A legtöbb cégvezető évente ellenőrizteti a tűzvédelmet, megcsinálja a könyvvizsgálatot, átnézi a biztosításokat. Az informatikai rendszert? Azt általában senki nem vizsgálja felül – egészen addig, amíg valami el nem romlik.
Ez a cikk egy 20 pontos, kinyomtatható IT-ellenőrzőlistát ad a kezedbe. Nem kell hozzá informatikai végzettség. Minden pont egyetlen kérdés, amelyre igennel vagy nemmel tudsz válaszolni. Ha 5 vagy több kérdésnél „nem" a válasz, érdemes szakértővel átbeszélni a helyzetet.
A lista hét területet fog át – ugyanazt a hetet, amelyet a leggyakoribb KKV-s IT-problémákat bemutató átfogó cikkünkben részletesen kifejtettünk. Ott a problémák természetét, itt a gyakorlati ellenőrzést mutatjuk be.
Használd évente egyszer – például januárban, a pénzügyi zárás mellé. Vagy most rögtön, első alkalommal.
Miért kell éves IT-ellenőrzés?
A cégvezetők többsége nem lát bele az informatikai rendszer állapotába. Nem azért, mert nem érdekli – hanem azért, mert az IT általában „láthatatlan". Amíg működik, nem foglalkozol vele. Amikor leáll, már baj van.
Ez pontosan az a helyzet, mint a tűzvédelmi felülvizsgálattal. Senki nem kérdőjelezi meg, hogy az évente szükséges – pedig a legtöbb évben nem történik tűzeset. Mégis megelőző jelleggel ellenőrzik, mert a következmények súlyosak.
Az informatikában ugyanez az elv: ha rendszeresen ellenőrzöd a kulcspontokat, időben felismered a kockázatokat, és dönteni tudsz – mielőtt a probléma üzleti veszteséghez, adatvesztéshez vagy leálláshoz vezetne.
Tipikus helyzet: Egy 25 fős mosonmagyaróvári kereskedőcég éves IT-felülvizsgálatán derült ki, hogy a szerveren 3 éve nem futott biztonsági mentés-teszt, a tűzfal szoftvere 18 hónapja nem frissült, és 4 távozott kolléga e-mail fiókja még aktív volt. Nem történt incidens – de bármelyik pillanatban történhetett volna.
Ez a 20 pontos lista nem helyettesíti a szakértői IT-auditot. De lehetővé teszi, hogy cégvezetőként átlásd, hol állsz, és megalapozottan dönts arról, kell-e lépni.
Hálózat és internet (1–4. pont)
A hálózat az informatika „közútja" – rajta fut minden: levelezés, fájlmegosztás, számlázás, CRM, internetelérés. Ha lassú vagy instabil, az egész cég lassul le.
☐ 1. Wi-Fi lefedettség: van-e holtpont az irodában?
Sétálj végig a munkahelyeken, a tárgyalóban és a raktárban telefonnal a kézben. Ha valahol nem kapcsolódik vagy akadozik a net, az holtpont. Egy Wi-Fi lefedettség feltérképezéssel pontosan kideríthető, hol van gond.
☐ 2. Internetsebesség: megfelel-e a jelenlegi igényeknek?
Mikor kötöttétek az internet-előfizetést? Ha 3-4 éve, valószínűleg azóta nőtt a felhasználók száma, több felhőszolgáltatás fut, és gyakoribbak a videóhívások. Egy egyszerű sebességteszt (speedtest.net) megmutatja, mennyit kapsz valójában a csomag ígéretéből.
☐ 3. Router és switch: 5 évnél régebbi valamelyik?
A hálózati eszközök nem örökéletűek. Egy 5-7 éves router nem támogatja a mai biztonsági protokollokat, és sebességben is korlátoz. Kérdezd meg az IT-felelőst: mikor volt utoljára cserélve a router? Ha „nem tudom" a válasz, az is beszédes.
☐ 4. Vendég Wi-Fi: elkülönített-e a céges hálózattól?
