ISM

Traktuj swoich żołnierzy jak własne dzieci, a pójdą za tobą w najgłębsze doliny. Patrz na nich jak na własnych ukochanych synów, a będą stać przy tobie choćby do śmierci.

Sun Tzu (Sztuka Wojny)

Rozstanie z informatykiem

Firmy z sektora MSP od dawna zatrudniają tzw. firmowych informatyków w celu utrzymania infrastruktury ICT w firmie. Współpraca z informatykiem rzadko bywa szczegółowo sformalizowana co z czasem może prowadzić do nieporozumień. W tym wpisie poruszam temat obowiązków firmowego informatyka w typowej firmie z sektora MSP. To zagadnienie zapewne jeszcze długo będzie aktualne, ze względu na fakt, iż czasami ludzie zmieniają pracę a czasami zarządy zmieniają kulturę organizacyjną firmy. W sytuacji rozstania trzeba się rozliczyć ze wzajemnych zobowiązań i rozstać w obopólnej zgodzie.

Obowiązki firmowego informatyka w MSP

Do podstawowych obowiązków firmowego informatyka należy utrzymywanie i aktualizowanie dokumentacji związanej z systemami i aplikacjami używanymi w firmie. Dane dostępowe do w/w systemów i aplikacji powinny być przechowywane na sprzęcie firmowym w odpowiednio zabezpieczony sposób m.in. przy wykorzystaniu managera haseł.

Niezależnie od powyższego informatyk jest zobowiązany przechowywać aktualną listę danych dostępowych w formie papierowej w bezpiecznej kopercie przechowywanej w sejfie. Dostęp do sejfu i do bezpiecznych kopert może podlegać ewidencji pobrań i zwrotów realizowanych wg zasady podwójnej kontroli (j.ang. Dual Control), tj. 2 niezależnych od siebie pracowników (depozytariuszy).

Dla szczególnie wrażliwych systemów hasło może być podzielone na 2 części, każda z nich znana wyłącznie jednej osobie (depozytariuszowi). W przypadku konieczności dostępu do szczególnie wrażliwego dla firmy systemu informatyk zwraca się do obu depozytariuszy ustalając datę wprowadzenia obydwu połówek hasła przez te osoby do systemu.

Aktualizacje danych dostępowych

Firmowy informatyk jest zobowiązany do regularnej aktualizacji danych dostępowych (na prawach administracyjnych) do systemów IT, aplikacji, urządzeń teleinformatycznych, w których skład wchodzi co najmniej:
-adres danej usługi (URL + adres IP),
-port(y) po którym dana usługa jest dostępna,
-nazwa użytkownika (tzw. login),
-hasło użytkownika (min.12 znaków),
-tokeny do podwójnego uwierzytelnienia (2FA),
-klucze szyfrujące (publiczne + prywatne),
-adresy IP które umożliwiają dostęp administratora do konfiguracji danej usługi,

Zestawienie systemów IT, aplikacji, urządzeń teleinformatycznych

Przeciętna firma wykorzystuje szereg systemów dla których firmowy informatyk utrzymuje dane dostępowe w formie elektronicznej i papierowej (w bezpiecznej kopercie), m.in.:
-Panel klienta w firmach hostingowych,
-Panele klienta u rejestratorów domen zarejestrowanych, należących do firmy,
-Panele administracyjny do CMS-ów (serwisów internetowych) stworzonych na potrzeby firmy,
-Panel administracyjne do baz danych wykorzystywanych przez CMSy,
-Panele administracyjne do usług FTP/SFTP/SSH na potrzeby serwisów internetowych (CMSy),
-Panele administracyjne do usługi zarządzania skrzynkami pocztowymi Email dla potrzeb firmy,
-Panele administracyjne do usługodawców oferujących podwójne uwierzytelnienie (2FA) na potrzeby firmy,
-Panel administracyjny do programu księgowego (nazwa, wersja?),
-Panel administracyjny do programu sprzedażowego (nazwa, wersja?),
-Panele administracyjne do urządzeń teleinformatycznych, m.in.: routery, routery WiFi, koncentratory (switche), bramki GSM, drukarki, inne urządzenia,
-Panele administracyjne do dostawców usług Internetu wraz z danymi dostępowymi
klienta (firmy) (w/w + adresy DNS u dostawcy),
-Panele administracyjne u dostawców oprogramowania (producent programu antywirusowego, producenci urządzeń sieciowych – firmware, dostawcy oprogramowania: OS i innych programów),
-Serwery Windows (+ewentualnie Linux),
-Lokalne stacje robocze (lokalny administrator),
-Kamery do monitoringu.

