Zlecenie stałej obsługi informatycznej, zabezpieczenie dostępu do haseł i danych

1
33
2/5 - (1 vote)

Z tego artykuły dowiesz się:

Dlaczego stała obsługa IT jest wrażliwym obszarem bezpieczeństwa firmy

Na czym faktycznie polega stała obsługa informatyczna

Stała obsługa informatyczna firmy to nie tylko „pomoc przy komputerach”. W praktyce firma IT albo samodzielny informatyk otrzymuje dostęp do najważniejszych elementów infrastruktury:

  • kont pocztowych i serwerów e‑mail,
  • systemów ERP, CRM, programów magazynowych i księgowych,
  • serwerów plików, baz danych, backupów,
  • paneli administracyjnych: hosting, domena, DNS, chmury (Microsoft 365, Google Workspace, VPS itp.),
  • urządzeń sieciowych: routery, firewalle, przełączniki, punkty dostępowe Wi‑Fi, VPN,
  • stacji roboczych i laptopów, telefonów służbowych, urządzeń mobilnych,
  • systemów bezpieczeństwa: antywirus, EDR, systemy logowania i monitoringu.

Taka firma IT, jeśli tylko ją do tego dopuścisz, może zmieniać hasła administratorów, tworzyć i usuwać konta użytkowników, konfigurować dostęp zdalny, a nawet przenosić dane między serwerami i chmurami. Z perspektywy biznesu oznacza to, że realnie przekazujesz klucze do całego „mózgu” organizacji.

Kluczowe pytanie brzmi: czy wykonawca jest tylko technicznym opiekunem, czy de facto przejmuje pełną kontrolę nad tym, co decyduje o ciągłości działania Twojej firmy?

Typowa zależność: jedna firma IT ma dostęp do wszystkiego

W bardzo wielu firmach funkcjonuje model: „mamy swojego informatyka, on wszystko ogarnia”. Od lat ten sam człowiek albo ta sama firma IT zakłada domeny, wybiera hosting, zakłada skrzynki pocztowe, konfiguruje routery, wdraża systemy, zarządza licencjami, a na końcu jeszcze tworzy kopie bezpieczeństwa. Z perspektywy wygody to złoto. Z perspektywy bezpieczeństwa – sytuacja wysokiego ryzyka.

Gdy jedna firma IT ma dostęp „do wszystkiego” i do tego nie ma żadnej wymuszonej kontroli, pojawia się kilka problemów:

  • brak rozdzielenia ról – ten sam podmiot wdraża, administruje i audytuje; nikt go realnie nie sprawdza,
  • brak przejrzystości – zarząd często nawet nie wie, gdzie są trzymane hasła ani jakie są aktualne loginy,
  • uzależnienie technologiczne – wszystko jest „ustawione pod tę firmę”, co utrudnia zmianę dostawcy,
  • koncentracja wiedzy – cała dokumentacja jest w głowie wykonawcy, a nie w formalnym repozytorium klienta.

W takiej konfiguracji zmiana firmy IT, konflikt interesów, nagłe odejście głównego specjalisty lub nawet jego choroba mogą sparaliżować działanie przedsiębiorstwa na tygodnie. Dlatego stała obsługa informatyczna firmy to zawsze temat ściśle powiązany z bezpieczeństwem i ciągłością działania biznesu.

Ryzyka biznesowe: szantaż, paraliż, brak dokumentacji

Kilka najczęstszych scenariuszy pokazuje, dlaczego zabezpieczenie dostępu do haseł i danych musi być jednym z głównych tematów przy zlecaniu obsługi IT:

  • szantaż dostępami – skrajna sytuacja, ale zdarzają się przypadki, gdy po konflikcie wykonawca odmawia wydania haseł lub uporządkowania infrastruktury bez dodatkowego wynagrodzenia,
  • nagłe odejście informatyka – osoba odpowiedzialna odchodzi z dnia na dzień (choroba, wypadek, zmiana pracy), a nikt nie ma aktualnej dokumentacji ani dostępu do kluczowych kont,
  • brak aktualnych backupów – klient jest przekonany, że kopie się wykonują, ale nie ma tego nigdzie zapisanego i zweryfikowanego; problem wychodzi na jaw dopiero po awarii,
  • niejasny status własności – domeny, licencje czy konta w chmurze są zarejestrowane na firmę IT lub prywatną osobę, a nie na klienta, co komplikuje rozstanie.

Ryzyko rośnie wykładniczo wraz z brakiem formalnych procedur: brak umowy lub bardzo ogólna umowa, brak załączników technicznych, brak spisu systemów i dostępów, brak regularnie aktualizowanej dokumentacji.

„Opieka” IT a przejęcie kontroli nad systemami

Stała obsługa informatyczna bywa mylona z całkowitym przeniesieniem odpowiedzialności. W praktyce należy odróżnić:

  • opiekę techniczną – konfiguracje, aktualizacje, reagowanie na awarie, wsparcie użytkowników,
  • kontrolę nad systemami – decyzja, kto jest właścicielem licencji, danych, kont administracyjnych i dokumentacji.

Firma IT może i powinna wykonywać wiele działań technicznych, ale nie powinna być jedynym podmiotem posiadającym kontrolę nad „kluczami”. Kontrola musi pozostawać po stronie klienta, reprezentowanego przez zarząd lub wyznaczoną osobę odpowiedzialną za obszar IT i bezpieczeństwa.

Dobrze skonstruowana umowa i procedury powodują, że wykonawca świadczy usługi na wysokim poziomie, ale każda zmiana jest śledzona, a w razie potrzeby klient ma możliwość odcięcia dostępu i przekazania obsługi innej firmie w kontrolowany sposób.

Jak przygotować się do zlecenia obsługi IT jeszcze przed kontaktem z wykonawcą

Spisanie wszystkich systemów, usług i sprzętu

Bez wstępnej inwentaryzacji nie da się sensownie ułożyć ani zakresu stałej obsługi informatycznej, ani zabezpieczyć dostępu do haseł i danych. W praktyce trzeba zacząć od prostej listy. Może to być arkusz w Excelu, dokument tekstowy lub nawet zwykła tabelka na kartce – byleby był kompletny.

Na liście powinny znaleźć się co najmniej:

  • domena i DNS – gdzie zarejestrowana, kto ma dostęp do panelu, kto jest abonentem,
  • hosting stron www – dostawca, panel administracyjny, dane logowania,
  • poczta firmowa – serwer pocztowy, system (np. Microsoft 365 / Google Workspace), konta admina,
  • systemy biznesowe – ERP, CRM, programy magazynowe, księgowe, produkcyjne, HR,
  • serwery – fizyczne, wirtualne, VPS, chmury publiczne, NAS,
  • sprzęt sieciowy – routery, firewalle, przełączniki, access pointy, urządzenia VPN,
  • stacje robocze – komputery stacjonarne, laptopy, terminale, tablety,
  • usługi chmurowe – dyski w chmurze, backup online, narzędzia współpracy, systemy ticketowe,
  • systemy bezpieczeństwa – antywirus, EDR, system logów, monitoring.

