Single Blog

W wielu małych i średnich firmach całe IT opiera się na jednej osobie. Czasem jest to zatrudniony informatyk, czasem zewnętrzny administrator, czasem „człowiek od komputerów”, który od lat zna firmę, użytkowników, serwery, hasła, programy, drukarki i wszystkie nietypowe obejścia.

Na pierwszy rzut oka to wygodne rozwiązanie. Jedna osoba zna środowisko, szybko odbiera telefon, wie „co gdzie leży” i często rozwiązuje problemy bez zbędnych formalności.

Problem zaczyna się wtedy, gdy ta jedna osoba zachoruje, odejdzie, przestanie odbierać telefon, popełni błąd albo po prostu nie będzie miała czasu. Wtedy okazuje się, że firma nie ma dokumentacji, nie zna haseł, nie wie, gdzie są kopie zapasowe, nie rozumie konfiguracji sieci i nie potrafi samodzielnie ocenić, czy infrastruktura IT jest bezpieczna.

To nie jest tylko problem techniczny. To jest ryzyko biznesowe.

Dlaczego firmy opierają IT na jednej osobie?

Najczęstszy powód jest prosty: tak jest taniej i wygodniej.

Właściciel firmy często zakłada, że skoro wszystko działa, to nie ma sensu komplikować tematu. Informatyk jest dostępny, zna środowisko i „jakoś to ogarnia”. Firma rośnie, dochodzą kolejne systemy, serwery, usługi chmurowe, programy księgowe, ERP, poczta, backup, VPN, monitoring, kamery, Wi-Fi, drukarki, konta użytkowników i licencje.

Tylko że model zarządzania IT zostaje taki sam jak kilka lat wcześniej: jedna osoba i dużo wiedzy w głowie.

To działa do momentu, aż przestanie działać.

Jedna osoba od IT to pojedynczy punkt awarii

W informatyce istnieje pojęcie pojedynczego punktu awarii. Oznacza element, którego awaria może zatrzymać cały system.

W wielu firmach takim pojedynczym punktem awarii nie jest serwer, firewall ani internet. Jest nim człowiek.

Jeżeli jedna osoba jako jedyna wie:

• gdzie są hasła administracyjne,
• jak działa backup,
• gdzie znajduje się dokumentacja,
• kto ma dostęp do systemów,
• jak skonfigurowany jest firewall,
• jak działa VPN,
• kto odnawia domenę,
• gdzie są licencje,
• jak odtworzyć dane po awarii,
• jak uruchomić firmę po ataku ransomware,

to firma ma poważny problem.

Nie dlatego, że ta osoba jest zła. Problemem jest model, w którym krytyczna wiedza nie należy do organizacji, tylko do jednej osoby.

Kiedy jedna osoba od IT jest wystarczająca?

Nie zawsze trzeba od razu budować dział IT albo podpisywać dużą umowę serwisową. W bardzo małej firmie jedna osoba od IT może wystarczyć, ale tylko pod pewnymi warunkami.

Taki model może być akceptowalny, jeżeli firma:

• ma prostą infrastrukturę,
• nie ma własnych serwerów,
• korzysta głównie z usług chmurowych,
• posiada aktualną dokumentację,
• ma zapisane procedury awaryjne,
• zna dostępy administracyjne,
• ma sprawdzony backup,
• nie działa w trybie krytycznym dla produkcji, handlu lub logistyki,
• ma zastępstwo na wypadek niedostępności tej osoby.

Jeżeli jednak firma ma serwery lokalne, produkcję, ERP, magazyn, sprzedaż, terminale, zdalnych użytkowników, VPN, backup, Active Directory, Microsoft 365, monitoring, kamery, integracje i ciągłość pracy ma znaczenie biznesowe, to jedna osoba od IT zaczyna być ryzykiem.

Największe ryzyka modelu „jeden informatyk od wszystkiego”

1. Brak zastępstwa

To najprostszy i najczęściej lekceważony problem.

