Inwentaryzacja IT ma opinię nudnego excela wypełnianego raz na rok dla działu administracji. W rzeczywistości to jedyne narzędzie, które daje ci odpowiedź na pytanie: “czy moja infrastruktura jest pod kontrolą?” Bez niej zarządzasz IT na wyczucie — i prędzej czy później to wyczucie zawiedzie.
Co właściwie inwentaryzujesz?
Kompletna inwentaryzacja IT obejmuje cztery warstwy:
Sprzęt:
- komputery stacjonarne i laptopy (model, rok produkcji, numer seryjny, użytkownik)
- serwery (fizyczne i wirtualne)
- urządzenia sieciowe: routery, switche, access pointy, firewalle
- urządzenia peryferyjne: drukarki, skanery, UPS-y
- urządzenia mobilne służbowe (telefony, tablety)
Oprogramowanie:
- systemy operacyjne i ich wersje
- oprogramowanie biznesowe z datami wygaśnięcia licencji
- oprogramowanie zainstalowane przez użytkowników
- systemy ERP, CRM, dedykowane aplikacje branżowe
Usługi i konta:
- konta w usługach chmurowych (Microsoft 365, Google Workspace, itp.)
- subskrypcje SaaS
- konta serwisowe i administracyjne — kto ma dostęp do czego
- aktywne konta byłych pracowników (często zapomniane)
Dokumentacja:
- topologia sieci
- dane dostępowe (bezpiecznie przechowywane)
- konfiguracje krytycznych urządzeń
Dlaczego stary sprzęt to nie tylko “wolny komputer”
Urządzenie po End of Life (EOL) nie otrzymuje aktualizacji bezpieczeństwa. Dla atakującego to otwarte drzwi — podatności są publicznie znane, exploit dostępny, a ofiara nie może załatać dziury, bo producent nie wydał łatki.
Przykładowe daty EOL dla popularnych systemów:
- Windows 10 — październik 2025 (brak dalszych poprawek bezpieczeństwa)
- Windows Server 2012 R2 — październik 2023
- Exchange Server 2013 — kwiecień 2023
Firma, która ma komputer z Windows 10 po październiku 2025 lub serwer Exchange 2013 — ma urządzenie, którego nie da się bezpiecznie zabezpieczyć, niezależnie od innych środków.
Inwentaryzacja pozwala zaplanować wymianę z wyprzedzeniem. Bez niej wymieniasz sprzęt “bo się zepsuł” — zawsze w nagłych przypadkach, zawsze drożej.
Ryzyko starszego oprogramowania i licencji
Oprogramowanie bez aktywnego wsparcia to ryzyko prawne i techniczne jednocześnie.
Prawne: RODO i NIS2 wymagają adekwatnych środków technicznych ochrony danych. Używanie oprogramowania bez aktualizacji bezpieczeństwa jest trudne do obrony jako “adekwatny środek” w przypadku incydentu i kontroli.
Techniczne: Wycofane oprogramowanie nie integruje się z nowymi systemami, nie dostaje poprawek kompatybilności, generuje problemy z nowymi formatami plików i protokołami.
Licencyjne: Wygasłe licencje na oprogramowanie to potencjalne roszczenia od dostawców. Inwentaryzacja pokazuje, co jest aktywne, co wygasa i kiedy — zamiast niespodzianki w postaci blokady dostępu lub audytu licencyjnego.
Nieuczciwy pracownik i kwestia rozliczeń
Brzmi jak marginalny przypadek, ale rotacja pracowników w każdej firmie jest nieunikniona. Bez inwentaryzacji:
- laptop “znika” podczas zwolnienia pracownika i nikt nie jest pewien, czy w ogóle był
- konto w systemie ERP byłego pracownika zostaje aktywne przez miesiące
- klucze sprzętowe do oprogramowania giną i nikt nie wie, kto je miał
Inwentaryzacja przypisuje każde urządzenie i konto do konkretnej osoby. Protokół zdania sprzętu przy odejściu pracownika staje się formalną, udokumentowaną procedurą — a nie “prośbą, żeby oddał laptopa przy okazji”.
Jak przeprowadzić inwentaryzację — metodologia
Częstotliwość:
- pełna inwentaryzacja: raz do roku
- aktualizacje przy każdej zmianie (nowy sprzęt, nowy pracownik, koniec współpracy)
- przegląd licencji: co kwartał
Narzędzia:
- dla małych firm (do 20 stanowisk): dobrze zaprojektowany arkusz wystarczy
- dla średnich firm: dedykowane narzędzia ITAM (IT Asset Management) — np. Snipe-IT (open source), GLPI, lub moduły w systemach RMM
- automatyczne skanowanie sieci: Lansweeper, Nmap, lub wbudowane funkcje Windows Server
Kto odpowiada:
- w firmach bez działu IT: partner zewnętrzny powinien dostarczyć inwentaryzację jako element wdrożenia
- w firmach z własnym IT: konkretna osoba z harmonogramem i procedurą
Co z wynikami:
- lista urządzeń EOL → plan wymiany z datami i kosztami
- lista wygasających licencji → planowanie przedłużeń
- lista kont bez aktywnych użytkowników → natychmiastowa dezaktywacja
Firma bez inwentaryzacji vs. z inwentaryzacją — konkretna różnica
Scenariusz: atak ransomware, zaszyfrowane 3 serwery.
Bez inwentaryzacji:
- nie wiadomo, co dokładnie zostało zaszyfrowane
- nie wiadomo, czy backup obejmował wszystkie krytyczne systemy
- odtwarzanie trwa tygodniami — bo najpierw trzeba odtworzyć wiedzę o tym, co w ogóle istniało
- do UODO zgłaszamy incydent “na oko” — bez pewności, jakie dane wyciekły
Z inwentaryzacją:
- od razu wiadomo, które systemy padły
- wiadomo, które dane były na tych systemach (bo są przypisane do serwerów)
- backup weryfikujemy wobec dokumentacji — wiemy, co mamy i czego nie ma
- zgłoszenie do UODO jest precyzyjne i zgodne z prawdą
Inwentaryzacja nie zapobiega atakowi. Sprawia, że wychodzisz z niego sprawniej i z mniejszymi stratami.
Inwentaryzacja jako element wdrożenia
Jeśli zaczynasz współpracę z nowym partnerem IT — inwentaryzacja powinna być pierwszym krokiem. Bez niej partner działa na podstawie przypuszczeń i tego, co “wygląda” przy pierwszej wizycie.
Dobry partner IT dostarcza inwentaryzację jako dokument startowy, aktualizuje ją przy każdej zmianie i udostępnia ci jako klientowi dostęp do aktualnego stanu. To nie biurokracja — to warunek wstępny sensownej opieki.