Im wcześniej uporządkujesz tę listę, tym łatwiej będzie negocjować zakres umowy i wymagać konkretnych zapisów dotyczących bezpieczeństwa.

Ustalenie formalnego właściciela kont i licencji

Drugi krok to odpowiedź na pytanie: na kogo formalnie zarejestrowane są kluczowe usługi. W praktyce bywa, że:

  • domena jest na osobę prywatną (np. byłego wspólnika lub informatyka),
  • konto w chmurze jest założone „na szybko” przez pracownika na prywatny adres e‑mail,
  • licencje oprogramowania są przypięte do konta firmy IT, która je kupiła w imieniu klienta, ale formalnie jest ich właścicielem.

Tego typu „drobiazgi” w krytycznym momencie urastają do problemu blokującego zmianę dostawcy IT czy przeniesienie usługi. Przy tworzeniu inwentaryzacji warto przy każdym systemie dopisać:

  • kto jest abonentem / właścicielem według dostawcy (nazwa firmy, osoba),
  • na jaki adres e‑mail założono konto główne (administracyjne),
  • kto obecnie zna hasło do tego konta.

Docelowo wszystkie kluczowe konta powinny być zarejestrowane na dane Twojej firmy i na kontrolowany adres e‑mail (np. specjalną skrzynkę administracyjną), do którego ma dostęp zarząd lub wyznaczony pełnomocnik.

Pierwsza inwentaryzacja haseł i dostępów

Nawet prosta lista „system – login – kto ma dostęp” daje ogromny przeskok jakościowy. Na etapie przygotowań nie chodzi jeszcze o ideał, ale o:

  • zidentyfikowanie systemów, do których nikt z zarządu nie ma hasła,
  • wskazanie kont, które istnieją tylko w głowie informatyka,
  • oznaczenie „białych plam”, gdzie nawet nie do końca wiadomo, kto jest dostawcą.

Taką tabelę można zbudować według prostego wzoru:

System / usługaDostawcaLogin konta głównegoKto zna hasłoWłaściciel (firma / osoba)Uwagi / problemy
Domena firmowaRejestrator Xadmin@…Informatyk + PrezesFirma ABC Sp. z o.o.OK
Hosting strony wwwHosting Ylogin technicznyTylko informatykOsoba prywatna (były wspólnik)Do uporządkowania

Tak przygotowana inwentaryzacja staje się punktem wyjścia do rozmów z wykonawcą i do zdefiniowania, jakie działania trzeba wykonać na start (np. przerejestrowanie domen, ujednolicenie właścicieli licencji, uporządkowanie haseł).

Określenie, czego naprawdę potrzebujesz od stałej obsługi IT

Stała obsługa informatyczna firmy to szerokie pojęcie. W praktyce chodzi zwykle o kilka klocków, które można łączyć w różne konfiguracje:

  • helpdesk / wsparcie użytkowników – ktoś odbiera zgłoszenia i rozwiązuje bieżące problemy,
  • utrzymanie infrastruktury – serwery, sieć, backupy, aktualizacje systemów,
  • bezpieczeństwo – antywirus, monitoring, reagowanie na incydenty, polityki haseł, MFA,
  • rozwój – projekty IT, nowe systemy, integracje, automatyzacje,
  • doradztwo strategiczne – planowanie rozwoju infrastruktury, architektury IT.

Już na starcie warto zdefiniować, których elementów oczekujesz, a które chcesz zostawić wewnątrz firmy lub u innych dostawców. Częsty błąd to oddanie całości „w pakiecie”, bez zrozumienia, że np. system ERP ma swojego producenta i wymaga odrębnej umowy serwisowej, a firma IT powinna się tam pojawiać tylko jako wsparcie techniczne, nie jako główny decydent.

Własne potrzeby dobrze obrazuje prosty podział:

  • co ma robić firma IT zewnętrzna,
  • co robi wewnętrzny dział IT / osoba odpowiedzialna,
  • co zostaje po stronie dostawców systemów biznesowych (ERP, CRM, produkcja).

Zarys minimalnych wymagań bezpieczeństwa do umowy

Jeszcze przed rozmową z potencjalną firmą IT warto spisać w kilku punktach, na czym Ci zależy w obszarze bezpieczeństwa. Taka mini‑checklista pozwala szybko odsiewać wykonawców, którzy „robią wszystko na hasło: informatyk wie” i nie chcą formalizować procesów.

Przykładowe wymagania, które powinny znaleźć się w umowie:

  • jasne zasady przechowywania i udostępniania haseł – menedżer haseł, sejf, dostęp dla klienta,
  • obowiązek prowadzenia dokumentacji – konfiguracje, schematy, listy dostępów,
  • zasady backupu i testów odtwarzania – gdzie, jak często, kto weryfikuje,
  • procedura zmiany i odebrania dostępu – co się dzieje, gdy ktoś odchodzi z firmy IT albo z Twojej firmy,
  • dwuskładnikowe uwierzytelnianie (MFA) na kluczowych kontach i sposób zarządzania tokenami,
  • obowiązek zgłaszania incydentów bezpieczeństwa – terminy, forma, zakres informacji.

Taki szkic pomaga ułożyć rozmowę: zamiast ogólnego „dbacie o bezpieczeństwo?”, zadajesz pytania o konkretne mechanizmy. Wykonawca, który ma poukładane procesy, będzie w stanie od razu opisać, jak to u niego wygląda.

Zakres prac i odpowiedzialności – co oddać firmie IT, a co zachować u siebie

Rozdzielenie ról: właściciel danych, administrator systemów, wykonawca

Przy stałej obsłudze informatycznej potrzebne są trzy jasno opisane role:

  • właściciel danych – czyli Twoja firma. Decyduje, jakie systemy są używane, jakie dane są przetwarzane i kto ma do nich dostęp. To tutaj zapadają decyzje biznesowe: kogo dopuszczamy do jakich informacji, jakie są poziomy uprawnień, co jest krytyczne dla działalności,
  • administrator systemów po stronie klienta – osoba (lub zespół), która reprezentuje właściciela danych w sprawach technicznych. Nie musi „klikać” wszystkiego samodzielnie, ale odpowiada za akceptację zmian, odbiór prac, kontrolę uprawnień oraz komunikację z zarządem,
  • wykonawca (firma IT) – realizuje prace techniczne, utrzymuje systemy, wdraża zabezpieczenia i rekomenduje rozwiązania, ale robi to w ramach polityki i decyzji właściciela danych, a nie według własnego, niekontrolowanego uznania.