Co się stanie, jeśli informatyk:

• zachoruje,
• wyjedzie na urlop,
• zmieni pracę,
• przestanie współpracować,
• będzie niedostępny w czasie awarii,
• nie odbierze telefonu po godzinach?

Jeżeli odpowiedź brzmi: „nie wiem”, to firma nie ma realnego planu awaryjnego.

W biznesie nie chodzi o to, czy ktoś jest lojalny i pomocny. Chodzi o to, czy firma potrafi działać, gdy tej osoby nie ma.

2. Wiedza jest w głowie, a nie w dokumentacji

To klasyczny błąd.

Właściciel firmy myśli, że IT jest pod kontrolą, bo informatyk „wszystko wie”. Problem polega na tym, że firma tego nie wie.

Brakuje dokumentacji:

• serwerów,
• sieci,
• kont administratorów,
• konfiguracji firewalli,
• licencji,
• backupu,
• usług chmurowych,
• dostawców,
• domen,
• certyfikatów,
• procedur awaryjnych.

W efekcie każdy większy problem zaczyna się od zgadywania. A zgadywanie w czasie awarii kosztuje pieniądze.

3. Brak kontroli nad dostępami

W firmach opartych na jednej osobie od IT często nie ma regularnego przeglądu uprawnień.

Nikt nie sprawdza:

• kto ma dostęp do poczty,
• kto ma dostęp do plików,
• kto jest administratorem Microsoft 365,
• kto ma dostęp do VPN,
• kto ma dostęp do systemu ERP,
• czy byli pracownicy nadal mają aktywne konta,
• czy zewnętrzni dostawcy nadal mają dostęp,
• czy konta administratorów są zabezpieczone MFA.

To jest proszenie się o kłopoty.

Brak kontroli nad dostępami oznacza ryzyko wycieku danych, sabotażu, błędów, przejęcia kont i ataku ransomware.

4. Backup istnieje tylko „na słowo”

Właściciel pyta: „czy mamy backup?”. Informatyk odpowiada: „tak, robi się”.

To nie jest wystarczająca odpowiedź.

Prawidłowe pytania brzmią:

• co dokładnie jest backupowane?
• jak często wykonywany jest backup?
• gdzie są przechowywane kopie?
• czy backup jest odporny na ransomware?
• kiedy ostatnio wykonano test odtworzenia?
• ile potrwa przywrócenie firmy do pracy?
• czy backup obejmuje pocztę, pliki, ERP, bazy danych i konfiguracje?
• kto ma dostęp do backupu?

Backup, którego nikt nie testował, jest tylko nadzieją. A nadzieja nie jest strategią IT.

Więcej o tym obszarze: Backup danych dla firm.

5. Brak monitoringu

Jeżeli firma dowiaduje się o awarii od pracownika, klienta albo kontrahenta, to nie ma monitoringu. Ma reakcję po fakcie.

Monitoring IT powinien wykrywać problemy zanim zatrzymają firmę, np.:

• brak miejsca na dysku,
• niedziałający backup,
• przeciążony serwer,
• problem z usługą,
• niedostępność internetu,
• awarię urządzenia sieciowego,
• problemy z certyfikatami,
• podejrzane zdarzenia bezpieczeństwa.

Bez monitoringu firma działa po omacku.

Zobacz: Monitoring infrastruktury IT.

6. Informatyk jest przeciążony

Jedna osoba od IT często robi wszystko:

• helpdesk,
• drukarki,
• komputery,
• serwery,
• backup,
• sieć,
• Wi-Fi,
• pocztę,
• telefony,
• ERP,
• cyberbezpieczeństwo,
• zakupy sprzętu,
• licencje,
• wsparcie użytkowników,
• kontakt z dostawcami.

To nie jest efektywność. To jest chaos ubrany w znajomą twarz.

Przeciążony informatyk zaczyna działać reaktywnie. Gasi pożary, zamiast budować bezpieczne i stabilne środowisko. Aktualizacje są odkładane, dokumentacja nie powstaje, backup nie jest testowany, a bezpieczeństwo schodzi na dalszy plan.

