Есть один момент, который предприниматели стабильно игнорируют. Пока все работает, кажется, что IT - это "про айтишника".
А потом:
- маркетолог уходит и уносит рекламные кабинеты
- разработчик "держит" домен
- бухгалтер единственный с доступом к банку
- и внезапно бизнес оказывается… не у владельца
И вот тут выясняется, что IT-безопасность - это не про сервера.
Это про контроль над активами бизнеса.
Сразу по делу. Вам не нужно настраивать firewall.
Вам нужно понимать, кто владеет доступами.
Если доступ не у вас — это не ваш актив.
Есть базовый набор, который должен быть под контролем основателя или компании.
Если хотя бы один из них «висит на сотруднике» — у вас уже риск.
1. Банк и финансы
— интернет-банк
— платежные системы
— эквайринг
Если доступ у бухгалтера и только у него — это проблема.
2. Домен и сайт
— регистрация домена
— доступ к хостингу
— админка сайта
Классика: сайт есть, а домен оформлен на разработчика.
3. Серверы и инфраструктура
— VPS / облачные серверы
— доступы SSH
— панели управления
Если разработчик ушел и забрал доступ, вы даже сайт не поднимете.
4. Облака и рабочие инструменты
— Google Workspace
— Notion
— CRM
— облачные хранилища
Там лежит вся операционка бизнеса.
5. Маркетинг и продажи
— рекламные кабинеты (Meta, Google)
— маркетплейсы (Amazon, Trendyol и др.)
— аналитика
Очень частая история: аккаунт создан на личную почту маркетолога.
Ушел маркетолог — ушел и аккаунт.
И вот здесь бизнес чаще всего «плывет». Потому что делают «как удобно».
Правильная логика: Критичные активы — на компанию.
Что это значит:
— основной email корпоративный
— домен оформлен на юрлицо
— рекламные аккаунты созданы через бизнес-менеджер компании
— CRM на компанию
Не на сотрудника, подрядчика и «знакомого айтишника».
Если упростить до предела, есть список вещей, которые никогда не должны висеть на физлице.
Минимум:
— домен
— основной email компании
— доступ к банку
— рекламные кабинеты
— маркетплейсы
— CRM
Если это оформлено на сотрудника, у вас не бизнес, а временная аренда.
Здесь нужна связка юриста и айтишника. Минимальная модель:
— основной владелец аккаунта = компания
— сотрудники получают ограниченные доступы
— доступы выдаются под задачи
— все действия логируются
И обязательно при увольнении доступ отзывается сразу, а не «потом разберемся».
Вот то, что основателю нужно реально делать. Не раз в жизни. Раз в квартал.
Прямо списком.
1. Домены
— на кого оформлены
— есть ли доступ к регистратору
2. Банковские доступы
— кто имеет доступ
— есть ли резервный доступ у владельца
3. Почта и админ-аккаунты
— кто администратор
— есть ли резервный доступ
4. Серверы и хостинг
— где находятся
— у кого доступ
5. Рекламные кабинеты
— на чьем аккаунте
— кто владелец бизнес-менеджера
6. Маркетплейсы
— на кого зарегистрированы
— кто имеет права администратора
7. CRM и базы клиентов
— где хранятся
— кто имеет полный доступ
Сценарии почти всегда одинаковые:
— «мы делали быстро, оформили на сотрудника»
— «пароли лежат в чате»
— «никто не знает, где доступ к домену»
— «аккаунт был на личной почте маркетолога»
И все это работает… пока работает.
IT-безопасность — это не про технологии. Это про контроль.
Вы либо владеете доступами и понимаете, кто что контролирует.
Либо в какой-то момент выясняется, что ваш бизнес
юридически и технически держится на чужом аккаунте.
И тогда разговор уже не про безопасность.
А про то, как вернуть свое.
Информация на сайте не является юридической консультацией и носит ознакомительный характер. Для получения актуальных сведений обращайтесь за консультацией к специалисту.