Jeśli tych ról nie nazwiesz i nie opiszesz, firma IT naturalnie „wchodzi” w próżnię decyzyjną i zaczyna de facto zarządzać Twoimi danymi. Z zewnątrz wszystko działa, ale wewnątrz firmy nikt nie wie, kto i dlaczego ma dostęp do krytycznych systemów, kto go nadał i na jakiej podstawie. Przy zmianie dostawcy pojawia się chaos: brak list uprawnień, brak dokumentacji, a nowy wykonawca musi zgadywać lub przepinać wszystko od zera.

Praktycznie można to uporządkować prostą procedurą. Zarząd formalnie wyznacza pełnomocnika ds. IT (czasem to dyrektor operacyjny, czasem główny księgowy albo kierownik produkcji w mniejszych firmach). Ta osoba staje się administratorem systemów po stronie klienta. Jej zadania: akceptacja nowych kont, zmian uprawnień, istotnych modyfikacji konfiguracji oraz odbiór prac projektowych. Firma IT ma jasny punkt kontaktu, a jednocześnie każdy większy ruch jest „przyklepany” po stronie biznesowej.

W umowie z firmą IT warto wprost wpisać, że właścicielem danych i dostępów pozostaje klient, a wykonawca działa wyłącznie w oparciu o udzielone upoważnienia. Dobrze doprecyzować, że wszystkie konta administracyjne w systemach klienta są tworzone na dane klienta (adresy e‑mail w domenie firmowej), a konta techniczne wykonawcy są oznaczone i łatwe do zidentyfikowania. Ułatwia to później audyt dostępów oraz ich odebranie w razie zakończenia współpracy. Ostatni element to jasny zapis, że pełna dokumentacja konfiguracji i dostępów jest własnością klienta i musi być aktualizowana oraz przekazywana na jego żądanie.

Stała obsługa IT może być mocnym wsparciem biznesu, o ile nie oddajesz przy okazji kontroli nad kluczowymi danymi i dostępami. Dobrze zdefiniowane role, uporządkowana własność kont i twarde zasady przekazywania haseł sprawiają, że współpraca z firmą IT staje się bezpiecznym elementem układanki, a nie potencjalnym punktem krytycznym dla całej organizacji.

Jak daleko sięga odpowiedzialność firmy IT za bezpieczeństwo

Zakres obsługi IT często miesza się z oczekiwaniem, że wykonawca „odpowiada za wszystko”. W praktyce odpowiedzialność dzieli się na kilka warstw i każdą trzeba nazwać osobno.

  • Warstwa techniczna – konfiguracje, aktualizacje, backupy, zabezpieczenia sieci, antywirus. Tutaj firma IT może ponosić pełną odpowiedzialność za prawidłowe wykonanie, jeśli ma do tego uprawnienia i budżet,
  • Warstwa organizacyjna – kto ma dostęp do jakich danych, zasady nadawania ról, akceptacja podwykonawców. To odpowiedzialność klienta, nawet jeśli firma IT pomaga to poukładać,
  • Warstwa użytkowników – szkolenia z phishingu, reagowanie na podejrzane maile, nieudostępnianie haseł. Firma IT może edukować, ale nie kontroluje każdego kliknięcia,
  • Warstwa prawna – umowy powierzenia danych osobowych, zgłoszenia naruszeń, polityki RODO, rejestry czynności. Tutaj potrzebna jest współpraca prawnika, inspektora ochrony danych i IT.

Przy projektowaniu umowy dobrze jest ustalić, za które warstwy firma IT odpowiada wprost, gdzie jest tylko doradcą, a gdzie nie ma żadnej roli. Dzięki temu przy incydencie nie ma przerzucania się odpowiedzialnością, tylko konkretne działania naprawcze.

Granice ingerencji firmy IT w systemy biznesowe

Stała obsługa IT nie powinna oznaczać, że wykonawca ma pełne uprawnienia administracyjne w każdym systemie biznesowym (ERP, CRM, kadry, produkcja). Dobry model to rozdzielenie:

  • administracji biznesowej (role, struktura organizacyjna, uprawnienia pracowników) – po stronie właściciela systemu,
  • administracji technicznej (instalacje, integracje, wydajność, kopie zapasowe) – po stronie firmy IT lub producenta systemu.

W umowie i procedurach można wprowadzić prostą zasadę: firma IT nie nadaje samodzielnie uprawnień biznesowych bez pisemnej lub systemowej akceptacji administratora po stronie klienta. Chodzi zwłaszcza o:

  • role pozwalające na wgląd w pełne dane finansowe, kadrowe czy produkcyjne,
  • uprawnienia do eksportu dużych porcji danych (raporty, zrzuty baz),
  • dostęp do modułów konfiguracji procesów (workflow, słowniki, stawki).

Firma IT może technicznie wykonać zmianę, ale decyzja, komu i co udostępnić, musi pozostać po stronie biznesowej. To dodatkowa bariera przed przypadkowym lub nieuprawnionym rozszerzeniem dostępu „na telefon” użytkownika, który potrafi przekonać pomoc techniczną, ale nie miałby szans przekonać dyrektora finansowego.

Serwer w data center z podłączonymi kablami zarządzający dostępem do danych
Źródło: Pexels | Autor: Brett Sayles

Umowa z firmą IT – kluczowe zapisy związane z bezpieczeństwem haseł i danych

Standardy bezpieczeństwa jako załącznik do umowy

Zamiast ogólnego zapisu „Wykonawca dba o bezpieczeństwo systemów klienta” lepiej przygotować konkretny załącznik bezpieczeństwa. To tam trafiają wszystkie techniczne i organizacyjne wymagania, a sama umowa odwołuje się do tego dokumentu.

Taki załącznik może zawierać m.in.:

  • minimalne wymagania dla haseł (długość, złożoność, okresowa zmiana, stosowanie menedżera haseł),
  • wymóg stosowania MFA na wskazanych systemach (poczta, VPN, panele administracyjne),
  • model backupu (częstotliwość, miejsca przechowywania, retencja, testy odtwarzania),
  • zasady segmentacji sieci i dostępu zdalnego (VPN, listy dozwolonych adresów IP, brak „gołego” RDP do Internetu),
  • standardy szyfrowania nośników i urządzeń mobilnych, jeśli są używane do pracy z danymi klienta.

Załącznik można okresowo aktualizować – np. raz w roku – bez przepisywania całej umowy. Wystarczy przewidzieć procedurę zatwierdzania zmian (np. podpis elektroniczny obu stron).

Procedury dostępu do haseł i ich przekazywania

Krytyczny element współpracy to sposób, w jaki wykonawca zarządza hasłami do systemów klienta. Umowa powinna opisywać co najmniej trzy obszary:

  1. Przechowywanie haseł – w jakim narzędziu, kto ma dostęp, jak są szyfrowane i jak zabezpieczone są kopie zapasowe sejfu z hasłami,
  2. Udostępnianie haseł – komu, w jakiej formie, z jakim poziomem rejestrowania (logi, potwierdzenia),
  3. Przekazanie haseł klientowi – kiedy i w jaki sposób następuje pełne przekazanie (np. przy zakończeniu współpracy lub na żądanie).

