Co się stanie, gdy informatyk odejdzie? Realne ryzyka w firmie

W praktyce ten moment bardzo szybko weryfikuje, jak wyglądało zarządzanie IT w firmie.

 

Brak dostępu do kluczowych systemów

Jednym z pierwszych problemów jest dostęp. Okazuje się, że:

• nikt nie ma pełnych uprawnień administracyjnych,
• nie wiadomo, gdzie są przechowywane hasła,
• dostęp do kluczowych systemów jest ograniczony lub niejasny.

W skrajnych przypadkach firmy tracą kontrolę nad własną infrastrukturą i muszą ją odzyskiwać „od zera”.

Backup, który istnieje tylko w teorii

Bardzo często słyszymy: „backup jest, informatyk się tym zajmował”. Dopiero po jego odejściu wychodzi, że:

• backup nie był testowany,
• nie ma procedury odtworzenia,
• nie wiadomo, ile trwa przywrócenie systemów.

To moment, w którym firma orientuje się, że nie ma realnego zabezpieczenia – tylko założenie, że ono istnieje.

Brak dokumentacji

Kolejny problem to brak uporządkowanej dokumentacji. Bez niej nowa osoba musi odtwarzać środowisko od podstaw, każda zmiana wiąże się z ryzykiem, a czas reakcji na problemy znacząco się wydłuża. W praktyce oznacza to spowolnienie całej organizacji.

Ukryte rozwiązania, które przestają działać

W wielu firmach IT rozwija się „organicznie”: pojawiają się skrypty, ręczne obejścia,  niestandardowe konfiguracje. Działają, dopóki ktoś je rozumie. Gdy tej osoby nie ma, zaczynają się problemy, często w najmniej oczekiwanym momencie.

Ryzyko bezpieczeństwa, które zostaje po odejściu

Jednym z mniej oczywistych, a jednocześnie najbardziej niedocenianych obszarów jest bezpieczeństwo. Po odejściu informatyka bardzo często:

• jego dostęp nie jest od razu usuwany,
• hasła nie są zmieniane,
• nie ma pełnej wiedzy, kto i do czego miał dostęp.

To nie musi automatycznie oznaczać żadnego problemu, ale na pewno oznacza brak kontroli. A w bezpieczeństwie IT brak kontroli zawsze wiąże się z potencjalnym ryzykiem – niezależnie od intencji.

Bezpieczeństwo IT nie powinno opierać się na założeniu, że „nikt nic nie zrobi”, tylko na pewności, że każdy dostęp jest świadomy, kontrolowany i w każdej chwili możliwy do odebrania.

Najważniejsze wnioski są proste: problemem nie jest odejście informatyka, tylko brak przygotowania firmy na taką sytuację. W praktyce oznacza to konieczność uporządkowania kilku kluczowych obszarów.

 

• Przede wszystkim wiedza o IT nie może być „w głowie”. Każdy istotny element środowiska – od dostępu do systemów po konfigurację backupu – powinien być udokumentowany w sposób, który pozwala innej osobie przejąć jego obsługę bez zgadywania.
• Równie ważne jest uporządkowanie dostępu. Firma powinna mieć pełną kontrolę nad kontami administracyjnymi, uprawnieniami i hasłami. Dostęp nie może być przypisany do jednej osoby – musi być zarządzany centralnie i możliwy do szybkiego odebrania.
• Kolejnym elementem jest regularne testowanie odtworzenia danych. Sam fakt, że backup się wykonuje, nie oznacza jeszcze bezpieczeństwa. Kluczowe jest to, czy w praktyce jesteś w stanie przywrócić systemy w akceptowalnym czasie.
• Warto też świadomie eliminować tzw. pojedyncze punkty awarii – sytuacje, w których jedna osoba, jedno rozwiązanie albo jeden system decyduje o ciągłości działania firmy.

Z naszego doświadczenia wynika, że najskuteczniejsze podejście do IT to takie, w którym nie zależy ono od jednej osoby, ale opiera się na procesie, dokumentacji i zespole.

Dobrze poukładany model outsourcingowy zapewnia:

• dostęp do wiedzy i dokumentacji niezależnie od konkretnego specjalisty,
• jasno zarządzane uprawnienia,
• gotowe procedury działania w sytuacjach awaryjnych.

Dzięki temu firma nie musi „odtwarzać IT” po zmianie osoby – tylko kontynuuje jego działanie bez przestojów. To nie jest kwestia „zewnętrznego informatyka”, ale zmiany podejścia: z reaktywnego na zarządcze.

Ten temat szerzej opisaliśmy w artykule „Informatyk na etacie vs. outsourcing IT – o tym prawdopodobnie nie pomyślałeś”

Przeczytaj również: Ile kosztuje outsourcing IT? Cennik i przykłady