Author: Joas van der Eerden

Egy új alkalmazott első napja meghatározza mindazt, ami következik. Mégis sok kis- és középvállalkozásnál az IT bevezetés csak utólagos gondolat – egy elkapkodott bejelentkezési ellenőrzőlista és a remény, hogy minden rendben lesz. Az eredmény? Frusztrált új munkatársak, biztonsági rések és kapkodó IT csapatok.

Az IT bevezetés első naptól való helyes kezelése nem csupán egy laptop átadásáról szól. Arról van szó, hogy az új alkalmazottak biztonságosan és magabiztosan végezhessék munkájukat az első pillanattól kezdve. Íme, hogyan csinálja ezt megfelelően.

Miért fontosabb az IT bevezetés, mint gondolná

A rossz bevezetésnek valós következményei vannak. A Gallup kutatása szerint az alkalmazottak mindössze 12%-a ért egyet teljes mértékben azzal, hogy szervezete nagyszerűen végzi az új munkatársak bevezetését – és azok, akik negatív tapasztalatot szereznek, jelentősen nagyobb valószínűséggel távoznak az első évben. Ha az IT az első napon hibás – nincs hozzáférés az e-mailekhez, rossz engedélyek, hiányzó eszközök –, az egyértelmű üzenetet küld: nem voltunk felkészülve Önre.

Az alkalmazotti élményen túl a gyenge IT bevezetés biztonsági kockázatokat teremt. Túl széleskörűen biztosított fiókok, megosztott jelszavak, elfelejtett hozzáférési felülvizsgálatok – ezek azok a rések, amelyeket a hackerek szeretnek kihasználni. Ha meg szeretné érteni, hogyan használják ki a támadók ezeket a gyengeségeket, érdemes elolvasni a 5 mód, ahogyan a hackerek a kisvállalkozásokat célozzák című bejegyzésünket.

1. lépés: Készüljön fel az első nap előtt

A legnagyobb hiba, amit a vállalkozások elkövetnek, az, hogy megvárják az új alkalmazott érkezését az IT beállítás megkezdésével. Addigra már túl késő ahhoz, hogy jól csinálják. A jó IT bevezetés legalább egy héttel a kezdés előtt elkezdődik.

Íme, aminek készen kell állnia az első nap előtt:

• Eszköz előkészítve és konfigurálva: Laptop vagy asztali számítógép beállítva a megfelelő operációs rendszerrel, biztonsági szoftverrel és alapvető alkalmazásokkal.
• Fiókok létrehozva: E-mail, Microsoft 365 vagy Google Workspace, valamint minden üzletkritikus eszköz beállítva és tesztelve.
• Hozzáférési jogok meghatározva: Az alkalmazottnak pontosan ahhoz kell hozzáférnie, amire szüksége van – és semmi többhez. Ez a legkisebb jogosultság elve a jó biztonság sarokköve, ahogyan azt az Egyesült Királyság Nemzeti Kiberbiztonsági Központja is hangsúlyozza.
• Többfaktoros hitelesítés engedélyezve: Minden fiókon aktívnak kell lennie az MFA-nak a kezdetektől fogva. Soha ne vezessen be senkit nélküle. A mi a többfaktoros hitelesítés című útmutatónk elmagyarázza, hogyan állítható be ez egyszerűen és hatékonyan.
• Üdvözlő e-mail vagy IT útmutató előkészítve: Egy egyszerű dokumentum bejelentkezési utasításokkal, kulcsfontosságú kapcsolattartókkal és az IT segítség kérésének módjával sokat segít.

2. lépés: Határozzon meg egy szabványos alkalmazotti bevezetési ellenőrzőlistát

Az ad hoc bevezetés következetlenséghez vezet. Az egyik alkalmazott mindent tökéletesen beállítva kap; a következőnek hiányzik az eszközeinek fele. A megoldás egy szabványosított alkalmazotti bevezetési ellenőrzőlista, amelyet az IT csapata (vagy IT partnere) minden alkalommal végigvesz.

Egy megbízható IT bevezetési ellenőrzőlistának tartalmaznia kell:

Hardver

• Eszköz kiválasztva és konfigurálva a szerepkörhöz
• Biztonsági szoftver telepítve (vírusirtó, végpontvédelem)
• Lemez titkosítás engedélyezve
• Eszköz regisztrálva az MDM-ben, ha alkalmazható

Fiókok és hozzáférés

• Céges e-mail létrehozva és tesztelve
• Microsoft 365 vagy Google Workspace licenc hozzárendelve
• Szerepkör-specifikus szoftverek és eszközök biztosítva
• Hozzáférés a megosztott meghajtókhoz és mappákhoz beállítva
• MFA engedélyezve minden fiókon
• Jelszókezelő fiók létrehozva