Bezpieczny model zakłada, że:

  • kluczowe hasła są przechowywane w współdzielonym menedżerze haseł, do którego ma dostęp zarówno firma IT, jak i uprawnione osoby po stronie klienta,
  • technicy wykonawcy nie znają haseł pracowników – logują się przez swoje konta administracyjne lub funkcje delegowania uprawnień,
  • każde hasło do krytycznego systemu ma zdefiniowanego właściciela po stronie klienta, który może w każdej chwili zmienić hasło i zaktualizować wpis w sejfie.

Minimalny zapis w umowie powinien gwarantować, że klient ma pełny i ciągły dostęp do wszystkich haseł do systemów, za które płaci. Brak takiego zapisu to prosta droga do sytuacji, w której przy konflikcie lub nagłym zerwaniu współpracy nie można dostać się do własnej infrastruktury.

Zasady korzystania z kont administracyjnych

W umowie i procedurach bezpieczeństwa warto szczegółowo opisać, jak działają konta administracyjne. Z praktyki dobrze sprawdza się model:

  • brak jednego, wspólnego konta „admin” używanego przez kilka osób,
  • osobne konta imienne administratorów, powiązane z konkretnym technikiem i firmą (adres w domenie wykonawcy lub klienta),
  • konto główne (root, global admin) używane tylko awaryjnie i z dodatkowymi zabezpieczeniami (MFA, token sprzętowy),
  • wymóg logowania administracyjnego tylko przez zaufane kanały (VPN, jump server, bastion), a nie z dowolnej sieci Wi‑Fi.

W umowie można doprecyzować, że:

  • wszystkie działania wykonywane z uprawnieniami administracyjnymi muszą być logowane,
  • logi są przechowywane przez określony czas i udostępniane klientowi na żądanie,
  • zmiana uprawnień administratorów wymaga akceptacji administratora po stronie klienta.

Przy takim podejściu od razu wiadomo, kto odpowiada za daną zmianę, a ewentualne nadużycia można powiązać z konkretną osobą, a nie z „anonimowym adminem”.

Podwykonawcy i dostęp do danych

Wiele firm IT korzysta z podwykonawców: freelancerów, firm specjalistycznych, zewnętrznych serwisów sprzętowych. Bez jasnych zapisów ryzykujesz, że osoby spoza znanego zespołu mają dostęp do Twoich danych i haseł.

Umowa powinna wymagać, aby:

  • każdy podwykonawca mający dostęp do systemów lub danych klienta był formalnie zgłoszony i objęty co najmniej takimi samymi zobowiązaniami poufności jak główny wykonawca,
  • firma IT prowadziła rejestr podwykonawców z opisem zakresu ich dostępu,
  • udzielanie dostępu podwykonawcy wymagało zatwierdzenia przez administratora po stronie klienta (choćby mailowo, ale z archiwizacją),
  • przy zakończeniu współpracy z podwykonawcą wykonawca był zobowiązany do niezwłocznego odebrania dostępów i rozliczenia haseł.

Dobrym uzupełnieniem jest obowiązek okresowego raportowania listy osób (z imienia i nazwiska), które w danym kwartale miały dostęp administracyjny do systemów klienta.

Odpowiedzialność za incydenty bezpieczeństwa

Nie da się zagwarantować, że przy nawet najlepszych zabezpieczeniach nic się nigdy nie wydarzy. Można natomiast jasno ustalić, jak wygląda odpowiedzialność za różne typy incydentów i kto ma co robić, gdy coś się stanie.

W praktyce przydają się zapisy określające:

  • definicję incydentu bezpieczeństwa (np. nieuprawniony dostęp, utrata danych, włamanie, zaszyfrowanie systemów, wyciek danych osobowych),
  • czas na zgłoszenie incydentu klientowi od chwili wykrycia (np. 2–4 godziny w dni robocze, 24/7 dla krytycznych systemów),
  • formę zgłoszenia (telefon + e‑mail z opisem zakresu i skutków),
  • obowiązek zabezpieczenia logów i śladów technicznych do analizy powłamaniowej,
  • podział kosztów usuwania skutków incydentu, w zależności od przyczyny (wina klienta, wina wykonawcy, czynnik zewnętrzny).

Przykład z praktyki: pracownik kliknął w link z e‑maila, podał hasło do poczty, ktoś przejął konto i podszywał się pod niego w korespondencji. Jeśli w umowie nie ma jasno opisanych obowiązków, zaczyna się spór, czy to wina użytkownika, czy może firma IT powinna była wdrożyć MFA i szkolenia. Dobrze zredagowana umowa ogranicza takie dyskusje.

Własność danych, dostępu i konfiguracji – jak nie oddać kontroli nad firmą

Rejestr krytycznych zasobów i ich właścicieli

Aby realnie kontrolować własność danych i dostępów, trzeba mieć listę tego, co w ogóle istnieje. Prosty rejestr krytycznych zasobów IT z przypisanymi właścicielami biznesowymi i technicznymi robi ogromną różnicę.

W rejestrze powinny znaleźć się co najmniej:

  • domeny internetowe i DNS,
  • poczta firmowa,
  • serwery (fizyczne, VPS, chmura),
  • główne systemy biznesowe (ERP, CRM, kadry, produkcja, magazyn),
  • system kopii zapasowych,
  • systemy bezpieczeństwa (EDR, antywirus centralny, firewall, SIEM).

Przy każdym zasobie powinny się pojawić pola:

  • właściciel biznesowy (osoba z firmy, odpowiedzialna za to, że system jest potrzebny i co w nim jest),
  • właściciel techniczny (kto odpowiada za konfigurację i utrzymanie – firma IT, producent systemu, wewnętrzny dział IT),
  • konto główne (login, adres e‑mail, typ konta),
  • miejsce przechowywania hasła (menedżer haseł, sejf fizyczny),
  • status dokumentacji (jest/nie ma, gdzie leży).

Rejestr można prowadzić w zwykłym arkuszu, jeżeli jest ktoś, kto za niego odpowiada i faktycznie go aktualizuje przy każdej istotnej zmianie.

Kontrola nad kontami w chmurze i licencjami

Bardzo często licencje i konta w usługach chmurowych są rejestrowane na:

  • prywatny adres e‑mail informatyka,
  • konto ogólne założone przez firmę IT,
  • adres kogoś, kto dawno już nie pracuje w firmie.

