Firemní přístupy, domény a e-maily: technické zázemí, které nesmí stát na jednom člověku

Firemní přístupy, domény a e-maily: technické zázemí, které nesmí stát na jednom člověku

Technické zázemí firmy často funguje, dokud je dostupný člověk, který ví, kde co je. Doména, firemní e-mail, hosting, DNS, reklamní účty nebo administrace webu přitom nejsou drobnosti. Když k nim firma ztratí přístup, může se zastavit web, pošta i běžná komunikace se zákazníky.

Obsah článku
  1. Problém není technologie. Problém je závislost na jednom člověku
  2. Co patří mezi kritické firemní přístupy
  3. Doména je firemní majetek, ne detail u webu
  4. E-mail je provozní páteř firmy
  5. Hesla nepatří do chatu ani do sdíleného Excelu
  6. Co má obsahovat jednoduchá technická evidence
  7. Když odchází dodavatel nebo zaměstnanec
  8. Praktický checklist pro první kontrolu
  9. Kdy dává smysl dát technické zázemí do systému
  10. Nejdřív vlastnictví, potom nástroje

Technické zázemí firmy často nevypadá jako problém, dokud všechno běží. Web se načítá, e-maily chodí, faktury za hosting se platí a někdo „to má pod kontrolou“. Jenže pod kontrolou to někdy znamená, že jeden člověk ví, kde je doména, kdo má přístup k DNS, kde se nastavují e-maily, kdo drží heslo do hostingu a na jakou adresu chodí obnovovací odkazy.

To je provozní riziko, ne jen technická drobnost. Když odejde zaměstnanec, skončí dodavatel, majitel ztratí přístup do starého e-mailu nebo se zapomene prodloužit doména, problém se rychle přelije do obchodu. Nejde se přihlásit do administrace webu, nejde změnit DNS, nejdou doručovat e-maily, nejde spustit kampaň nebo ověřit vlastnictví služby.

Dobré technické zázemí proto není jen bezpečnostní opatření. Je to základní pořádek ve firmě. Stejně jako má firma vědět, kde jsou smlouvy, zakázky a faktury, má vědět, kdo vlastní klíčové účty, kdo je spravuje a co se stane, když daný člověk není dostupný.

Problém není technologie. Problém je závislost na jednom člověku

U menších firem bývá technika poskládaná postupně. Doménu kdysi koupil známý. Web spravovala agentura. E-maily nastavoval externí IT člověk. Reklamní účty založil marketing. Přístup do administrace má bývalý zaměstnanec. Hesla jsou v chatu, ve starém souboru nebo „někde v prohlížeči“.

Každá jednotlivá věc může působit nevinně. Dohromady ale vzniká prostředí, kde firma neumí rychle odpovědět na základní otázky:

  • kdo je skutečný držitel domény,

  • u koho je doména registrovaná a kdy se prodlužuje,

  • kdo má administrátorský přístup k firemním e-mailům,

  • kdo může měnit DNS záznamy,

  • kde je hosting a kdo ho platí,

  • kdo má přístup do webu, CRM, reklamních účtů a analytiky,

  • jak se přístupy předávají při odchodu člověka nebo změně dodavatele.

Technický chaos se nejčastěji neprojeví v době klidu. Projeví se ve chvíli, kdy je potřeba něco změnit rychle: obnovit web, nastavit novou e-mailovou službu, ověřit doménu, zablokovat bývalého uživatele nebo převést správu na nového dodavatele.

Co patří mezi kritické firemní přístupy

Ne všechny účty mají stejnou důležitost. Největší pozornost si zaslouží ty, bez kterých firma ztrácí kontrolu nad komunikací, identitou nebo provozem. U malých a středních firem to bývá hlavně doména, e-mail, hosting, DNS, web, reklamní účty, analytika, interní systémy, úložiště a zálohy.