7. Brak rozdzielenia obowiązków

Jeżeli jedna osoba administruje systemami, ma wszystkie hasła, zatwierdza zmiany, konfiguruje backup i sama ocenia swoje działania, to nie ma kontroli.

W dojrzałej organizacji nie chodzi o brak zaufania. Chodzi o ograniczenie ryzyka błędu, nadużycia albo zwykłego przeoczenia.

Dobrą praktyką jest rozdzielenie:

• administracji,
• zatwierdzania zmian,
• przeglądu uprawnień,
• kontroli backupu,
• audytu bezpieczeństwa,
• decyzji biznesowych.

W małej firmie nie zawsze da się to zrobić wewnętrznie. Wtedy warto wprowadzić zewnętrzny nadzór lub okresowy audyt IT.

8. Decyzje technologiczne zależą od jednej opinii

Jeżeli cała strategia IT firmy zależy od jednej osoby, właściciel nie ma porównania.

Może się okazać, że firma:

• przepłaca za rozwiązania,
• używa przestarzałej infrastruktury,
• niepotrzebnie trzyma serwery lokalnie,
• nie ma sensownego planu migracji do chmury,
• źle dobiera licencje,
• nie ma strategii backupu,
• kupuje sprzęt bez analizy potrzeb,
• nie rozwija bezpieczeństwa.

To nie jest zarzut wobec informatyka. Jedna osoba nie może być ekspertem od wszystkiego: sieci, serwerów, Microsoft 365, cyberbezpieczeństwa, backupu, prawa, licencji, ERP, chmury i ciągłości działania.

9. Firma nie wie, za co płaci

W wielu firmach koszty IT są rozproszone:

• Microsoft 365,
• hosting,
• domeny,
• certyfikaty SSL,
• backup,
• antywirus,
• firewall,
• sprzęt,
• serwery,
• wsparcie ERP,
• usługi zewnętrzne,
• licencje branżowe,
• systemy księgowe,
• monitoring,
• dostawcy internetu.

Jeżeli jedna osoba „to ogarnia”, ale firma nie ma ewidencji usług, terminów odnowień i właścicieli kont, to problem pojawi się prędzej czy później.

Najgorszy scenariusz? Wygasa domena, certyfikat, licencja, backup albo dostęp do kluczowej usługi, a firma dowiaduje się o tym dopiero po awarii.

10. Cyberbezpieczeństwo jest traktowane jako dodatek

Jedna osoba od IT zwykle skupia się na tym, żeby „działało”. To naturalne, bo użytkownicy zgłaszają problemy operacyjne: komputer nie działa, drukarka nie drukuje, poczta nie wysyła, internet wolny.

Cyberbezpieczeństwo często przegrywa z codziennością.

A właściciel firmy powinien wiedzieć, czy firma ma:

• MFA,
• EDR,
• backup odporny na ransomware,
• aktualizacje bezpieczeństwa,
• zabezpieczenia poczty,
• segmentację sieci,
• monitoring,
• procedurę reagowania na incydent,
• kontrolę kont administratorów,
• politykę haseł,
• przegląd dostawców i dostępów.

Jeżeli nikt tego regularnie nie sprawdza, firma nie zarządza bezpieczeństwem. Firma tylko zakłada, że „jakoś będzie”.

Więcej: Rozwiązania bezpieczeństwa IT dla firm.

Objawy, że Twoja firma jest uzależniona od jednej osoby od IT

Warto zadać sobie kilka prostych pytań.

Jeżeli jutro Twój informatyk przestanie być dostępny, czy wiesz:

• gdzie są hasła administracyjne?
• kto ma dostęp do Microsoft 365?
• gdzie jest dokumentacja infrastruktury?
• gdzie są kopie zapasowe?
• kiedy ostatnio testowano backup?
• jak odtworzyć system ERP?
• kto ma dostęp do VPN?
• kto odnawia domeny i certyfikaty?
• jak skonfigurowany jest firewall?
• jakie są krytyczne systemy firmy?
• ile czasu firma może działać bez serwera?
• kto odpowiada za cyberbezpieczeństwo?
• kto podejmie decyzje w czasie awarii?