To prosta droga do utraty kontroli nad płatnościami i danymi. Bezpieczniejszy model zakłada, że:

  • konto główne w każdej usłudze (Microsoft 365, Google Workspace, system backupu, narzędzia bezpieczeństwa) jest zarejestrowane na adres w domenie klienta,
  • ta skrzynka (np. it-admin@twojafirma.pl) jest obsługiwana przez kilku uprawnionych użytkowników (zarząd + administrator po stronie klienta),
  • firma IT ma swoje konta administracyjne gościa lub partnera, ale nie jest właścicielem subskrypcji,
  • wszystkie faktury za licencje i subskrypcje są wystawiane na dane klienta, nawet jeśli firma IT jest pośrednikiem.

Jeżeli dziś część licencji jest na osoby prywatne lub na firmę IT, jednym z pierwszych zadań przy porządkowaniu obsługi powinno być przerejestrowanie własności. Czasem wymaga to kontaktu z producentem i kilku maili, ale oszczędza wielu problemów w przyszłości.

Dostęp awaryjny (break‑glass) po stronie klienta

Nawet przy bardzo zaufanej współpracy z firmą IT warto mieć przygotowany dostęp awaryjny, który pozwoli przejąć kontrolę nad infrastrukturą w razie nagłego konfliktu, zniknięcia wykonawcy lub sytuacji kryzysowej.

Typowy schemat:

  • tworzysz jedno lub kilka kont o najwyższych uprawnieniach (np. global admin w chmurze, root do serwera),
  • hasła do tych kont są zapisane w sposób rozproszony – np. jedna część w sejfie kadrowym, druga u członka zarządu, a pełny wpis w menedżerze haseł, do którego wykonawca nie ma dostępu,
  • kontrola dostępu do tych kont jest opisana w krótkiej procedurze (kto może z nich skorzystać, w jakich sytuacjach, kto to zatwierdza),
  • dostęp awaryjny jest okresowo testowany – choćby raz w roku ktoś rzeczywiście loguje się z użyciem tych danych i sprawdza, czy ma wymagane uprawnienia.

Taki mechanizm nie służy do codziennej pracy. Ma być „polisą ubezpieczeniową” na wypadek, gdy firma IT nagle przestanie odpowiadać, kluczowy administrator odejdzie w konflikcie albo dojdzie do incydentu, w którym trzeba natychmiast zablokować wszystkie konta wykonawcy.

Przy projektowaniu dostępu awaryjnego dobrze jest załatwić od razu kilka technicznych detali: wyłączyć MFA zależne od telefonu konkretnej osoby, ustawić długoterminowe metody uwierzytelniania (np. klucz sprzętowy, aplikacja na telefon służbowy zarządu), dopisać odpowiednie adresy e‑mail do powiadomień o podejrzanych logowaniach. Chodzi o to, żeby w kryzysie nie okazało się, że konto istnieje, ale nie da się go użyć.

Po każdej sytuacji, w której wykorzystano konto break‑glass, należy od razu zmienić do niego hasło i udokumentować, kto i po co się logował. Wtedy dostęp awaryjny nie zamienia się w „tajne wejście”, z którego ktoś korzysta po cichu, z pominięciem ustalonych zasad.

Procedura rozstania z firmą IT

Największe problemy z własnością i dostępami wychodzą na wierzch przy zmianie wykonawcy. Dobrze przygotowana firma ma na to prostą procedurę, którą można dołączyć do umowy jako załącznik.

Taka procedura powinna zawierać listę kroków do wykonania w określonym czasie, np. 30 dni przed końcem współpracy i 7 dni po jej zakończeniu. W praktyce przydaje się m.in.:

  • przekazanie aktualnego rejestru zasobów, kont administracyjnych i dokumentacji technicznej,
  • przekazanie pliku z konfiguracjami (backupy konfiguracji firewalli, przełączników, kluczowe ustawienia systemów),
  • przekazanie haseł do kont głównych w uzgodnionej, bezpiecznej formie,
  • potwierdzenie usunięcia kont pracowników wykonawcy ze wszystkich systemów klienta,
  • potwierdzenie usunięcia danych klienta z systemów wykonawcy, które nie są niezbędne do rozliczeń lub obowiązków prawnych.

Dobrym zwyczajem jest zaplanowanie krótkiego okresu „nakładania się” dwóch wykonawców, kiedy stara firma IT ma jeszcze dostęp, ale już w ograniczonym zakresie, a nowa przejmuje obowiązki. Minimalizuje to ryzyko przestojów i pozwala spokojnie sprawdzić, czy wszystkie dostępy i hasła zostały poprawnie przekazane.

Jeżeli procedura rozstania jest napisana i znana obu stronom już na początku współpracy, znika pole do szantażu w stylu „nie oddamy haseł, dopóki…”. Firma zachowuje kontrolę nad danymi, usługami i konfiguracją niezależnie od tego, kto aktualnie obsługuje IT.

Stała obsługa informatyczna może być mocnym wsparciem biznesu, ale tylko wtedy, gdy role są klarownie podzielone, własność danych nie budzi wątpliwości, a hasła i dostępy są zarządzane według prostych, spisanych zasad. Im wcześniej wprowadzisz porządek w tych obszarach, tym mniej czasu spędzisz na gaszeniu pożarów i szukaniu „zaginionych” uprawnień, a więcej na rozwijaniu firmy.

Praktyczne zasady zarządzania hasłami i dostępami przy stałej obsłudze IT

Struktura ról i uprawnień – kto ma mieć do czego dostęp

Bez uporządkowanych ról robi się chaos. Zaczyna się od „dajcie mu pełne uprawnienia, żeby mógł pracować”, a kończy na tym, że handlowiec ma dostęp do serwera produkcyjnego.

Podstawowy podział ról przy stałej obsłudze IT:

  • rola biznesowa – kierownicy działów, zarząd, właściciele procesów,
  • rola administracyjna po stronie klienta – osoba (lub dwie), które pełnią funkcję „opiekuna IT” w firmie,
  • rola administracyjna po stronie wykonawcy – administratorzy z firmy IT,
  • użytkownicy standardowi – pracownicy, którzy mają dostęp tylko do tego, co potrzebne w ich pracy.

Do każdego systemu przypisz typy uprawnień:

  • pełna administracja (global admin, root) – tylko wąska grupa, w praktyce maksymalnie 2–3 osoby ze strony klienta + 2–3 po stronie wykonawcy,
  • administracja częściowa (np. admin poczty, admin CRM) – przydzielana według odpowiedzialności biznesowej,
  • dostęp operacyjny (praca codzienna) – pracownicy bez uprawnień do zmian w konfiguracji.

Warto zablokować pokusę nadawania pełnych uprawnień „na wszelki wypadek”. Jeżeli firma IT prosi o dostęp global admina, pytanie brzmi: do jakich konkretnie działań jest to potrzebne i czy da się je wykonać z użyciem roli ograniczonej (np. admin bezpieczeństwa, admin użytkowników).

Model dostępu „zero trust” w małej i średniej firmie

Pełny zero trust to duży projekt, ale kilka prostych zasad da się wdrożyć bez wielkich inwestycji.

