Начните не с регламентов, а с инвентаризации. Кто чем пользуется, где хранятся доступы, какие сервисы реально нужны, а какие живут по инерции. Потом закройте самое опасное: общие пароли, доступы бывших сотрудников, личные Telegram и WhatsApp для рабочих задач. Это быстро дает эффект. Дальше уже можно наводить порядок в правилах.
Не пытайтесь давить через «так нельзя». Дайте удобную замену. Нормальный менеджер паролей, двухфакторная аутентификация, понятная инструкция на 1 страницу. Если человеку проще записать пароль в заметки, значит вы не дали ему рабочий инструмент. И да, один слив может стоить дороже, чем год лицензий.
Прямо: цифровая гигиена — это не про комфорт айтишника, а про снижение потерь. Утечка базы, взлом почты, мошеннический счет от «поставщика» — и продажи уже не спасают. Руководителю проще согласиться на 2 часа настройки сейчас, чем потом разруливать блокировку банка, срыв сделки или скандал с клиентом.
Сразу разделяйте личное и рабочее. Вся рабочая переписка — только в корпоративных каналах, доступы — только через корпоративные аккаунты. При увольнении у вас должен быть короткий чек: забрать доступы, сменить пароли, отключить почту, облака, CRM, мессенджеры. Если этого нет, сотрудник уходит не один — он уносит кусок бизнеса.
Нужно. Маленькие компании даже уязвимее, потому что там один человек часто видит и деньги, и клиентов, и документы. Достаточно одного фишингового письма, чтобы потерять доступ к почте или перевести деньги мошенникам. Короткий инструктаж раз в квартал работает лучше, чем надежда на здравый смысл.
Если документы гуляют по общим чатам, доступы не ограничены по ролям, а бывшие сотрудники все еще входят в сервисы — риск уже есть. Не ждите инцидента. Проверьте, кто имеет доступ к CRM, 1С, облакам, банку, ЭДО. В российских реалиях отдельно посмотрите на почту и ЭЦП. Там часто прячется самый дорогой сюрприз.
Самые неприятные истории начинаются с хаоса в документах и доступах. Когда непонятно, кто согласовал платеж, откуда пришел счет, почему письмо отправлено с личной почты и кто вообще дал команду. Банки в России на это смотрят жестко. У вас должны быть понятные правила платежей, контроль контрагентов и единый канал согласования. Иначе 115-ФЗ напомнит о себе в самый неподходящий момент.
Не по календарю ради галочки, а после событий. Уволился человек — пересмотр доступов. Поменяли подрядчика — проверка прав. Было подозрительное письмо — смена паролей и аудит входов. А раз в 3–6 месяцев делайте короткую ревизию. Без длинных совещаний. Просто по списку.
Тут мало написать регламент. Нужно сделать рабочий процесс удобнее, чем нарушение. Дайте общий диск, корпоративный мессенджер, понятный шаблон для обмена файлами. И параллельно включайте дисциплину: предупреждение, фиксирование нарушений, контроль руководителя. Если закрыть глаза, привычка станет нормой, а потом будет уже поздно.
