W małych firmach bezpieczeństwo IT często „dzieje się przy okazji”: ktoś ustawi hasło do Wi-Fi, ktoś inny doda konto w chmurze, a potem już tylko gaszenie pożarów. Problem w tym, że cyberataki nie wybierają – czasem łatwiej uderzyć w mikrofirmę niż w korporację z SOC i procedurami. Dlatego warto podejść do tematu metodycznie, ale bez przesady: nie potrzebujesz drogiego sprzętu, tylko sensownego planu. Zero Trust to podejście, w którym nie zakładasz, że „wewnątrz sieci jest bezpiecznie”. Każdy dostęp jest sprawdzany, ograniczany i monitorowany. Brzmi ciężko? W praktyce w małej firmie to kilka prostych nawyków i ustawień, które radykalnie zmniejszają ryzyko. 1) Zacznij od kont i tożsamości Największa liczba włamań zaczyna się od przejętego konta: e-mail, panel WordPressa, CRM, dysk w chmurze. Zrób trzy rzeczy: włącz MFA/2FA wszędzie, gdzie się da (szczególnie e-mail i chmura), wprowadź menedżer haseł (jeden, firmowy standard), ustaw zasadę najmniejszych uprawnień: księgowa nie potrzebuje dostępu do panelu hostingu, a redaktor nie musi widzieć faktur. Jeśli korzystacie z Google Workspace lub Microsoft 365, wykorzystajcie wbudowane polityki logowania: blokady podejrzanych prób, powiadomienia, wymuszenie 2FA. 2) Podziel „co jest czyje” w urządzeniach Mieszanie prywatnych laptopów z firmowymi zasobami bywa ryzykowne. Jeśli nie da się wprowadzić firmowych urządzeń, to chociaż: oddziel profil użytkownika (osobny login), włącz szyfrowanie dysku (BitLocker/FileVault), ustaw automatyczne aktualizacje systemu i przeglądarek, ogranicz instalowanie „byle czego” bez zgody. Dobrą praktyką jest też spis urządzeń (nawet prosty arkusz): kto ma jaki sprzęt, jaki system, czy ma antywirusa, czy ma szyfrowanie. 3) Zabezpiecz e-mail, bo to twoja „brama główna” W firmach e-mail jest centrum świata: resetujesz nim hasła, dostajesz faktury, linki do paneli, powiadomienia. Ustal proste zasady: zakaz logowania do firmowej skrzynki na nieznanych, publicznych komputerach, podwójna weryfikacja przy prośbach o przelew / zmianę danych (telefon + mail), filtrowanie spamu i phishingu na poziomie dostawcy. Warto przeszkolić zespół na realnych przykładach: „to wygląda jak faktura, ale domena jest inna o jedną literę”. blog dla zaawansowanych Segmentuj sieć i ogranicz dostęp do zasobów Nie musisz mieć skomplikowanej infrastruktury. Czasem wystarczy: osobne Wi-Fi dla gości, osobne Wi-Fi dla urządzeń IoT (drukarki, kamery), ograniczenie dostępu do paneli administracyjnych tylko z wybranych IP/VPN. Jeśli macie zasoby w chmurze, wprowadź regułę: panel administracyjny tylko przez VPN albo przynajmniej z 2FA i ograniczeniem lokalizacji logowań. 5) Kopie zapasowe: jedna zasada, trzy kopie Najbardziej bolesne ataki to ransomware i kasowanie danych. Minimalny standard to: 3 kopie danych, na 2 różnych nośnikach (np. chmura + dysk), 1 kopia offline lub odłączona (żeby ransomware jej nie zaszyfrował). Do WordPressa i baz danych – backup automatyczny + test odtwarzania raz na miesiąc. Backup bez testu to tylko wiara. 6) Aktualizacje i „higiena” aplikacji Najprostsze rzeczy robią największą różnicę: aktualizuj WordPress, wtyczki, motywy, usuń nieużywane wtyczki (wyłączona wtyczka nadal bywa podatna), ogranicz liczbę kont admina, ustaw logowanie z ochroną brute force i limit prób. W małej firmie reguła „piątek = aktualizacje” bywa lepsza niż „kiedyś to zrobię”. 7) Prosta obserwowalność Nie musisz mieć SIEM. Wystarczy: alerty o logowaniach (WordPress / chmura), alerty o zmianach uprawnień, podstawowe logi i monitoring uptime. Jeśli coś się wydarzy, chcesz wiedzieć kiedy, kto, z jakiego IP. Na koniec: bezpieczeństwo jako rutyna Zero Trust w małej firmie to nie projekt na rok, tylko zestaw nawyków. Zacznij od kont i 2FA, potem backupy, potem segmentacja. Każdy krok obniża ryzyko, a suma małych usprawnień robi wielką różnicę.