OblastCo má firma znátRiziko při ztrátě přístupu
DoménaRegistrátor, držitel, fakturační kontakt, expirace, zámek domény, způsob získání Auth-Code.Nejde převést správu, změnit DNS nebo obnovit provoz při problému.
DNSKde se spravují záznamy pro web, e-mail, ověřování služeb a bezpečnostní nastavení.Nejde nasměrovat web, opravit poštu ani ověřit vlastnictví služeb.
Firemní e-mailAdministrátor, licence, schránky, aliasy, skupiny, obnovovací účty a pravidla při odchodu lidí.Firma může přijít o komunikaci, historii, obnovu hesel i důležité zákaznické zprávy.
Hosting a webPoskytovatel, administrace, FTP/SSH, databáze, CMS účty, zálohy a odpovědnost za aktualizace.Web nejde opravit, přesunout, zabezpečit ani obnovit ze zálohy.
Reklamní a analytické účtyVlastník účtu, správa uživatelů, fakturace, napojení na web a formuláře.Firma ztrácí data, kampaně, měření a možnost navázat na dosavadní marketing.
Interní systémyAdministrátoři, role, zálohy, export dat, vlastnictví licencí a kontakty na podporu.Při změně lidí nebo dodavatele se ztrácí přehled o zakázkách, dokumentech a klientech.

Smyslem evidence není ukládat hesla do tabulky. Smyslem je vědět, jaké služby existují, kdo za ně odpovídá, jak se obnovuje přístup a co se musí hlídat. Hesla a jednorázové kódy patří do bezpečného správce hesel nebo do nástroje, který je k tomu určený. Přehled technického zázemí má popisovat vlastnictví, odpovědnosti a postupy.

Doména je firemní majetek, ne detail u webu

Doména je digitální adresa firmy. Na ní stojí web, e-mail, přihlášení do řady služeb, reputace značky i dohledatelnost pro zákazníky. Přesto se v praxi často stává, že doménu vlastní nebo spravuje někdo mimo firmu: původní dodavatel webu, marketingová agentura, bývalý kolega nebo soukromý účet majitele.

U domény je potřeba rozlišit několik věcí. Držitel domény říká, komu doména patří. Registrátor je firma, přes kterou se doména spravuje. DNS určuje, kam doména směruje web a e-mail. Auth-Code, někdy označovaný jako EPP nebo transfer kód, slouží k převodu domény mezi registrátory. ICANN k převodům domén uvádí, že Auth-Code pomáhá identifikovat držitele domény a bránit neoprávněným převodům.

Prakticky to znamená, že firma má mít jasno alespoň v těchto bodech:

  • doména je registrovaná na firmu nebo na člověka, který za ni skutečně odpovídá,

  • kontakt u domény je aktuální a dostupný,

  • fakturace a prodloužení domény nejsou navázané na starou kartu nebo soukromý e-mail,

  • u registrátora je zapnuté vícefaktorové ověřování, pokud ho nabízí,

  • někdo ve firmě ví, jak získat Auth-Code a jak doménu převést,

  • DNS záznamy jsou zdokumentované a změny se nedělají bez kontroly.

Ztracený přístup k doméně nemusí hned znamenat výpadek. Ale ve chvíli, kdy je potřeba cokoliv změnit, může se z něj stát kritický blok. Nový web, nová e-mailová služba, ověření v reklamním systému nebo oprava chybného DNS se bez přístupu k doméně a DNS zbytečně komplikuje.

E-mail je provozní páteř firmy

Firemní e-mail není jen pošta. Je to přístup k zákaznické komunikaci, fakturám, objednávkám, obnově hesel, smlouvám a často i k přihlášení do dalších služeb. Pokud e-mailová administrace stojí na jednom člověku, firma nemá plnou kontrolu nad tím, kdo má schránku, kdo má alias, kam chodí kopie zpráv a co se stane při odchodu zaměstnance.

U e-mailu je důležité řešit dvě vrstvy. První je provozní: schránky, skupiny, aliasy, licence, obnovovací kontakty a pravidla pro předání. Druhá je technická: DNS záznamy pro doručování a ověřování pošty. SPF určuje, které servery smějí posílat poštu za doménu. DMARC umožňuje vlastníkovi domény zveřejnit pravidla pro zacházení s e-maily, které neprojdou ověřením, a získávat reporty o použití domény.