Ha az ügyfeleid, beszállítóid, vendégeid ugyanazon a hálózaton neteznek, mint a céges gépek és a szerver – az biztonsági kockázat. A vendég Wi-Fi-nek elkülönített hálózatra kell futnia. Ez nem luxus, hanem alapvető izoláció.
Eredmény: Ha 2 vagy több pontnál „nem" a válaszod, a hálózat az első terület, amivel érdemes foglalkozni.
Hardver és eszközpark (5–8. pont)
A hardver tönkremegy – ez nem kérdés, csak idő kérdése. A kérdés az, hogy tervezetten cseréled, vagy válsághelyzetben. Az utóbbi mindig drágább, és mindig rosszabbkor jön.
☐ 5. Munkaállomások kora: van-e 5 évnél régebbi gép?
Egy 5 éves laptop vagy asztali gép a legtöbb irodai munkára még használható – de a biztonsági frissítések, az operációs rendszer támogatottsága és a megbízhatóság szempontjából már a kockázatos zónában van. Egy váratlan géphiba okozta állásidő általában többe kerül, mint a tervezett csere.
☐ 6. Merevlemez-állapot: SSD van-e a gépekben, és kapnak-e figyelmeztető jelzést meghibásodás előtt?
A hagyományos HDD (merevlemez) mechanikus, kopó alkatrész – a meghibásodás kérdése nem „ha", hanem „mikor". A modern SSD-k lényegesen megbízhatóbbak és gyorsabbak. Ha a gépeidben még HDD van, az csereérett. Az IT-felelős meg tudja mondani: a monitoringrendszer jelez-e előre, ha egy lemez hibákat kezd produkálni.
☐ 7. Nyomtatók és szkennerek: működnek megbízhatóan?
Egy irodai nyomtató, ami hetente egyszer elakad, megőrjíti a kollégákat és időt rabol. Ha a nyomtató hetente gondot okoz, érdemes mérlegelni: a javítás, a festék és az időveszteség együtt több-e, mint egy megbízható, hálózati nyomtató ára. Általában igen.
☐ 8. Szünetmentes tápegység (UPS): van, és tesztelve van?
A szerver és a hálózati eszközök UPS-re kell, hogy csatlakozzanak. Ha nincs UPS, egy áramkimaradás azonnali leállást és potenciális adatvesztést jelent. Ha van UPS, de 3 évnél régebbi, az akkumulátor valószínűleg nem bírja a terhelést. Kérdezd meg: mikor volt utoljára tesztelve?
Eredmény: Ha az 5-ös vagy a 6-os pontnál „nem" a válaszod, az eszközpark cseretervezés az azonnali teendő.
Szoftverek és licencek (9–11. pont)
A szoftverek láthatatlanul elavulnak. Ma még minden rendben – holnap kiderülhet, hogy az operációs rendszer nem kap biztonsági frissítést, a számlázó szoftver nem kompatibilis az új Windows-szal, vagy a céges Office-licenc lejárt.
☐ 9. Operációs rendszer: támogatott verzió fut-e minden gépen?
Kérdezd meg az IT-felelőst: minden gépen támogatott operációs rendszer fut-e – vagyis olyan, amely még kap biztonsági frissítéseket? Ha egy gépen már nem támogatott verzió fut, az a frissítések hiánya miatt fokozott kockázatot jelent. Ez az egyik legelterjedtebb és legegyszerűbben orvosolható biztonsági hiányosság.
☐ 10. Irodai szoftver: legális, frissített, és központilag kezelt?
Ha a munkatársak különféle Office-verziókat használnak – az egyik 2016-os, a másik 2019-es, a harmadik kalózmásolat –, az nemcsak jogi kockázat, hanem kompatibilitási probléma is. A Microsoft 365 üzleti előfizetés ezt egycsapásra rendezi: mindig aktuális, központilag kezelhető, és legális.
☐ 11. Szakmai szoftverek: kompatibilisek az aktuális operációs rendszerrel?
Könyvelőprogramok, vállalatirányítási rendszerek, tervezőszoftverek – ezek frissítési ciklusa eltér az operációs rendszerétől. Ha Windows 11-re frissítesz, de a számlázó még nem támogatja, felesleges fejfájás. Először érdemes a szakmai szoftver gyártójánál ellenőrizni a kompatibilitást.