Biztonság és megfelelés

• Elfogadható használati szabályzat megosztva és aláírva
• Biztonságtudatossági tájékoztató elvégezve
• BYOD szabályzat elmagyarázva, ha releváns (lásd útmutatónkat a BYOD szabályzatokról KKV-k számára)

Kommunikáció és együttműködés

• Hozzáadva a releváns csapatcsatornákhoz (Teams, Slack stb.)
• Naptár hozzáférés konfigurálva
• Bemutatva a kulcsfontosságú rendszereknek és folyamatoknak

3. lépés: Tegye zökkenőmentessé az első napot

Amikor az alkalmazott megérkezik, mindennek működnie kell. Ez nyilvánvalónak tűnik, de ritkább, mint kellene. Íme, hogyan néz ki egy jó első nap IT szempontból:

• Az eszköz fel van töltve, be van kapcsolva és használatra kész
• A bejelentkezési adatok biztonságosan vannak megadva (nem ragadós cetlire írva)
• Egy rövid IT áttekintés van ütemezve – 20-30 perc, amely lefedi a kulcsfontosságú eszközöket, a támogatás kérésének módját és minden biztonsági alapismeretet, amit tudniuk kell
• Valaki kijelölve az IT kérdések első heti kapcsolattartójának

Ez az utolsó pont fontosabb, mint azt az emberek gondolnák. Az új alkalmazottaknak sok kérdésük van, és gyakran vonakodnak feltenni őket. Egyértelmű IT kapcsolattartóval elkerülhető a súrlódás, és megakadályozható, hogy az emberek olyan kerülőutakat találjanak, amelyek biztonsági kockázatokat teremtenek.

4. lépés: Ne feledkezzen meg a biztonságtudatossági képzésről

Laptop átadása biztonsági tájékoztató nélkül olyan, mintha valakinek autó kulcsot adnánk anélkül, hogy megemlítenénk, hogy az utakon forgalom van. Az új alkalmazottak statisztikailag a legmagasabb kockázatú csoportok közé tartoznak a biztonsági incidensek szempontjából – nem azért, mert gondatlanok, hanem mert nem ismerik a céges rendszereket és folyamatokat.

Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerint az emberi hiba továbbra is az egyik vezető oka a biztonsági incidenseknek minden méretű szervezetben. Egy alapvető biztonságtudatossági foglalkozás a bevezetés során a következőket kell, hogy lefedje:

• Hogyan ismerjük fel az adathalász e-maileket
• Jelszóhigiénia és a vállalat jelszószabályzata
• Mit tegyünk, ha biztonsági incidenst gyanítunk
• A céges eszközök és rendszerek elfogadható használata
• Távoli munkavégzés biztonsági alapjai, beleértve a VPN használatát

Ennek nem kell egész napos képzésnek lennie. Egy 30 perces beszélgetés világos tanulságokkal elegendő a kockázat jelentős csökkentéséhez.

5. lépés: Tekintse át a hozzáféréseket 30 nap után

A bevezetés nem ér véget az első napon. Az első hónap után érdemes egy gyors IT ellenőrzést végezni, hogy megbizonyosodjunk arról, az alkalmazottnak mindene megvan, amire szüksége van – és semmi olyan, amire nincs.

A hozzáférés-szaporodás valós probléma a növekvő vállalkozásokban. Idővel az alkalmazottak olyan rendszerekhez és adatokhoz gyűjtenek hozzáférést, amelyek meghaladják a szerepkörük által megkövetelt szintet. A 30 napos felülvizsgálat jó szokás, amit érdemes a kezdetektől bevezetni.

Kérdezze meg:

• Van-e olyan eszköz vagy rendszer, amelyhez nem tudtak hozzáférni, de szükségük van rá?
• Van-e olyan ideiglenesen megadott engedély, amelyet most el kell távolítani?
• Az MFA megfelelően be van-e állítva minden fiókon?
• Van-e olyan IT frusztráció, amelyet nem oldottak meg?

Ez a fajta proaktív ellenőrzés azt is jelzi az új alkalmazottaknak, hogy az IT azért van, hogy támogassa őket, nem csak azért, hogy átadja az eszközöket és eltűnjön. Ha az IT problémák csendesen frusztrációt okoznak, most van itt az ideje, hogy elkapjuk – a miért harcolnak csendesen a legjobb alkalmazottai az IT-jével című bejegyzésünk azt vizsgálja, miért fordul ez elő gyakrabban, mint ahogy a legtöbb vezető gondolná.

6. lépés: Legyen egy ugyanolyan egyértelmű kiléptetési folyamat

Ha megfelelő IT bevezetési folyamatot épít ki, érdemes a kiléptetési folyamatot is egyidejűleg felépíteni. Amikor egy alkalmazott távozik, minden fiókot deaktiválni kell, minden eszközt vissza kell adni vagy törölni kell, és minden hozzáférést vissza kell vonni – azonnal és teljesen.