Článek nemusí zacházet do všech technických detailů SPF, DKIM a DMARC. Pro vedení firmy je podstatné hlavně to, že e-mail není nastavení „jednou provždy“. Když se mění e-mailová služba, webový formulář, fakturační systém nebo marketingový nástroj, může být potřeba upravit DNS. Bez evidence a odpovědnosti se snadno stane, že část pošty přestane chodit, spadne do spamu nebo zůstane navázaná na starý nástroj.

Hesla nepatří do chatu ani do sdíleného Excelu

Evidence technického zázemí často začne dobře a skončí špatně: vznikne tabulka, kam se napíšou služby, uživatelé a hesla. Taková tabulka sice vypadá prakticky, ale ve skutečnosti vytváří další riziko. Stačí špatně nastavené sdílení, odkaz poslaný v chatu nebo starý účet s přístupem a kritická hesla se dostanou mimo kontrolu.

Bezpečnější přístup je oddělit dvě věci. Přehled služeb, odpovědností a obnovovacích postupů může být v interní evidenci. Samotná hesla mají být ve správci hesel nebo v jiném nástroji určeném pro bezpečné sdílení přístupů. NIST ve svých doporučeních k digitální identitě zdůrazňuje mimo jiné dlouhá hesla, unikátní hesla pro různé služby, podporu správců hesel a vícefaktorové ověřování.

Pro firmu je praktické nastavit minimální pravidla:

  • každá kritická služba má vlastní unikátní heslo,

  • administrátorské účty mají vícefaktorové ověřování,

  • hesla se neposílají e-mailem ani chatem,

  • přístupy se sdílejí přes správce hesel nebo přes role přímo v dané službě,

  • existuje záložní způsob obnovy účtu, který není navázaný jen na jednoho člověka,

  • při odchodu zaměstnance nebo dodavatele se účty revidují a nepotřebné přístupy ruší.

Vícefaktorové ověřování samo o sobě neřeší všechno. U důležitých účtů ale výrazně snižuje riziko, že samotné uniklé heslo stačí k převzetí účtu. Největší prioritu mají registrátor domény, e-mailová administrace, DNS, hosting, správce hesel, reklamní účty, webová administrace a interní systémy.

Co má obsahovat jednoduchá technická evidence

Technická evidence nemusí být složitý systém. Na začátku stačí přehled, který odpoví na otázky: co firma používá, kdo to vlastní, kdo to spravuje, jak se platí provoz, kde se obnovuje přístup a jak se řeší změna dodavatele nebo člověka.

Položka evidenceProč je důležitá
Název služby a URL administraceFirma ví, kde se daná věc spravuje a nejde jen podle paměti jednoho člověka.
Vlastník a odpovědná osobaJe jasné, kdo schvaluje změny a kdo řeší provoz.
Typ účtu a roleOddělí se vlastnický účet, administrátor, běžný uživatel a externí dodavatel.
Fakturace a expiraceDoména, hosting, licence ani certifikáty nevypadnou kvůli staré kartě nebo zapomenuté faktuře.
Obnova přístupuJe jasné, na jaký e-mail nebo telefon chodí obnova a kdo ji umí provést.
MFA a záložní přístupFirma nezůstane závislá na jednom telefonu, aplikaci nebo osobním účtu.
Postup při odchodu člověkaPřístupy se ruší nebo převádějí systematicky, ne až při problému.

Důležité je, aby evidence nebyla jednorázová inventura. Má se aktualizovat při každé významné změně: nová služba, nový dodavatel, změna hostingu, nový reklamní účet, přechod na jinou e-mailovou službu nebo odchod člověka s administrátorským přístupem.

Když odchází dodavatel nebo zaměstnanec

Největší test technického zázemí přichází při změně lidí. Dokud spolupráce funguje, většina přístupů se neřeší. Jakmile ale odejde správce webu, marketingový specialista, interní administrátor nebo externí IT dodavatel, firma musí vědět, co převzít.

Bezpečné předání by mělo obsahovat minimálně:

  • seznam služeb, které daný člověk spravoval,

  • potvrzení, které účty patří firmě a které dodavateli,

  • převod vlastnických a administrátorských práv,

  • zrušení nepotřebných přístupů, API klíčů a sdílení,

  • změnu hesel tam, kde se sdílela místo osobních účtů,

  • kontrolu obnovovacích e-mailů a telefonů,

  • uložení aktuální dokumentace do firemního systému.

