Кому принадлежат мои данные и пароли?

Ваш бизнес должен владеть данными компании, облачными аккаунтами, лицензиями на ПО, купленными на имя вашей компании, а также паролями или записями в менеджере паролей, которые нужны для управления ими. Если вы нанимаете поставщика управляемых IT-услуг, то есть MSP (Managed Service Provider), он может помочь с настройкой и выполнять ежедневную работу, но это не должно превращать его в владельца.

Хороший поставщик может иметь ограниченный технический доступ, чтобы поддерживать ваши системы, но доступ — это не то же самое, что владение. Вы должны иметь возможность сменить поставщика и при этом сохранить электронную почту, файлы, устройства, интернет-услуги, резервные копии и администраторский доступ к тем инструментам, за которые платит ваш бизнес.

Бывают исключения. Некоторые инструменты могут входить в собственную платформу поставщика или поставляться в составе пакетной услуги. Это не всегда плохо, но должно быть четко объяснено. Вы должны знать, что относится к вашему бизнесу, что — к поставщику, и что произойдет, если сотрудничество закончится.

Если право собственности неясно, даже простые изменения могут превратиться в дорогие проблемы. Компания может попытаться сменить поставщика и обнаружить, что администраторский аккаунт электронной почты оформлен на имя старого поставщика, или что записи резервного копирования, лицензии на ПО либо интернет-аккаунты не так-то просто перенести. Это может привести к задержкам, путанице и дополнительным расходам.

Пароли важны по той же причине. Если ключевые администраторские пароли знает только поставщик, ваш бизнес может оказаться в ожидании помощи, чтобы быстро внести срочные изменения. Хорошая поддержка должна облегчать работу, а не делать ваш бизнес зависимым от одной внешней компании.

Это также вопрос контроля и ответственности. Владельцам и офис-менеджерам не обязательно самим выполнять техническую работу, но внутри компании должен быть человек, который знает, у кого находится доступ уровня «мастер» к важным системам. Сюда относятся электронная почта, хранилище файлов, бухгалтерские инструменты, доменные имена, хостинг сайта, системы расчета зарплаты, телефонные системы, аккаунты для брандмауэра и системы резервного копирования.

Честный поставщик не обещает нулевой простой или сеть, которую невозможно взломать. Но четкие правила владения и доступа могут уменьшить путаницу при смене сотрудников, смене вендора или при возникновении срочной проблемы.

Здоровая схема должна быть простой для описания. Ваш бизнес указан как владелец или основной владелец учетной записи для ключевых услуг. Биллинг за эти услуги ведется либо на имя вашего бизнеса, либо это четко документировано. Важные администраторские аккаунты известны вашему бизнесу, надежно хранятся и не контролируются только одним человеком извне.

Многие компании используют менеджер паролей, чтобы корпоративные пароли хранились безопасно в одном месте. Вам не нужно запоминать все, но у вас должен быть процесс, который определяет, кто может получить доступ к этому хранилищу, и как передается владение, когда меняются сотрудники или поставщики. NodeBridge IT никогда не просит пароли, сетевые учетные данные или доступ к системам. Мы собираем только базовые данные о бизнесе и контактах, когда помогаем вам найти независимого поставщика.

Для безопасности многие компании также используют многофакторную аутентификацию (MFA), что означает вход с паролем плюс второй шаг, например код из приложения или запрос. Бизнес должен контролировать MFA для аккаунтов уровня владельца или администратора, либо как минимум точно понимать, как она управляется.

Если в процессе участвует MSP, попросите их задокументировать, где находятся аккаунты, кто является юридическим владельцем, и какие учетные данные передаются бизнесу. Это нормальный и разумный запрос.

Вам не нужна техническая терминология. Обычно лучше всего подходят простые вопросы. Спросите, кто владеет аккаунтами, кто является основным администратором, кто хранит пароли и что произойдет, если вы прекратите обслуживание.

Также уточните, привязаны ли какие-то инструменты к собственным системам поставщика. Некоторые поставщики используют инструменты удаленного мониторинга и управления — RMM (Remote Monitoring and Management) — чтобы следить за состоянием устройств и выполнять рутинные задачи. Они также могут использовать обнаружение и реагирование на конечных точках (EDR, Endpoint Detection and Response) — это ПО безопасности, которое наблюдает за компьютерами и серверами на предмет подозрительной активности. Эти инструменты могут быть установлены и управляться поставщиком, но вы все равно должны понимать, какие данные они могут получать, и можно ли передавать отчеты или настройки.

Попросите оформить процедуру выхода письменно. Она должна включать возврат администраторского доступа, передачу документов, удаление инструментов, принадлежащих поставщику, и передачу текущих записей. Простого списка может быть достаточно, чтобы предотвратить множество будущих проблем.

Если вы сравниваете варианты, наша страница с ответами поможет вам сначала разобраться с распространенными терминами, а страница о услугах объясняет, что обычно просят сделать бизнесов, нанимая MSP.