Audyt bezpieczeństwa IT w szkole: zakres, checklisty i priorytety
Audyt bezpieczeństwa IT w szkole musi być praktyczny, bo szkoła nie działa jak korporacja. Są uczniowie, nauczyciele, administracja, rodzice, e-dziennik, sprzęt współdzielony, sieć Wi‑Fi i często bardzo ograniczony budżet. Dlatego najpierw sprawdza się ryzyka, które mogą realnie zatrzymać pracę placówki albo naruszyć dane uczniów.
Dobry audyt nie kończy się listą straszaków. Powinien dać dyrekcji prostą mapę: co naprawić natychmiast, co zaplanować na semestr, a co można monitorować.
Zakres audytu w szkole
| Obszar | Co sprawdzić | Dlaczego ważne |
|---|---|---|
| Konta i hasła | MFA, reset haseł, konta byłych pracowników | Przejęcie konta nauczyciela daje dostęp do danych i komunikacji. |
| Sieć Wi‑Fi | oddzielna sieć gościnna, hasła, segmentacja | Uczniowie i goście nie powinni widzieć urządzeń administracji. |
| Komputery | aktualizacje, antywirus, blokada instalacji | Sprzęt współdzielony jest podatny na przypadkowe infekcje. |
| Kopie zapasowe | częstotliwość, test odtworzenia, kopia offline | Backup bez testu często okazuje się bezużyteczny po awarii. |
| RODO i dostęp | uprawnienia, retencja, dokumentacja incydentów | Dane uczniów wymagają szczególnie ostrożnego procesu. |
Priorytety na pierwsze 7 dni po audycie
- Wyłącz lub usuń nieużywane konta. To szybki zysk bezpieczeństwa bez dużych kosztów.
- Włącz MFA tam, gdzie są dane uczniów. Szczególnie e‑mail, e‑dziennik, chmura i systemy administracyjne.
- Sprawdź backup. Nie pytaj, czy “jest robiony”, tylko czy da się go odtworzyć.
- Oddziel Wi‑Fi gościnne od administracyjnego. To ogranicza skutki błędów i infekcji.
- Zaktualizuj krytyczne systemy. Przeglądarki, systemy, CMS-y i wtyczki.
Jak prowadzić audyt bez paraliżowania szkoły?
Najlepiej podzielić pracę na krótkie bloki: dokumenty i konta, sieć, stacje robocze, systemy online, backupy oraz rozmowa z osobą techniczną. Testy nie powinny odbywać się w czasie egzaminów, rekrutacji ani intensywnej pracy sekretariatu.
Raport dla dyrekcji: prosty format
- Ryzyko krytyczne: wymaga działania natychmiast, np. publicznie dostępny panel albo brak MFA w poczcie.
- Ryzyko wysokie: plan naprawczy do 30 dni, np. brak segmentacji sieci.
- Ryzyko średnie: zadanie do harmonogramu, np. porządkowanie dokumentacji.
- Quick wins: szybkie poprawki, które można wdrożyć bez projektu zakupowego.
Najczęstszy błąd: audyt bez właściciela zadań
Jeżeli po audycie nie wiadomo, kto odpowiada za konkretne poprawki, raport trafia do folderu i nic się nie zmienia. Każde zalecenie powinno mieć właściciela, termin i sposób weryfikacji.
FAQ
Czy szkoła musi robić testy penetracyjne?
Nie zawsze. Często większy efekt daje podstawowy audyt kont, backupów, sieci i konfiguracji. Test penetracyjny ma sens, gdy podstawy są już uporządkowane.
Co jest największym ryzykiem w małej placówce?
Najczęściej przejęcie konta e-mail, brak kopii zapasowej możliwej do odtworzenia i zbyt szerokie uprawnienia użytkowników.
Czy audyt może być zrobiony zdalnie?
Część tak: konta, dokumentacja, konfiguracje chmury i CMS. Sieć, sprzęt i backupy zwykle wymagają choć krótkiej weryfikacji na miejscu albo przez osobę techniczną.
Powiązane usługi
Zobacz usługi powiązane z tym artykułem
Jeśli ten temat jest aktualny dla Twojej firmy, sprawdź 2-3 usługi, które najczęściej pomagają naszym klientom przejść od wiedzy do wdrożenia.
Masz pytania? Porozmawiajmy!
Chętnie pomożemy z Twoim projektem internetowym. Bezpłatna konsultacja.
Skontaktuj się z nami