolo písomne a aby to všetci poznali.
Smernica by mala tiež obsahovať odkaz na to, kto je zodpovedný za IT bezpečnosť vo firme. Ak to nie ste vy ani interný IT pracovník, môže to byť váš externý IT partner. Viete, ako merať, či vám skutočne pomáha? Pozrite sa na náš článok Ako merať kvalitu IT podpory: ukazovatele, ktoré dávajú zmysel.
Odporúčanie: IT smernica nie je dokument, ktorý sa napíše raz a zabudne. Odporúčame ju revidovať minimálne raz ročne alebo pri každej väčšej zmene v IT infraštruktúre. Referenčný rámec pre jej tvorbu nájdete v medzinárodnom štandarde ISO/IEC 27001, ktorý definuje požiadavky na systém riadenia informačnej bezpečnosti.
Nemáte čas písať smernice? Nie ste sami
Napísať funkčnú IT smernicu trvá desiatky hodín. Musíte analyzovať procesy, identifikovať riziká, prispôsobiť pravidlá vašej firme a potom celé to implementovať. To nie je práca na víkend.
Väčšina firiem, s ktorými pracujeme, nemala pri prvom kontakte žiadnu IT smernicu. Niektoré mali dokument, ktorý sa za posledné roky nikto ani nepozrel. Výsledok je v oboch prípadoch rovnaký: nekontrolovateľné riziká, ktoré rastú spolu s firmou.
Ak chcete mať IT nastavené správne, od smerníc cez správu zariadení až po bezpečnosť, zverte to ľuďom, pre ktorých je to denná práca. Naša firemná správa IT zahŕňa aj nastavenie procesov a dokumentácie. A ak neviete, kde vaša firma stojí, začnite IT auditom.
Nastavíme IT smernice za vás
Pomôžeme vám vytvoriť funkčné interné IT predpisy, ktoré ochránia firmu a ušetria vám čas aj starosti.
Chcem mať poriadok v ITAlebo nám rovno zavolajte. Úvodná konzultácia je u nás bezplatná:
📞 +421 948 07 97 07 · ✉️ linka@itpomoc.sk
O IT POMOC
IT POMOC je slovenská IT spoločnosť so sídlom v Bratislave (Čajakova 26), pôsobíme aj vo Viedni a Karlových Varoch. Máme za sebou 30+ rokov skúseností a viac ako 600 spokojných klientov v EÚ. Sme certifikovaní podľa ISO 27001 a ISO 9001. Veríme, že IT sa dá robiť aj s vášňou a úsmevom, a že najlepšia IT správa je tá, o ktorej viete len to, že nemáte žiadne problémy.
Čo by vás ešte mohlo zaujímať
Musí mať IT smernicu každá firma, aj tá malá?
Áno, a práve malé firmy ju podceňujú najviac. Čím menší tím, tým väčšia závislosť na jednotlivcoch a tým väčšie riziko, že pri odchode niekoho sa stratia prístupy, dáta alebo procesy. Smernica nemusí mať desiatky strán. Pre päťčlennú firmu postačí stručný, ale jasný dokument pokrývajúci základné oblasti.
Kto by mal IT smernicu vo firme písať?
Ideálne kombinácia: niekto, kto rozumie IT a pozná reálne riziká, spolu s niekým, kto pozná firemné procesy. Ak nemáte interného IT špecialistu, je rozumné zveriť tvorbu smerníc externému IT partnerovi, ktorý má s tým skúsenosti. Sami to síce napísať môžete, ale riskujete, že vynecháte práve to, čo vás raz bude bolieť.
Ako často treba IT smernicu aktualizovať?
Minimálne raz ročne a vždy pri zásadnej zmene: nový softvér, zmena v tíme, incident, zmena legislatívy alebo rozšírenie firmy. Smernica, ktorá je tri roky stará a nikto ju nerevidoval, môže byť v niektorých bodoch nielen neaktuálna, ale aj kontraproduktívna.
Čo ak zamestnanci smernicu ignorujú?
Samotný dokument nestačí. Smernica musí byť súčasťou onboardingu, zamestnanci ju musia podpísať a firma musí pravidelne kontrolovať jej dodržiavanie. Technické nástroje (napríklad centrálna správa zariadení) pomôžu vynucovať pravidlá aj bez toho, aby ste museli každého osobne hliadať. To je presne oblasť, kde externá IT outsourcing podpora pridáva reálnu hodnotu.
Potrebujete pomôcť s IT vo vašej firme?
Kontaktujte nás pre nezáväznú konzultáciu.