Tohle není projev nedůvěry. Je to běžná provozní hygiena. Stejně jako se při odchodu zaměstnance předává notebook, klíče a rozpracované úkoly, mají se předat i digitální odpovědnosti.

Praktický checklist pro první kontrolu

První audit technického zázemí se dá udělat bez velkého projektu. Cílem není všechno vyřešit za jeden den. Cílem je najít největší závislosti a rizika.

  1. Sepsat hlavní služby. Doména, DNS, e-mail, hosting, web, CRM, reklamní účty, analytika, úložiště, zálohy a interní systémy.

  2. Ověřit vlastníka domény. Zkontrolovat registrátora, držitele, kontaktní e-mail, expiraci a způsob převodu.

  3. Zkontrolovat e-mailovou administraci. Kdo je admin, kolik je schránek, jaké jsou aliasy, kam chodí obnova a jak se řeší odchody lidí.

  4. Projít DNS záznamy. Vědět, které záznamy patří webu, e-mailu, SPF, DKIM, DMARC, ověřením služeb a starým nástrojům.

  5. Zapnout MFA na kritických účtech. Začít registrátorem domény, e-mailovou administrací, hostingem, DNS a správcem hesel.

  6. Oddělit osobní a firemní účty. Služby důležité pro firmu nemají stát na soukromém e-mailu bývalého dodavatele nebo zaměstnance.

  7. Nastavit správce hesel. Ne jako další složitost, ale jako bezpečný způsob, jak přístupy sdílet a odebírat.

  8. Domluvit pravidlo pro změny. Každá nová služba, doména, kampaň nebo integrace se zapíše do evidence hned při založení.

U firem, které mají lidi v terénu, zakázky, zákaznickou komunikaci a více externích dodavatelů, se tato kontrola rychle vrátí. Ne nutně tím, že zabrání velkému incidentu. Často stačí, že firma při běžné změně webu, e-mailu nebo systému nemusí týden dohledávat, kdo má přístup.

Kdy dává smysl dát technické zázemí do systému

Dokud má firma pár účtů a jednoho správce, může stačit jednoduchý přehled. Jakmile ale přibývají lidé, pobočky, weby, systémy, zákaznické portály, e-maily, licence a externí dodavatelé, ruční evidence začne být křehká. Nejde jen o bezpečnost. Jde o provozní kontinuitu.

Technické zázemí firmy má v Metricu stejnou logiku jako zakázky nebo dokumenty: firma má mít přehled o tom, co je důležité, kdo za to odpovídá a v jakém je to stavu. U některých firem to znamená nastavit správu přístupů, domén, e-mailů, záloh a monitoringu. U jiných stačí menší audit, sjednocení účtů a jasný předávací postup.

Pokud je problém hlavně v infrastruktuře, navazuje na to správa IT infrastruktury. Pokud jde o ochranu dat, role, hesla a přístupy, dává smysl zapojit i bezpečnostní pohled. A pokud firma potřebuje vědět, jestli web, formuláře nebo důležité služby opravdu běží, může pomoci i Metric Pulse.

Nejdřív vlastnictví, potom nástroje

Technické zázemí se dá řešit mnoha nástroji. Správce hesel, dokumentace, monitoring, interní systém, ticketing nebo inventář služeb mají své místo. Nejdřív ale musí být jasné, co firma vlastní, co používá, kdo má jakou odpovědnost a co se stane při změně člověka nebo dodavatele.

Když je tento základ hotový, firma získá klidnější provoz. Změny na webu nejsou závislé na jednom člověku. E-mailová administrace má jasná pravidla. Doména není zapomenutá u starého dodavatele. Přístupy se dají bezpečně předat a odebrat. A technika přestane být neviditelným rizikem, které se řeší až ve chvíli, kdy něco přestane fungovat.

KONZULTACE ZDARMA

Chcete téma probrat pro svou firmu?

Nezávazně proberte svou situaci s konzultantem. Poradíme, kde začít a co bude mít největší dopad.

…nebo zavolejte +420 775 121 949

Napište nám

Vyplňte formulář a my se vám ozveme.