Inwentaryzacja w firmie: jeśli nie wiesz, co masz, nie masz tego pod kontrolą
47% polskich firm przyznało, że padło ofiarą cyberataku. A tylko 2% małych i średnich firm
deklarowało dobre przygotowanie na takie sytuacje. To nie jest problem wyłącznie dużych organizacji.
To jest problem firm, które nie wiedzą dokładnie, z czego korzystają i co powinny chronić.
Brzmi banalnie? Trochę tak. Ale właśnie od takich banalnych rzeczy zaczyna się bałagan. Stary laptop
w szafie. Konto byłego pracownika. Program, za który firma płaci od dwóch lat, choć nikt go już nie
używa. Baza danych, o której “wszyscy wiedzą”, ale nikt nie ma jej opisanej. Hasło do panelu strony
zapisane gdzieś w mailu.
Jeśli nie masz tego spisanego, nie masz nad tym kontroli. A jeśli nie masz kontroli, nie masz też
sensownego cyberbezpieczeństwa.
Od czego zacząć
Najpierw jedna ważna rzecz. Inwentaryzacja nie jest projektem tylko dla działu IT. To nie jest
dokument, który robi się dla zasady i odkłada na półkę. To jest zwykła lista rzeczy, od których
zależy działanie firmy.
Dobra inwentaryzacja odpowiada na kilka prostych pytań:
- jaki sprzęt ma firma
- jakie programy i licencje są używane
- jakie konta i dostępy istnieją
- jakie usługi zewnętrzne są opłacane
- gdzie są najważniejsze dane
- kto odpowiada za konkretne obszary
- gdzie jest opisana wiedza potrzebna do działania firmy
W praktyce chodzi o to, żeby po 10 minutach dało się odpowiedzieć: tak, wiemy co mamy, kto tego używa i co się stanie, jeśli to padnie.
Co warto zinwentaryzować
W małej firmie nie trzeba budować od razu wielkiego systemu. Ale trzeba objąć kilka obszarów.
Sprzęt
Laptopy, komputery stacjonarne, telefony służbowe, drukarki, routery, dyski sieciowe, monitory,
tablety. Także sprzęt zapasowy i ten, który “na razie leży”.
Przy każdym elemencie warto mieć minimum:
- nazwę lub numer
- kto z tego korzysta
- gdzie to jest
- numer seryjny
- datę zakupu
- stan: używany, zapasowy, wycofany, uszkodzony
To właśnie tu najczęściej zaczyna się klasyczne: a ten laptop to czyj właściwie jest?
Programy i licencje
Drugi obszar to programy. I tu bałagan jest zwykle większy niż przy sprzęcie.
Dobrze mieć spisane:
- z jakich programów firma korzysta
- kto z nich korzysta
- ile licencji jest opłacanych
- kiedy kończy się abonament
- kto ma dostęp do panelu administracyjnego
- czy program jest naprawdę potrzebny
To pozwala szybko zobaczyć dwie rzeczy. Po pierwsze, czy nie płacisz za coś niepotrzebnie. Podrugie, czy nie używasz czegoś, co wisi na prywatnym koncie pracownika albo byłego podwykonawcy.
Konta i dostępy
Tu jest zwykle najwięcej niespodzianek. Warto mieć choćby prosty rejestr:
- skrzynki mailowe
- konta administratorów
- dostęp do strony, sklepu, hostingu i domen
- dostęp do narzędzi księgowych, marketingowych i sprzedażowych
- dostęp do dysków i współdzielonych zasobów
- dostęp do bankowości, jeśli firma rozdziela role
Nie chodzi o wpisywanie haseł do arkusza. Chodzi o wiedzę, jakie konta istnieją, do czego służą i kto ma do nich uprawnienia.
Dane i bazy danych
To temat, który często jest pomijany, bo “przecież wszystko jest w systemie”.
No właśnie. W jakim systemie? Gdzie są dane klientów? Gdzie są dokumenty? Gdzie stoi baza danych
sklepu albo systemu rezerwacji? Kto ma do niej dostęp? Czy jest kopia zapasowa? Kto wie, jak ją
odtworzyć?
Tu warto mieć prostą mapę:
- gdzie są najważniejsze dane
- które z nich są krytyczne dla firmy
- kto jest właścicielem danego obszaru
- czy dane są objęte kopią zapasową
- jak długo firma może bez nich działać
Jeśli nie masz tego opisanego, to w razie awarii nie zaczynasz od rozwiązania problemu. Zaczynasz od
zgadywania, gdzie problem w ogóle jest.
Wiedza i dokumentacja
To jest obszar, który firmy ignorują bardzo długo. Do momentu, aż odchodzi osoba, która “miała
wszystko w głowie”.
Dobrze mieć w jednym miejscu:
- instrukcje do najważniejszych procesów
- opisy systemów
- listę dostawców i kontaktów
- informację, kto za co odpowiada
- procedury awaryjne
- opisy odtworzenia usług i danych
To nie musi mieć 200 stron. Wystarczy, że najważniejsze rzeczy są zapisane tak, żeby druga osoba
mogła z nich skorzystać bez archeologii mailowej.
Jakie narzędzia mają sens
Na początek wystarczy nawet porządny arkusz. Serio. Lepszy prosty, aktualny arkusz niż rozbudowane
narzędzie, którego nikt nie uzupełnia.
Ale jeśli firma chce to uporządkować porządniej, są sensowne rozwiązania.