A megfelelő kiléptetés elmulasztása az egyik leggyakoribb IT hiba, amit a növekvő vállalkozások elkövetnek. Az aktív bejelentkezéssel rendelkező volt alkalmazottak komoly biztonsági kockázatot jelentenek. A Microsoft biztonsági kutatása kiemeli a belső fenyegetéseket – beleértve a tartós hozzáféréssel rendelkező volt alkalmazottakat is – mint növekvő aggodalmat minden méretű vállalkozás számára.

IT bevezetés távoli és hibrid csapatok számára

Ha az új munkatárs távolról dolgozik, ugyanazok az elvek érvényesek – de a logisztika több tervezést igényel. Az eszközöket előre kell szállítani. A beállítási utasításoknak elég világosnak kell lenniük ahhoz, hogy valaki kézi IT támogatás nélkül is követni tudja. Az első napi IT áttekintésnek pedig videóhívásban kell történnie.

Különösen a hibrid csapatok esetében győződjön meg arról, hogy a távoli alkalmazottak ugyanolyan szintű hozzáféréssel és biztonsággal rendelkeznek, mint az irodaiak. Egy kétszintű rendszer – ahol az irodai személyzet teljes hozzáféréssel rendelkezik, a távoli személyzet pedig korlátozásokkal dolgozik – a frusztráció és a kockázat receptje. A biztonságos IT munkahely létrehozása hibrid csapatok számára című útmutatónk mélyebben foglalkozik ezzel a témával.

A lényeg

Egy erős IT bevezetési folyamat az egyik legmagasabb hozamú dolog, amit egy növekvő KKV bevezethet. Védi vállalkozását, lenyűgözi az új munkatársakat, és megmenti IT csapatát attól, hogy folyamatosan olyan problémákat kelljen elhárítania, amelyek megelőzhetők lettek volna.

Ha még nincs szabványosított folyamata – vagy ha a jelenlegi felülvizsgálatra szorul –, segítünk. Vegye fel a kapcsolatot az EvolvingDeskkel, és segítünk egy olyan bevezetési rendszer kiépítésében, amely minden alkalommal működik.

Miért olyan drágák a KKV-k informatikai hibái?

Egy kis- vagy középvállalkozás (KKV) vezetése azt jelenti, hogy egyszerre száz prioritással kell zsonglőrködni. Az informatikai infrastruktúra gyakran háttérbe szorul – egészen addig, amíg valami el nem romlik. A probléma az, hogy a KKV-k által elkövetett leggyakoribb informatikai hibák nem harsányan jelentkeznek. Csendesen lemerítik a költségvetést, lassítják a csapatokat, és olyan sebezhetőségeket hoznak létre, amelyekből évekbe telhet a teljes felépülés.

Ebben a bejegyzésben bemutatjuk azt az öt informatikai hibát, amit a KKV-knak azonnal orvosolniuk kellene, mennyibe kerülhet reálisan mindegyik, és mit tehetsz a helyzet megfordításáért.

1. A kiberbiztonság alábecsülése kisvállalkozások számára

Az egyik legelterjedtebb informatikai hiba, amit a KKV-k elkövetnek, az a feltételezés, hogy túl kicsik ahhoz, hogy célpontok legyenek. A valóságban a kiberbiztonság kisvállalkozások számára kritikusabb, mint valaha. Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerint a KKV-k egyre inkább célponttá válnak, pontosan azért, mert általában kevesebb védelemmel rendelkeznek, mint a nagyvállalatok.

Egyetlen zsarolóvírus-támadás 10 000 és 50 000 euró közötti költséget jelenthet – figyelembe véve az állásidőt, a helyreállítást, a jogi díjakat és a hírnév károsodását. Az alapvető intézkedések, mint a tűzfalak, a többfaktoros hitelesítés és az adathalászat elleni képzés jelentős különbséget jelentenek a kockázat csökkentésében.

Megoldás: Ütemezz be egy kiberbiztonsági auditot, vezess be szigorú jelszópolitikát, és tarts rendszeres biztonságtudatossági képzéseket a csapatodnak. A kiberbiztonságba való befektetés kisvállalkozások számára most sokkal olcsóbb, mint később egy incidens kezelése.

2. Szoftverfrissítések és javításkezelés kihagyása

Egy másik klasszikus tétel a KKV-k informatikai hibáinak listáján: a szoftverfrissítések késleltetése vagy figyelmen kívül hagyása. Az elavult rendszerek a biztonsági rések és az operatív lassulások egyik vezető okai. Minden nem javított sebezhetőség potenciális belépési pont a támadók számára.