Podstawowe elementy:

  • zasada minimalnych uprawnień – każdy ma tylko taki dostęp, jaki jest potrzebny tu i teraz,
  • oddzielenie kont administratora od konta użytkownika – administratorzy mają osobne konto do pracy biurowej i osobne do zadań admina,
  • dostęp z podwyższonymi uprawnieniami tylko z zaufanych urządzeń – np. brak logowania „global admin” z prywatnego laptopa lub telefonu,
  • czasowe nadawanie wyższych uprawnień (just-in-time) – gdzie się da, stosuj konta z podwyższonymi rolami tylko na czas konkretnego zadania.

W umowie z firmą IT można dodać prosty zapis: „Wykonawca zobowiązuje się stosować zasadę minimalnych uprawnień oraz oddzielać konta administracyjne od użytkowych. Wszelkie odstępstwa wymagają pisemnej zgody zamawiającego”. Dzięki temu w razie audytu lub incydentu można wrócić do tego punktu i rozliczać praktykę z deklaracjami.

Menedżer haseł – narzędzie wspólne, ale pod kontrolą klienta

Przy stałej obsłudze IT używanie menedżera haseł nie jest „opcją”. To warunek, żeby ktokolwiek panował nad tym, co się dzieje z dostępami.

Bezpieczny model:

  • firma wykupuje firmowego menedżera haseł (np. w modelu business/enterprise),
  • właścicielem subskrypcji jest klient, a nie firma IT,
  • tworzone są oddzielne „skarbce” – np. dział sprzedaży, kadry, zarząd, infrastruktura IT,
  • firma IT dostaje dostęp tylko do skarbca z hasłami technicznymi i ewentualnie do wybranych haseł aplikacyjnych, jeśli jest to uzgodnione.

Przy wprowadzaniu menedżera haseł ustal proste reguły:

  • hasła do kont administracyjnych nie krążą mailem, komunikatorem ani w Excelu,
  • każde hasło techniczne ma opis: co to jest, do czego służy, kto odpowiada,
  • zmiany w hasłach są odnotowywane – w komentarzu lub historii wpisu.

Jeśli firma IT używa własnego menedżera haseł, i tak dopilnuj, żeby najważniejsze konta (własność krytyczna) były wpisane również do menedżera po stronie klienta. Nie ma powodu, aby kluczowe dane dostępowe istniały wyłącznie w systemie, nad którym nie masz żadnej kontroli.

Standardy tworzenia i rotacji haseł technicznych

Hasła administratorów, serwerów, baz danych czy urządzeń sieciowych muszą być silniejsze i inaczej zarządzane niż zwykłe loginy pracowników.

Minimalny zestaw wymagań, które można zapisać zarówno w polityce bezpieczeństwa, jak i w umowie:

  • hasła techniczne co najmniej 16 znaków, generowane losowo,
  • zakaz powtórnego używania tego samego hasła w różnych systemach,
  • obowiązkowa rotacja haseł administracyjnych co określony czas (np. 6–12 miesięcy) oraz po każdym incydencie związanym z wykonawcą (odejście pracownika firmy IT, konflikt, naruszenie zaufania),
  • zmiana hasła natychmiast po tym, jak zostało podane poza menedżerem haseł (np. telefonicznie w awarii).

W praktyce sprawdza się krótkie, spisane ustalenie: po zakończeniu współpracy z konkretnym administratorem lub całym wykonawcą następuje rotacja wszystkich haseł do kont głównych i krytycznych systemów. Wtedy odpowiedzialność jest jasna – ktoś musi to wykonać i udokumentować.

Dwuskładnikowe uwierzytelnianie – jak ustawić, żeby nie blokowało firmy

MFA (dwuskładnik) jest obowiązkowe dla:

  • kont global admin w chmurze,
  • dostępów VPN do sieci firmowej,
  • dostępów do panelu hostingu, domen i DNS,
  • głównych systemów biznesowych z danymi wrażliwymi.

Kluczowy błąd: przypisanie MFA do prywatnego telefonu jednego administratora. Gdy ta osoba jest na urlopie albo odchodzi, system staje się zakładnikiem.

Bezpieczniejsze podejście:

  • tam, gdzie to możliwe, stosuj klucze sprzętowe jako drugi składnik (przynajmniej dwa egzemplarze w różnych miejscach),
  • telefon z aplikacją do kodów (np. Authenticator) powinien być urzędowy / służbowy, przypisany do roli, nie konkretnej osoby,
  • dla kont krytycznych konfiguruj minimum dwie niezależne metody MFA (np. klucz sprzętowy + aplikacja + backupowe kody jednorazowe w sejfie),
  • wykonawca nie powinien być jedyną stroną, która kontroluje metody uwierzytelniania do kluczowych usług.

Po każdej zmianie wykonawcy lub odejściu ważnego administratora przeprowadź krótki przegląd: które konta, z jakim MFA, na jakich urządzeniach, kto to kontroluje. To pół dnia pracy, które potrafi uratować tygodnie nerwów później.

Rozdzielenie środowisk i kont – prywatne vs firmowe

Hasła i dostępy do systemów firmowych nie powinny być powiązane z prywatną infrastrukturą kogokolwiek – ani pracownika, ani podwykonawcy.

Podstawowe zasady:

  • brak prywatnych adresów e‑mail w roli loginów do krytycznych systemów (zastępuj je kontami w domenie firmowej),
  • brak powiązania MFA z prywatnym numerem telefonu wykonawcy,
  • administratorzy z firmy IT pracują z użyciem kont firmowych (np. jan.kowalski@firma-it.pl), a nie „janek1985@gmail.com”,
  • w usługach chmurowych korzystaj z modelu delegowanych ról (partner admin, guest admin), zamiast nadawania pełnych uprawnień „lokalnym” kontom firmy IT.

Jeżeli w obecnym modelu masz dostęp krytyczny oparty o prywatne konta, priorytetem jest plan ich „odklejenia”: utworzenie nowego konta firmowego, przekazanie dostępów, ustawienie MFA na bezpieczny zestaw metod i dopiero potem odebranie starego, prywatnego logina.

Zarządzanie dostępami pracowników firmy IT – jak to uregulować

Administratorzy po stronie wykonawcy pojawiają się i znikają. Jeśli nie ma jasnych zasad, po kilku latach nikt nie wie, kto miał dostęp do czego.

Ustal z firmą IT krótką procedurę:

  • każdy administrator ma indywidualne konto (bez wspólnych loginów typu „admin-it”),
  • firma IT utrzymuje aktualną listę osób z dostępem do Twoich systemów i udostępnia ją na żądanie,
  • przy odejściu pracownika wykonawcy w ciągu np. 24 godzin następuje:
    • zablokowanie jego kont w Twoich systemach,
    • zmiana wszystkich haseł, które znał (jeżeli były współdzielone),
    • aktualizacja listy administratorów.