Snipe-IT
Snipe-IT to otwartoźródłowe narzędzie do zarządzania sprzętem, licencjami, akcesoriami i historią
ich przypisania. Pozwala śledzić, kto ma dany sprzęt, gdzie on jest i jakie licencje są przypisane
do użytkownika lub urządzenia.
Oficjalne źródło: SnipeIT
To dobre rozwiązanie, jeśli chcesz mieć porządek w sprzęcie i licencjach, ale bez kupowania dużego systemu od razu.
GLPI
GLPI jest bardziej rozbudowane niż zwykła lista sprzętu. To otwartoźródłowe narzędzie, w którym można prowadzić ewidencję komputerów, telefonów, drukarek, urządzeń sieciowych, programów, licencji i innych zasobów informatycznych.
Oficjalne źródło: GLPI
W praktyce oznacza to, że możesz tam trzymać nie tylko informacje o laptopach, ale też:
- jakie urządzenia ma firma
- kto z nich korzysta
- jakie programy i licencje są przypisane
- jakie urządzenia sieciowe działają w biurze
- jakie elementy są jeszcze poza pełnym nadzorem
To ważne, bo w wielu firmach bałagan nie kończy się na komputerach. Problemem są też drukarki,
routery, stare urządzenia, zapomniane licencje i zasoby, za które nikt konkretnie nie odpowiada.
GLPI ma sens wtedy, gdy firma chce objąć porządkiem więcej niż tylko sprzęt wydany pracownikom. To
rozwiązanie bardziej “systemowe” niż prosty arkusz. Lepiej nadaje się do środowiska, w którym tych
elementów jest już sporo i ktoś chce mieć je w jednym miejscu.
Jedna uczciwa uwaga: GLPI daje więcej możliwości, ale jest też cięższe na start niż Snipe-IT. Jeśli
firma ma kilka komputerów i jedną drukarkę, może to być przerost formy nad treścią. Jeśli jednak
sprzętu, programów i użytkowników robi się więcej, takie narzędzie zaczyna mieć sens.
BookStack
Jeśli chodzi o wiedzę, procedury i opisy działania, sensownym narzędziem jest BookStack. To nie jest
system do sprzętu. To jest baza wiedzy. Możesz w nim trzymać instrukcje, procedury, opisy systemów i
firmowe know-how w uporządkowanej strukturze.
Oficjalne źródło: BookStack
To ważne, bo wiedza w głowie jednej osoby nie jest dokumentacją. To jest ryzyko.
Jedna uczciwa uwaga: te narzędzia są darmowe jako oprogramowanie otwartoźródłowe, ale nie są darmowe
w sensie wdrożenia, utrzymania i aktualizacji. Ktoś musi to postawić, skonfigurować i pilnować.
Co jest dobrą praktyką
Tu nie ma wielkiej filozofii. Najpierw trzeba wiedzieć, jakie zasoby w ogóle masz: sprzęt, dane,
systemy, konta i miejsca, od których zależy działanie firmy. Dopiero potem da się to sensownie
zabezpieczyć, objąć kopiami zapasowymi i przypisać odpowiedzialność.
Potwierdzają to także polskie materiały i raporty publiczne. Centrum e-Zdrowia w swoich wytycznych
wprost zaleca sporządzenie wykazu baz danych, repozytoriów plików i plików konfiguracyjnych, żeby
wiedzieć, co trzeba chronić i archiwizować. Z kolei Najwyższa Izba Kontroli zwraca uwagę, że jedną z
częstych przyczyn problemów jest brak pełnej identyfikacji aktywów informacyjnych wymagających
ochrony.
Źródła:
- https://cez.gov.pl/pl/page/o-nas/aktualnosci/fundamentalne-wytyczne-w-zakresie-ochrony-przed-cyberatakami
- https://www.nik.gov.pl/aktualnosci/bezpieczenstwo/cyberbezpieczenstwo-w-samorzadach-2025.html
- https://www.gov.pl/web/kowr/cyberbezpieczenstwo–najwazniejsze-zagrozenia-i-zasady-ochrony
Dobra inwentaryzacja powinna być:
- aktualna
- przypisana do konkretnych osób
- przeglądana regularnie
- połączona z dostępami, kopiami zapasowymi i procedurami
- na tyle prosta, żeby ktoś chciał ją prowadzić
Co możesz zrobić jeszcze w tym tygodniu
Jeśli chcesz zacząć bez wielkiego projektu, zrób trzy rzeczy.
1. Spisz 20 najważniejszych zasobów
Sprzęt, systemy, konta, bazy danych, domeny, kopie zapasowe.
2. Dopisz właściciela do każdego z nich
Kto za to odpowiada. Kto ma dostęp. Kto wie, jak to działa.
3. Zaznacz, co jest krytyczne
Co zatrzyma firmę, jeśli przestanie działać jutro rano.
To już daje więcej kontroli niż większość firm ma dziś naprawdę.
Podsumowując
Dobra inwentaryzacja nie rozwiąże wszystkich problemów, ale bez niej trudno rozwiązać jakikolwiek
sensownie. Jeśli nie wiesz dokładnie, co masz i kto za to odpowiada, działasz bardziej na pamięci
niż na kontroli.
Jeśli chcesz sprawdzić, jak Twoja firma wypada w podstawowych obszarach bezpieczeństwa, zacznij od darmowej diagnozy. To prosty pierwszy krok, który pokazuje, co działa dobrze, a gdzie warto zacząć porządki.