Jeżeli na większość pytań odpowiedź brzmi „musiałbym zapytać informatyka”, to nie masz kontroli nad IT. Masz zaufanie do człowieka.

Zaufanie jest ważne, ale nie zastępuje zarządzania ryzykiem.

Czy rozwiązaniem jest zwolnienie informatyka?

Nie. To byłoby głupie uproszczenie.

Problemem zwykle nie jest sam informatyk. Problemem jest brak procesu, dokumentacji, zastępstwa, kontroli i planu.

Dobry informatyk może być ogromną wartością dla firmy. Ale nawet najlepszy specjalista nie powinien być jedynym miejscem, w którym znajduje się cała wiedza o IT.

Rozsądne podejście polega na tym, żeby nie zastępować człowieka chaosem, tylko zbudować system:

• dokumentacja,
• procedury,
• monitoring,
• backup,
• kontrola dostępów,
• przeglądy bezpieczeństwa,
• zastępstwo,
• plan awaryjny,
• strategiczny nadzór IT.

Jak ograniczyć ryzyko jednej osoby od IT?

1. Zrób audyt obecnego stanu IT

Na początku trzeba sprawdzić fakty, nie opinie.

Audyt powinien odpowiedzieć na pytania:

• co firma posiada,
• co jest krytyczne,
• co jest nieudokumentowane,
• gdzie są największe ryzyka,
• czy backup działa,
• czy dostęp administracyjny jest zabezpieczony,
• czy infrastruktura jest aktualna,
• czy istnieje monitoring,
• czy firma ma plan awaryjny,
• czy istnieją zależności od jednej osoby.

Audyt nie musi oznaczać wielkiego projektu. Czasem wystarczy praktyczny przegląd infrastruktury przed uporządkowaniem IT.

Zobacz: Doradztwo IT i audyt ISO 27001.

2. Spisz dokumentację techniczną

Minimum dokumentacji powinno obejmować:

• listę serwerów,
• listę usług,
• listę dostawców,
• listę domen i certyfikatów,
• schemat sieci,
• konfigurację backupu,
• procedurę odtworzenia danych,
• listę kont administracyjnych,
• zasady tworzenia i odbierania dostępów,
• kontakty awaryjne,
• opis krytycznych systemów.

To nie musi być piękny dokument. Ma być aktualny, zrozumiały i dostępny dla uprawnionych osób.

3. Uporządkuj dostępy administracyjne

Firma powinna wiedzieć, kto ma dostęp do czego.

Szczególnie ważne są:

• Microsoft 365,
• serwery,
• firewall,
• backup,
• system ERP,
• hosting,
• domeny,
• VPN,
• konta lokalnych administratorów,
• systemy księgowe,
• narzędzia zdalnego dostępu.

Konta administratorów powinny mieć MFA, a dostęp powinien być przyznawany tylko tam, gdzie jest potrzebny.

4. Wdróż monitoring

Monitoring nie jest luksusem. To podstawowy element kontroli nad środowiskiem IT.

Firma powinna wiedzieć o problemie zanim zrobi się z niego awaria biznesowa.

Monitoring powinien obejmować przynajmniej:

• serwery,
• usługi,
• backup,
• miejsce na dyskach,
• urządzenia sieciowe,
• połączenia internetowe,
• certyfikaty,
• podstawowe parametry bezpieczeństwa.

Zobacz: Monitoring infrastruktury IT.

5. Przetestuj backup

Nie pytaj, czy backup się robi. Zapytaj, czy udało się coś z niego odtworzyć.

Test backupu powinien potwierdzić:

• czy dane są kompletne,
• czy kopie nie są uszkodzone,
• czy da się je odtworzyć,
• ile trwa odtworzenie,
• kto umie przeprowadzić odtworzenie,
• czy backup przetrwa atak ransomware.

To jeden z najważniejszych testów dla właściciela firmy.