Utrzymywanie dokumentacji IT w firmie

Zwykle do obowiązków firmowego informatyka należy bieżące utrzymanie dokumentacji związanej z urządzeniami sieciowymi i sieciami LAN/WAN wykorzystywanymi w firmie:
-Lista serwerów (nazwa i wersja OS, adresy IP, aktywne usługi wraz z adresami IP, portami),
-Lista stacji roboczych (nazwa i wersja OS, nazwy stacji, numery licencji, adresy IP),
-Lista zainstalowanych programów (nazwy, wersje,, rodzaje i numery licencji, kopie zakupu – FV) wraz z podaniem nazw komputerów na których zostały zainstalowane,
-Diagramy sieciowe sieci LAN + sieci WAN (również w formacie PNG względnie PDF dla audytu),
-Standard nazewnictwa stosowany w firmie (serwery, stacje robocze, routery, inne urządzenia),
-Zestawienie wszystkich licencji na użytkowane programy w firmie wraz z ich kopiami (treści licencji) oraz dowodami legalności (kopie zakupu, dyski CD/DVD),
-Listy użytkowników wraz z ich uprawnieniami do systemów IT, aplikacji, urządzeń sieciowych (imię i nazwisko, dział, nazwa użytkownika, telefon, Email),

Oczywiście wiele z powyższych informacji można pozyskiwać w trybie online przy wykorzystaniu dedykowanego oprogramowania do monitoringu i zbierania informacji. Automatyzacja pracy i optymalizacja zadań cechuje tych informatyków, którzy nie są obciążani dodatkowymi obowiązkami nie związanymi z ich podstawowymi zadaniami.

Zobowiązanie informatyka do utrzymywania i bieżącej aktualizacji

Bieżące utrzymanie systemów IT może obejmować:
-kopii bezpieczeństwa danych firmowych (+ potwierdzenie podpisem prawidłowości wykonania w formie wpisu do ewidencji),
-kopii bezpieczeństwa routerów i innych urządzeń sieciowych,
-kopii bezpieczeństwa konfiguracji serwerów,
-kopii bezpieczeństwa skryptów startowych i innych wykorzystywanych na serwerach,
-polityki bezpieczeństwa obowiązującej w firmie na bazie standardu ISO27001 (przy wsparciu i  akceptacji Zarządu),
-procedur ochrony informacji (sposoby techniczne, organizacyjne, instrukcje),
-instrukcji dotyczących wykonywania regularnych operacji (tygodniowe, miesięczne, kwartalne, roczne),
-polityk BCP/DR – utrzymania ciągłości działania biznesu i natychmiastowego odzyskiwania danych po ewentualnej awarii (katastrofie),
-procedur związanych z technicznymi aspektami ochrony danych osobowych przetwarzanych w firmie),
-zbiorów zawierających dane osobowe (wraz z klasyfikacją dostępu) i osób które mają do nich dostęp (jaki? odczyt, modyfikacja, zapis, kasowanie),
-logów z operacji wykonywania kopii bezpieczeństwa danych (w formie elektronicznej),
-listy aktualnie zainstalowanych programów na urządzeniach firmowych (w przypadku wykrycia programów na które brak licencji – zgłoszenie mailowe do Zarządu firmy)

Wszystkie w/w dane, polityki, procedury, instrukcje, schematy sieciowe mogą być utrzymywane w formie elektronicznej (DVD) oraz papierowej w odpowiednio opisanych segregatorach umieszczonych w szafie zamykanej na klucz w monitorowanym pomieszczeniu firmy lub zewnętrznego usługodawcy. Oczywiście dokumentacja może a czasami powinna istnieć również w formie papierowej. Dokumentacja papierowa również powinna być odpowiednio zabezpieczona przed dostępem do niej niepowołanych osób.

Inne obowiązki firmowego informatyka zależą od specyfiki firmy i powinny być określone w formie pisemnej za obopólną aprobatą dwóch stron. A jakie obowiązki ma informatyk u Ciebie w firmie?

Podsumowanie

Na koniec warto dodać, że nic tak nie przyczynia się do sukcesu firmy jak wzajemne zaufanie, współpraca i jasno zdefiniowane prawa i obowiązki każdej strony umowy. Pracownicy z reguły chcą się rozwijać i warto im to umożliwiać, dbając równocześnie o interes firmy. W sytuacjach kryzysowych informatyk może uratować firmę pod warunkiem, że wcześniej została ona przygotowana na najgorsze, czyli na zmaterializowanie różnych ryzyk (m.in. malware, ransomware, klęska żywiołowa). Przygotowanie firmy na takie sytuacje z reguły leży w gestii zarządu – planowanie, rezerwacja zasobów i budżetowanie wydatków. Tradycyjnie to kompromis pomiędzy potencjalnymi ryzykami, prawdopodobieństwem ich materializacji a możliwościami firmy.

Etykiety:, ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 
© 2024 ISMAll Right Reserved.
ISM