Można zapisać w umowie, że wykonawca ma obowiązek przesłać miesięczne zestawienie aktywnych kont administracyjnych w systemach klienta (imię, nazwisko, rola, zakres). To kosztuje go kilka minut, a dla Ciebie jest prostym narzędziem kontroli.

Onboarding i offboarding – hasła i dostępy przy zatrudnianiu i odejściu

Stała obsługa IT często przejmuje od klienta proces „wprowadzania” i „wyprowadzania” pracowników. Jeżeli nikt tego nie opisze, robi się improwizacja.

Dla nowych pracowników:

  • lista systemów, do których mają mieć dostęp (na podstawie roli, nie nazwiska),
  • z góry zdefiniowane grupy uprawnień (np. „handlowiec PL”, „kierownik magazynu”),
  • standardowa procedura przekazania pierwszego hasła (np. sms + wymuszenie zmiany przy pierwszym logowaniu),
  • potwierdzenie z firmy IT, że konto zostało utworzone i przypisane do odpowiednich grup.

Przy odejściu pracownika:

  • krok 1 – natychmiastowa blokada kont (poczta, VPN, systemy biznesowe),
  • krok 2 – archiwizacja skrzynki pocztowej i danych (zgodnie z polityką firmy),
  • krok 3 – przegląd uprawnień administracyjnych (czy pracownik nie miał ról specjalnych),
  • krok 4 – aktualizacja dokumentacji dostępów (kto przejmuje jego rolę).

Firma IT powinna działać według takiej checklisty, ale ktoś po stronie klienta musi ją inicjować i zatwierdzać. Dobrym narzędziem jest prosty formularz (papierowy lub w systemie HR), który przy każdym zatrudnieniu/odejściu trafia do wykonawcy. Znika wtedy problem „zapomnieliśmy odebrać dostępów do systemu X”.

Rejestrowanie i audyt działań administracyjnych

Przy stałej obsłudze IT wiele rzeczy dzieje się „w tle”. Bez logów i prostego audytu nie da się potem ustalić, kto co zrobił i czy było to zgodne z ustaleniami.

Minimum techniczne:

  • włączenie logów administracyjnych w chmurze (MS 365 / Google / inne),
  • logowanie zmian konfiguracji w firewallach, przełącznikach, backupie,
  • zapewnienie, że logi są przechowywane przez z góry określony czas (np. 6–12 miesięcy).

Minimum organizacyjne:

  • prostą listę „czynności krytycznych”, które wymagają dodatkowego potwierdzenia (np. zmiana hasła konta głównego, wyłączenie MFA, otwarcie portów z internetu do serwera produkcyjnego),
  • krótkie, kwartalne spotkanie lub raport, w którym wykonawca przedstawia najważniejsze działania administracyjne wykonane w tym okresie.

Jeżeli dojdzie do incydentu, obecność logów i opisanych procedur zmienia wszystko. Zamiast szukać na ślepo, można przejść krok po kroku: kiedy nastąpiła zmiana, kto ją wykonał, na czyje polecenie.

Bezpieczne przekazywanie haseł i dostępów w codziennej współpracy

W codzienności pojawiają się proste sytuacje: ktoś potrzebuje tymczasowego dostępu, trzeba szybko przekazać hasło do nowego serwera, producent systemu prosi o konto serwisowe.

W takich sytuacjach trzy proste zasady trzymają porządek:

  • ustal jedną dopuszczalną metodę przekazywania haseł (np. tylko przez menedżera, ewentualnie telefon + SMS w awarii),
  • jeżeli hasło zostało przekazane „tymczasowo” poza ustalonym kanałem (np. przez telefon), musi być zmienione po zakończeniu pracy,
  • dla dostępu serwisowego producenta twórz oddzielne konto z ograniczonymi uprawnieniami i jasno określonym czasem ważności.

Dobrze sprawdza się prosty, spisany „mini‑standard” komunikacji z firmą IT: hasła i linki konfiguracyjne zawsze idą jednym, z góry ustalonym kanałem, a zlecenia zmian – drugim (np. e‑mail z domeny firmowej lub system zgłoszeń). Dzięki temu łatwiej później odtworzyć, kto co zlecił, jakie dane zostały przekazane i czy nie pojawiły się podejrzane prośby o dostęp „na szybko”. Przy większej liczbie osób po obu stronach taka dyscyplina komunikacyjna chroni przed chaosem i przypadkowym ujawnieniem danych wrażliwych w nieodpowiednim miejscu.

Na koniec przyda się jedna kartka (albo prosty dokument online), która zbiera sedno: kto jest właścicielem kont nadrzędnych, gdzie trzymany jest główny sejf haseł, jakie są procedury awaryjne i kto ma prawo podjąć decyzję o ich użyciu. Taki „plan na zły dzień” ogranicza panikę, kiedy faktycznie coś pójdzie nie tak – ktoś zniknie, serwer padnie, dostawca zawiedzie. Zamiast improwizacji jest lista kroków i jasny podział ról, a bezpieczeństwo haseł i danych przestaje zależeć od dobrej woli pojedynczych osób.

Najczęściej zadawane pytania (FAQ)

Jakie zapisy w umowie o stałą obsługę IT zabezpieczają dostęp do haseł i danych?

Minimalny zestaw to:

  • jasne wskazanie, że właścicielem wszystkich kont, danych, licencji i konfiguracji jest Twoja firma, nie wykonawca,
  • obowiązek prowadzenia i przekazywania aktualnej dokumentacji dostępu (konta admina, panele, procedury),
  • procedura przekazania haseł i dokumentacji przy rozwiązaniu umowy, z terminem i formatem (np. plik zaszyfrowany, menedżer haseł),
  • wymóg wykonywania i testowania backupów oraz opis odpowiedzialności za ich brak.

W umowie dopisz też, że wykonawca nie może zmieniać głównych właścicieli kont (np. domena, chmura) bez Twojej pisemnej zgody i że ma obowiązek informować o każdej istotnej zmianie w infrastrukturze.

Kto powinien mieć główne hasła i dostępy: firma IT czy klient?

Główne hasła (konta właścicielskie, „root”, „global admin”) powinien mieć klient – reprezentowany przez zarząd lub wyznaczoną osobę odpowiedzialną za IT. Firma IT może mieć dostęp techniczny, ale jako konto podległe, które w razie potrzeby możesz zablokować.

W praktyce sprawdza się model:

  • konto główne – na firmowy adres admina (np. it-admin@twojafirma.pl) pod kontrolą klienta,
  • konta administracyjne dla firmy IT – przypisane do konkretnej osoby lub zespołu, z nadanymi uprawnieniami i logowaniem działań.

Dzięki temu w razie konfliktu lub nagłego rozstania możesz zmienić hasło do głównego konta i odciąć dostęp wykonawcy bez paraliżowania firmy.