Eredmény: Ha a 9-es pontnál „nem" a válaszod, az operációs rendszer frissítés sürgős – különösen biztonsági szempontból.
Kiberbiztonság (12–15. pont)
A kibertámadók nem méret alapján válogatnak – ott próbálkoznak, ahol kevesebb védelmi réteg van. A kisvállalkozásoknál pedig jellemzően pont ez a helyzet: nincs dedikált biztonsági csapat, a védelem résidős vagy ad hoc. Az alábbi négy pont a minimális védelmi szintet ellenőrzi.
☐ 12. Vírusvédelem: központilag menedzselt, és frissül automatikusan?
Nem az a kérdés, hogy „van-e vírusirtó a gépeken" – hanem az, hogy központilag kezeli-e valaki. Ha minden munkatárs a saját ingyenes vírusirtóját használja, az nem védelem, az illúzió. A központi menedzsment azt jelenti: egységes beállítások, automatikus frissítés, és ha baj van, az IT-felelős azonnal lát mindent.
☐ 13. Tűzfal: van, és valaki kezeli a szabályait?
A tűzfal a céges hálózat „kapuőre" – eldönti, milyen forgalom mehet ki és jöhet be. A legtöbb KKV-nál van tűzfal, de senki nem nézte meg a beállításait az üzembe helyezés óta. Ha a tűzfalszabályok 2-3 évesek, valószínűleg nem fedik a jelenlegi szolgáltatásokat és kockázatokat.
☐ 14. E-mail szűrés: van spam- és phishing-szűrő a céges levelezésben?
A támadások jelentős része e-mailben érkezik: hamis számlák, megtévesztő linkek, rosszindulatú csatolmányok. Ha a céges levelezésben nincs aktív szűrő, a munkatársaid nap mint nap potenciális fenyegetésekkel találkoznak – és elég egyetlen kattintás. Az e-mail szűrés nem luxus, hanem az első védelmi vonal. Az e-mail mint belépési pont cikkünk részletesen bemutatja, milyen támadástípusokra kell figyelni.
☐ 15. Kétfaktoros hitelesítés (MFA): be van-e kapcsolva a kritikus rendszereknél?
Az MFA (többfaktoros hitelesítés) azt jelenti, hogy a jelszó mellé egy második azonosítás is kell – például egy kód a telefonon. Az MFA pontosan azokat a támadásokat akadályozza meg, amelyek jelszólopással indulnak – márpedig a KKV-kat érintő incidensek jellemzően így kezdődnek. Ha az e-mail fiókok, a fájlmegosztás és a távoli hozzáférés nincs MFA-val védve, az a legegyszerűbben orvosolható, mégis leggyakrabban elhanyagolt hiányosság.
Figyelmeztetés: Ha a 12., 14. és 15. pontnál is „nem" a válaszod, a céged kockázati kitettsége jelentősen magasabb az indokoltnál. Ez a három pont együtt a védelmi minimum – érdemes prioritásként kezelni, nem „majd egyszer" feladatként.
A NIS2-szabályozás 2025-ös ellenőrzési szempontjai között ugyanezek a pontok szerepelnek – ha a céged érintett, az ellenőrzőlista egyben a megfelelőségi felkészülés része is.
Adatmentés és helyreállítás (16–17. pont)
A biztonsági mentés az utolsó védvonal. Ha minden más csődöt mond – zsarolóvírus, hardverhiba, emberi hiba –, a mentés az, ami visszaadja az adataidat. De csak akkor, ha működik, tesztelve van, és nem ugyanazon a helyen tárolt, mint az eredeti adat.
☐ 16. Biztonsági mentés: fut rendszeresen, VAN offsite vagy felhő példány, és valaki figyeli?
Három kérdés egyben – és mindháromra „igen" kell. Fut rendszeresen? (Nem elég, ha „be van állítva" – tényleg lefut?) Van belőle másolat a cégen kívül, felhőben vagy másik fizikai helyszínen? (Ha a szerver és a mentés ugyanabban a szobában van, egy tűz vagy árvíz mindkettőt elviszi.) És valaki figyeli, hogy sikeres volt-e? A korszerű mentési megoldások mindezt automatizálják – de a felelősséget nem.