6. Ustal procedurę awaryjną

Firma powinna mieć prostą procedurę na wypadek:

• awarii serwera,
• awarii internetu,
• ataku ransomware,
• utraty dostępu do poczty,
• odejścia administratora,
• awarii systemu ERP,
• problemu z backupem,
• braku dostępności kluczowego dostawcy.

Procedura powinna wskazywać:

• kto decyduje,
• kogo powiadomić,
• jakie systemy są najważniejsze,
• jakie są dane kontaktowe dostawców,
• gdzie jest dokumentacja,
• gdzie są kopie zapasowe,
• kto może wykonać działania techniczne.

7. Wprowadź zewnętrzny nadzór IT

Jeżeli firma ma jednego informatyka, dobrym rozwiązaniem może być zewnętrzny nadzór, druga linia wsparcia albo okresowy przegląd.

To może działać w kilku modelach:

• wsparcie obecnego informatyka,
• zastępstwo na czas urlopu lub choroby,
• cykliczny audyt i przegląd bezpieczeństwa,
• obsługa serwerów, backupu i sieci przez zewnętrzny zespół,
• zewnętrzny kierownik IT dla właściciela lub zarządu.

Nie chodzi o to, żeby robić rewolucję. Chodzi o to, żeby firma nie była zakładnikiem jednej osoby.

Zobacz: Zewnętrzny Kierownik IT / CIO.

Jedna osoba od IT a zewnętrzny partner IT

Dobrze poukładany partner IT nie powinien być tylko „helpdeskiem od drukarek”. Wartością jest to, że firma dostaje zespół kompetencji, a nie jedną osobę.

Różnica wygląda tak:

Obszar	Jedna osoba od IT	Poukładany partner IT
Dostępność	zależna od jednej osoby	zespół i zastępstwo
Dokumentacja	często w głowie	powinna być spisana i aktualizowana
Backup	często „robi się”	powinien być monitorowany i testowany
Bezpieczeństwo	zależne od czasu i wiedzy jednej osoby	możliwy stały proces i przeglądy
Monitoring	często brak lub minimum	stały nadzór i alerty
Strategia IT	jedna opinia	szersze spojrzenie i doświadczenie
Awaria	reakcja po zgłoszeniu	procedury, priorytety i eskalacja
Ryzyko odejścia	wysokie	niższe dzięki dokumentacji i zespołowi

Co powinien zrobić właściciel firmy?

Najgorsze, co możesz zrobić, to czekać na awarię.

Rozsądny plan wygląda tak:

1. Sprawdź, czy firma ma dokumentację IT.
2. Zweryfikuj, kto ma dostępy administracyjne.
3. Upewnij się, że backup jest testowany.
4. Sprawdź, czy istnieje monitoring.
5. Zrób listę krytycznych systemów.
6. Ustal procedurę na wypadek niedostępności informatyka.
7. Wprowadź drugą linię wsparcia lub zewnętrzny nadzór.
8. Wykonaj audyt IT, zanim problem stanie się kosztowny.

Podsumowanie

Jedna osoba od IT w firmie może być wygodna. Ale jeżeli cała wiedza, dostępy, backup, dokumentacja, bezpieczeństwo i awaryjne procedury zależą od jednej osoby, to nie jest wygoda. To jest bomba z opóźnionym zapłonem.

Nie chodzi o brak zaufania do informatyka. Chodzi o odpowiedzialne zarządzanie firmą.

Właściciel firmy powinien mieć pewność, że IT działa nie dlatego, że jedna osoba „wszystko pamięta”, ale dlatego, że firma ma procesy, dokumentację, backup, monitoring, procedury i zastępstwo.

Jeżeli nie wiesz, co stanie się z Twoją firmą, gdy osoba od IT zniknie na tydzień, to masz temat do pilnego sprawdzenia.

Sprawdź:

• Administracja systemami informatycznymi i monitoring IT
• Monitoring infrastruktury IT
• Backup danych dla firm
• Rozwiązania bezpieczeństwa IT
• Zewnętrzny Kierownik IT / CIO
• Koordynacja projektów IT i doradztwo technologiczne

FAQ