Jak uniknąć sytuacji, w której informatyk szantażuje mnie dostępem do systemów?

Takie sytuacje najczęściej wynikają z braku umowy i dokumentacji. Żeby zminimalizować ryzyko:

  • nie dopuszczaj do tego, by wykonawca był jedyną osobą znającą hasła do kluczowych systemów,
  • zapewnij, że wszystkie usługi (domena, hosting, chmura) są zarejestrowane na Twoją firmę,
  • w umowie wpisz obowiązek niezwłocznego wydania wszystkich haseł i dokumentacji po wypowiedzeniu umowy,
  • wymuś używanie menedżera haseł, do którego masz współdzielony dostęp administracyjny.

Dobry test: jeśli dziś usuwasz dostęp firmie IT, czy jesteś w stanie samodzielnie zalogować się do domeny, poczty, systemu księgowego i backupów? Jeśli nie – trzeba to uporządkować przed kolejnym konfliktem.

Na kogo powinna być zarejestrowana domena, hosting i licencje oprogramowania?

Na Twoją firmę – z pełnymi danymi identyfikującymi (nazwa, NIP/REGON, adres). Konto do panelu rejestratora domeny, hostingu czy chmury powinno być założone na adres e‑mail kontrolowany przez zarząd, a nie na prywatną skrzynkę informatyka.

Jeśli firma IT kupuje licencje „w Twoim imieniu”, ustal z góry:

  • na kogo formalnie są rejestrowane (dane klienta),
  • jakie masz dowody (faktury, potwierdzenia, dostęp do portalu licencyjnego),
  • co dzieje się z licencjami po zakończeniu współpracy.

Warto przejść punkt po punkcie: domena, hosting, poczta, ERP, CRM, antywirus, backup – i przy każdym sprawdzić, kto widnieje jako właściciel u dostawcy.

Jak zrobić pierwszą inwentaryzację systemów i haseł przed zleceniem obsługi IT?

Najprościej zacząć od prostej tabeli (np. Excel) z kolumnami:

  • system / usługa,
  • dostawca (firma, adres strony),
  • login konta głównego,
  • kto zna hasło (konkretnie: imię, funkcja),
  • właściciel według dostawcy (nazwa firmy / osoba),
  • uwagi / problemy (np. „domena na byłego wspólnika”).

Na początek nie chodzi o perfekcję, tylko o wychwycenie „ślepych plam”: systemów bez znanego hasła, usług na prywatne maile pracowników, dostawców, o których nikt nic nie wie. Z taką listą znacznie łatwiej rozmawia się z potencjalną firmą IT o zakresie i warunkach umowy.

Czy jedna firma IT powinna mieć dostęp do wszystkiego w mojej firmie?

Może mieć szeroki dostęp techniczny, ale nie powinna mieć pełnej, niekontrolowanej władzy nad całą infrastrukturą. Ryzyko rośnie, gdy:

  • brakuje rozdzielenia ról (ta sama firma wdraża, administruje, audytuje),
  • cała wiedza jest „w głowie informatyka”, bez dokumentacji u klienta,
  • nie ma mechanizmów kontroli (logi zmian, okresowe raporty, audyty).

Bezpieczniejszy model to: kluczowa własność (konta właścicielskie, licencje, domena) po stronie klienta, natomiast firma IT działa na przydzielonych uprawnieniach, z możliwością łatwego odcięcia dostępu i przekazania całości innemu wykonawcy.

Jak uregulować w umowie temat backupów przy stałej obsłudze IT?

Backup musi być opisany konkretnie, nie jednym zdaniem. W umowie doprecyzuj:

  • jakie systemy są objęte kopiami (poczta, pliki, ERP, bazy danych itp.),
  • jak często kopie są wykonywane i jak długo przechowywane,
  • gdzie fizycznie są trzymane (inny serwer, chmura, inna lokalizacja),
  • kto i jak często testuje odtwarzanie danych (np. raz na kwartał raport z testu),
  • kto ma dostęp do kont backupowych i kto jest ich formalnym właścicielem.

Dobrą praktyką jest, aby dostęp właścicielski do systemu backupowego miał klient, a firma IT działała na kontach technicznych. Pozwala to zweryfikować, czy kopie faktycznie istnieją i czy da się je odtworzyć bez „łaski informatyka”.

Kluczowe Wnioski

  • Stała obsługa IT oznacza realny dostęp do „mózgu” firmy – poczty, systemów biznesowych, serwerów, chmur i backupów – więc jest obszarem krytycznym z punktu widzenia bezpieczeństwa i ciągłości działania.
  • Model „jedna firma IT ma dostęp do wszystkiego i nikt jej nie kontroluje” tworzy wysoki poziom ryzyka: brak rozdzielenia ról, brak przejrzystości, silne uzależnienie od wykonawcy i koncentrację wiedzy poza organizacją.
  • Najpoważniejsze problemy pojawiają się przy konflikcie lub nagłym odejściu informatyka: groźba szantażu dostępami, paraliż firmy, brak dokumentacji, ujawnienie, że nikt nie nadzorował backupów ani konfiguracji.
  • Kluczowe jest rozróżnienie między opieką techniczną a kontrolą nad systemami – wykonawca może administrować, ale właścicielem licencji, danych, kont administracyjnych i dokumentacji musi pozostać klient.
  • Dobrze skonstruowana umowa i procedury powinny wymuszać: śledzenie zmian, jasne zasady nadawania i odbierania dostępów, przekazywanie dokumentacji oraz możliwość płynnej zmiany dostawcy IT bez utraty kontroli.
  • Przed zleceniem obsługi IT firma powinna zrobić podstawową inwentaryzację: lista domen i DNS, hostingów, poczty, systemów biznesowych, serwerów, sprzętu sieciowego, stacji roboczych, usług chmurowych i systemów bezpieczeństwa.
  • Brak formalnych procedur (szczegółowej umowy, załączników technicznych, spisu systemów i dostępów, aktualnej dokumentacji) powoduje wykładniczy wzrost ryzyka operacyjnego i utrudnia reagowanie na awarie czy zmianę wykonawcy.

1 KOMENTARZ

  1. To bardzo istotne, że coraz więcej firm decyduje się na zlecenie stałej obsługi informatycznej w celu zabezpieczenia dostępu do haseł i danych. W dobie ciągłych zagrożeń cybernetycznych, dbanie o bezpieczeństwo informacji staje się priorytetem. Mam nadzieję, że więcej przedsiębiorstw zdecyduje się na takie działania, aby chronić się przed ewentualnymi atakami i utratą cennych danych. Bezpieczeństwo informatyczne to kluczowy element w biznesie, dlatego warto inwestować w profesjonalne usługi w tej dziedzinie.

Możliwość dodawania komentarzy nie jest dostępna.