☐ 17. Visszaállítási teszt: az elmúlt 3 hónapban valaki tényleg kipróbálta, hogy a mentésből vissza lehet-e állítani adatot?
Ez a pont, ahol a legtöbb cég elvérzik. Van mentés – de soha senki nem próbálta meg belőle visszatölteni. Ha nem tesztelted, nem tudhatod, hogy működik. A visszaállítási teszt egyszerű: kiválasztasz néhány fájlt, megpróbálod visszaállítani a legutóbbi mentésből, és ellenőrzöd, hogy épek. Ha ez negyedévente megtörténik, a mentésedre biztosan számíthatsz.
Eredmény: Ha bármelyik pontnál „nem" a válaszod, a mentési stratégia felülvizsgálata a legsürgősebb tennivaló. Az adatvesztés visszafordíthatatlan.
Hozzáférések és emberi tényező (18–20. pont)
Az eddigi pontok a technikai alapokat ellenőrizték. Ez az utolsó három pont arról szól, ami technológiával nem oldható meg teljesen: az emberi tényezőről. A legjobb tűzfal sem véd meg, ha a munkatárs a jelszavát egy cetlire írja.
☐ 18. Jelszókezelés: van jelszószabályzat VAGY jelszókezelő alkalmazás a cégnél?
Nem kell bonyolult rendszer. A minimum: a céges rendszerekhez ne lehessen „123456" vagy „cegnev2024" jelszót használni. Ennél jobb megoldás egy jelszókezelő alkalmazás (például Bitwarden vagy 1Password), amely minden munkatársnak egyedi, erős jelszavakat generál és tárol. Egy dolog biztos: ha a jelszókezelés nem rendezett, a biztonság sem az. → Részletes útmutató: Jelszókezelés a gyakorlatban
☐ 19. Jogosultságok: távozott kollégák fiókjai le vannak-e tiltva?
Amikor valaki kilép a cégből, az e-mail fiókja, a fájlszerver-hozzáférése, a CRM-belépése és a felhőszolgáltatások mind nyitva maradnak – hacsak valaki tudatosan le nem tiltja. Ez nem ritkán fordul elő: a legtöbb KKV-nál nincs formális kilépési IT-protokoll. De ez biztonsági rés – és GDPR-szempontból is problémás.
☐ 20. Felhasználói tudatosság: volt-e az elmúlt 12 hónapban IT-biztonsági tájékoztató a munkatársaknak?
Nem kell tanfolyam. Egy 30 perces, informális megbeszélés arról, hogyan néznek ki a leggyakoribb adathalász e-mailek, mire figyeljenek a jelszavaknál, és mit csináljanak, ha gyanús levelet kapnak – ez már sokat jelent. A tudatosság nem költségkérdés, hanem szokáskérdés.
Eredmény: Ha a 19-es pontnál „nem" a válaszod, ma kérd meg az IT-felelőst, hogy nézze át a jogosultságokat. Ez percek kérdése, és azonnali kockázatcsökkentés.
Hogyan használd ezt a listát?
Ez az ellenőrzőlista nem az IT-részleg feladata – hanem a tiéd, cégvezetőként. Nem neked kell megoldanod a problémákat, de neked kell tudnod, hogy vannak-e.
Három egyszerű lépés
- Nyomtasd ki vagy mentsd el. Töltsd ki a 20 pontot – minden kérdésre igen vagy nem. Ha nem tudod a választ, az is „nem" – mert azt jelenti, nincs rálátásod az adott területre.
- Számold meg a „nem" válaszokat.
- 0–2: Jó állapot. Tartsd fenn, és ismételd meg jövőre.
- 3–5: Vannak rések. Érdemes priorizálni és a legkritikusabb pontokon kezdeni.
- 6+: Komoly felülvizsgálat szükséges. Vonj be szakértőt.
- Ismételd évente. Január az ideális – a pénzügyi lezárás mellé tedd be az IT-felülvizsgálatot is. Egy év alatt sok minden változik: új munkatársak, új szoftverek, új kockázatok.