A biztonságon túl az elavult eszközök kihagyják azokat a teljesítményjavulásokat, amelyek heti órákat takaríthatnának meg a csapatodnak. Egy teljes év alatt ez az elveszett termelékenység valós informatikai költségmegtakarítást jelent, amit kihasználatlanul hagysz.

Megoldás: Engedélyezd az automatikus frissítéseket az operációs rendszerekhez és a kulcsfontosságú szoftverekhez. Hozz létre egy javításkezelési ütemtervet, és jelölj ki valakit, aki felelős a rendszerek naprakészen tartásáért.

3. Reaktív helyett proaktív KKV informatikai menedzsment

Sok vállalkozás csak akkor hívja az informatikai szolgáltatóját, ha valami elromlik. Ez a „javítsd meg, ha elromlik” modell elsőre olcsóbbnak tűnik, de hosszú távon a KKV informatikai menedzsment egyik legdrágább formája. A sürgősségi javítások többe kerülnek, az állásidő megöli a termelékenységet, és a sietős megoldások gyakran új problémákat szülnek.

A proaktív KKV informatikai menedzsment – monitoring eszközök vagy egy menedzselt szolgáltató (MSP) révén – még azelőtt elkapja a problémákat, mielőtt azok válsággá válnának. Emellett kiszámítható havi költségeket biztosít a kiszámíthatatlan sürgősségi számlák helyett.

Megoldás: Fedezd fel a menedzselt informatikai szolgáltatásokat KKV-knak. Tudd meg, hogyan működik a proaktív informatikai támogatás és mit tartalmaz, hogy megtaláld a vállalkozásod méretéhez és költségvetéséhez illő megoldást.

4. Gyenge adatmentési legjobb gyakorlatok

Mikor tesztelte utoljára a vállalkozásod a biztonsági mentéseit? A legtöbb KKV számára az őszinte válasz kellemetlen. Az adatmentési legjobb gyakorlatok elhanyagolása az egyik olyan informatikai hiba, amit a KKV-k elkövetnek, és ami valóban katasztrofális lehet – legyen szó hardverhibáról, véletlen törlésről, zsarolóvírusról vagy természeti katasztrófáról.

Az IBM adatvédelmi incidensek költségeiről szóló jelentése szerint a kisebb szervezetek adatvédelmi incidenseinek költsége több százezer eurót is elérhet, ha figyelembe vesszük a helyreállítást, az állásidőt és a szabályozási bírságokat.

A 3-2-1 szabály továbbra is az egyik legmegbízhatóbb adatmentési legjobb gyakorlat: tarts 3 másolatot az adataidról, 2 különböző típusú adathordozón, és 1 másolatot tárolj külső helyszínen vagy a felhőben.

Megoldás: Auditáld a jelenlegi biztonsági mentési megoldásodat, automatizáld a biztonsági mentési ütemtervedet, és teszteld az adat-helyreállítást legalább negyedévente.

5. Alulinvesztálás az informatikai infrastruktúrába

Úgy tűnhet, hogy az informatikai kiadások csökkentése javítja a profitot – de ez az egyik olyan informatikai hiba, amit a KKV-k elkövetnek, és ami halmozott költségeket generál. Az elöregedő hardver lassítja az alkalmazottakat, gyakrabban romlik el, és gyakran nem képes futtatni a modern üzleti szoftvereket. Az üzleti környezetben használt fogyasztói szintű eszközök megfelelőségi kockázatokat teremtenek, különösen a GDPR értelmében.

A valódi informatikai költségmegtakarítás a stratégiai befektetésből származik: a hardver 3-5 éves ciklusban történő frissítéséből, a megfelelően licencelt üzleti eszközök használatából és olyan infrastruktúra kiépítéséből, amely a növekedéseddel együtt skálázódik, ahelyett, hogy hátráltatná azt.

Megoldás: Végezz éves informatikai infrastruktúra felülvizsgálatot. Azonosítsd az elöregedő hardvert, a nem licencelt szoftvereket és az eszközparkod hiányosságait, amelyek csendesen többe kerülnek, mint gondolnád.

Az informatikai hibák lényege, amit a KKV-k nem engedhetnek meg maguknak

A KKV-k által elkövetett informatikai hibák mindegyike ugyanazon gyökérokból fakad: a rövid távú gondolkodásból. E hibák mindegyike elkerülhető a megfelelő informatikai stratégia alkalmazásával. A kiberbiztonság kisvállalkozások számára, a proaktív menedzselt informatikai szolgáltatások KKV-támogatása, a szilárd adatmentési legjobb gyakorlatok és az intelligens infrastruktúra-befektetés nem luxus – hanem egy ellenálló, költséghatékony vállalkozás alapjai.

A megelőzés költsége mindig alacsonyabb, mint a helyreállítás költsége. Kezdj egy területtel, javítsd ki alaposan, és építkezz onnan. A jövőbeli költségvetésed hálás lesz érte.