Document 1: Inventarul de sisteme IT (2–4 ore)
Un tabel cu tot ce există în infrastructura IT:
Sistem | Tip (fizic/VM/cloud) | Locație | Responsabil | Criticitate (critică/medie/scăzută) | Ultima actualizare | Observații
Ce incluzi: servere fizice și virtuale, servicii cloud (Microsoft 365, Azure, AWS, Google Workspace), aplicații business (ERP, CRM, email, contabilitate), echipamente de rețea (firewalluri, switch-uri, access points), sisteme de backup, imprimante de rețea.
Un test rapid: dacă mâine ar trebui să explici cuiva din exterior tot ce ai în infrastructură, poți face asta în 30 de minute cu documentul ăsta? Dacă da, e suficient de bun. Nu trebuie să fie perfect, trebuie să existe.
Actualizare: la fiecare modificare de infrastructură, minim o dată pe trimestru.
Document 2: Schema de rețea (2–3 ore)
O diagramă care arată cum sunt conectate lucrurile. Nu trebuie să fie tehnic la nivel de VLAN și subnet, trebuie să arate fluxul general:
- ce e în cloud și ce e local
- cum se conectează birourile (dacă sunt mai multe)
- unde sunt VPN-urile
- ce e expus pe internet
- unde stau datele critice
Instrument: draw.io (gratuit), Visio, sau chiar o foaie de hârtie scanată. Important e să existe, nu să fie frumos.
Într-o companie de 90 de angajați am desenat schema împreună cu IT-istul în vreo 2 ore. A fost prima dată în 6 ani când cineva punea pe hârtie cum arată rețeaua ca întreg. Au descoperit un VPN vechi OpenVPN încă activ pe care-l uitaseră cu totul; nimeni nu-l mai folosea dar era un punct de acces deschis în rețea. Și au descoperit că două sisteme pe care le credeau izolate erau de fapt pe aceeași rețea cu serverul de fișiere.
Actualizare: la fiecare modificare de rețea, minim semestrial.
Document 3: Registrul de accesuri (3–4 ore)
Cine are acces la ce, focusat pe accesurile privilegiate (admin):
Sistem | Utilizator | Nivel acces | Acordat de | Data | Justificare
Plus trei lucruri care de obicei lipsesc:
Procesul de onboarding IT
Ce conturi se creează pentru un angajat nou, în ce ordine, cine aprobă. Ideal: un checklist pe care HR-ul îl trimite IT-ului în ziua în care se semnează contractul, nu în ziua în care vine omul.
Procesul de offboarding IT
Ce se dezactivează când cineva pleacă, cine verifică, în cât timp. Ideal: tot ce se dezactivează în ziua plecării, nu „când are IT-ul timp.”
Frecvența verificării
Cine se uită trimestrial dacă accesurile sunt încă justificate. Cineva care a trecut de la departamentul de vânzări la contabilitate mai are nevoie de acces la CRM?
Am numărat 11 conturi active de foști angajați într-o singură companie luna trecută. Nu pentru că cineva a uitat cu rea intenție; pur și simplu nu exista un proces care să lege plecarea unui angajat de dezactivarea conturilor.
Actualizare: la fiecare onboarding/offboarding, verificare trimestrială.
Document 4: Documentația de backup (2–3 ore)
Nu doar „avem backup automat.” Ci concret:
Sistem | Ce se salvează | Unde | Frecvență | Retenție | Ultima testare restaurare | Timp estimat restaurare completă
Plus procedura de restaurare – pașii efectivi, suficient de detaliați ca cineva care nu a configurat backup-ul să poată face o restaurare. Și un jurnal al testărilor: data, ce s-a testat, cât a durat, rezultat.
O companie primea zilnic emailul „backup completed successfully” de 2 ani. Când au avut nevoie de restaurare după un incident de ransomware, au descoperit că backup-ul nu salvase nimic de 8 luni din cauza unei erori de configurare Veeam. Emailul confirma doar că scriptul rulase, nu că salvase efectiv ceva. Costul: 3 săptămâni de downtime și zeci de mii de euro.
Dacă nu ai testat restaurarea în ultimele 3 luni, nu ai backup. Ai speranță.
Actualizare: la fiecare modificare, testare lunară (30 de minute, restaurezi un fișier random, vezi că merge).
Document 5: Lista de furnizori și contracte (1–2 ore)
Furnizor | Serviciu | Cost lunar | Contact urgență | Dată reînnoire | Condiții exit | Responsabil intern
Pare banal, dar în multe companii nimeni nu are lista asta completă într-un singur loc. Informația e în inbox-uri diferite, la persoane diferite.
Într-o companie cu 3 furnizori IT diferiți, a picat un server de fișiere dimineața. Directorul a sunat furnizorul de IT. Furnizorul a zis că problema e de la rețea. A sunat furnizorul de rețea. Acesta a zis că totul e ok la ei. Au trecut 6 ore și nimeni nu rezolvase nimic, pentru că nimeni nu avea imaginea completă a cine e responsabil de ce.
Actualizare: trimestrială.
Document 6: Procedura de incident (3–4 ore)
Un document de 1–2 pagini care răspunde la: dacă se întâmplă ceva, cine face ce.
- Contacte de urgență: IT intern, furnizor IT, management, CERT-RO (1911), avocat, asigurător cyber
- Cine evaluează gravitatea incidentului
- Cine decide oprirea sistemelor (dacă e necesar)
- Cine comunică intern (angajați) și extern (clienți, parteneri)
- Obligații raportare: ANSPDCP 72h (GDPR), DNSC 24h (NIS2)
- Template scurt de comunicare: „Am identificat un incident care afectează [X]. Echipa lucrează la rezolvare. Următorul update la [ora].”
Testare: minim o dată pe semestru, un exercițiu de 30 de minute. „E joi dimineața, serverul de email nu mai funcționează. Ce facem?” Și vezi cine știe ce trebuie făcut și cine nu.
Unde le stochezi
Două locuri, mereu:
- Digital: un folder dedicat pe SharePoint/Google Drive, cu acces controlat
- Offline: copie PDF pe un USB sau hard disk extern, într-un dulap la care ajungi și când serverele nu merg
A doua copie pare exagerată până în momentul în care serverele chiar nu merg și ai nevoie de numărul de telefon al furnizorului de hosting sau de procedura de restaurare.
Cine le menține și cât durează totul
IT-ul le scrie. Management-ul le cere, alocă timp, și verifică trimestrial că sunt actualizate. Dacă management-ul nu le cere, nu se vor face niciodată – pentru că IT-ul are mereu ceva mai urgent de rezolvat. Documentarea nu e urgentă până în ziua în care devine critică.
Total de la zero: 3–5 zile pentru un IT-ist dedicat. Nu consecutive neapărat – distribuit pe 2–3 săptămâni, câteva ore pe zi.
Costul: câteva zile de muncă. Costul lipsei lor: într-un caz recent, 12.000€ în consultanță externă și 37 de zile până la stabilizare după ce a plecat singurul om care știa totul.