Tipp: Használd ezt a listát a következő IT-szolgáltatóval való megbeszélésre is. Ha végigmész a 20 ponton egy ajánlatkérésnél, pontosan fogod látni, mit tud (és mit nem tud) lefedni az adott szolgáltató csomagja.
Végül: ez a lista nem a tökéletességről szól. Nem valószínű, hogy mind a 20 pontnál „igen" lesz a válasz – és ez rendben van. A lényeg, hogy tudd, hol állsz, és tudatos döntést hozz arról, min kell változtatni.
Összefoglalás: 20 pont, 7 terület
Ez a lista hét területet fed le – hálózat, hardver, szoftver, kiberbiztonság, adatmentés, hozzáférések és emberi tényező – összesen 20 konkrét ellenőrzési ponttal.
Nem kell IT-szakembernek lenned ahhoz, hogy kitöltsd. De cégvezetőként a te felelősséged, hogy valaki odafigyeljen az informatikára – és ezzel a listával legalább azt tudod, hol kell elkezdeni.
Gyakran ismételt kérdések
Elég évente egyszer elvégezni az IT-ellenőrzést?
Alapesetben igen – az éves felülvizsgálat a legtöbb KKV-nak elegendő. De ha a cég jelentősen változik (költözés, létszámbővítés, új rendszer bevezetése), érdemes azonnali extra ellenőrzést is tartani. A lényeg a rendszeresség: ha évente egyszer megtörténik, már tudatosabban kezeled az IT-kockázatokat, mint azok a cégek, ahol nincs rendszeres felülvizsgálat – és ez a többség.
Ki töltse ki a listát – én vagy az IT-felelős?
Mindketten, de más szerepben. Te, cégvezetőként, töltsd ki először egyedül – ez megmutatja, mire van rálátásod és mire nincs. Utána kérd meg az IT-felelőst, hogy válaszoljon ugyanazokra a kérdésekre. Ha a két lista között sok az eltérés, az önmagában jelzésértékű: az informatika nem átlátható a vezetés számára.
Mi a teendő, ha sok pontnál „nem" a válasz?
Nem kell mindent egyszerre megoldani. Kezdd a legkritikusabb területtel: jellemzően a biztonsági mentés (16–17. pont) és a kiberbiztonság (12–15. pont) a legfontosabb. A hálózat és a hardver fontos, de nem egzisztenciális – az adatvesztés és a kibertámadás viszont az. A proaktív IT-felügyelet éppen ezt a priorizálást segíti.
Mennyibe kerül egy szakértői IT-audit, ha a lista alapján szükségesnek látom?
Egy 10-30 gépes KKV-nál az alapos IT-audit általában 1-2 munkanap, és nem a cég méretétől, hanem a rendszer bonyolultságától függ. A BUSINESS-IT havidíjas ügyfeleinek az éves felülvizsgálat a szolgáltatás része – külön díj nélkül.
Ez a lista megfelel NIS2 vagy GDPR compliance ellenőrzésnek?
Nem helyettesíti a szabályozás-specifikus auditot, de jó kiindulópont. A NIS2 ellenőrzési szempontok és a GDPR adatvédelmi követelmények ennél részletesebbek – viszont ha ezt a 20 pontot rendben tudod, a compliance audit nagy részére is felkészültél.
A következő lépés
Most a 20 pont a kezedben van. Kitöltötted – vagy legalábbis végigolvastál rajta, és érzed, hol lehetnek rések.
Ha 6 vagy több pontnál „nem" volt a válaszod, ne halogasd a felülvizsgálatot. Nem azért, mert holnap biztosan baj lesz – hanem azért, mert amikor baj lesz, már késő lesz felkészülni.
A BUSINESS-IT csapata nap mint nap segít kisebb és közepes cégeknek abban, hogy az IT-rendszerük átlátható, biztonságos és kiszámítható legyen. Ha a lista kitöltése után kérdéseid vannak, vagy szeretnél egy részletes, szakértői felmérést – keress minket. Az első konzultáció díjmentes és kötelezettségmentes.