Bezpieczeństwo na start
Pracujemy w cyberbezpieczeństwie i sami trzymamy wysoki standard. Te zasady obowiązują każdego od pierwszego dnia.
MFA — obowiązkowe
Włącz uwierzytelnianie wieloskładnikowe na wszystkich firmowych kontach (M365/Entra, GitHub, Azure). Używaj aplikacji authenticator, nie SMS-a tam, gdzie to możliwe.
Ciekawostka: nasza własna konsola ZEUS też wymaga 2FA przez e-mail — dbamy o bezpieczeństwo także własnego produktu.
Hasła i sekrety
- Długie, unikalne hasła z menedżera haseł — nigdy te same w wielu miejscach.
- Zero sekretów w kodzie. Klucze, tokeny, hasła → Key Vault / GitHub Secrets.
- Skanujemy repozytoria pod kątem wycieków (gitleaks). Wyciek = rotacja + zgłoszenie.
Phishing
Najczęstszy wektor ataku. Zasady:
- Nie klikaj linków „pilnych" z nieznanych adresów.
- Sprawdzaj domenę nadawcy (
profesnet.pl≠professnet.pl). - Wątpliwości? Zgłoś do IT — lepiej raz za dużo niż za mało.
Dane klientów — święte
- Działamy zasadą read-only i najmniejszych uprawnień.
- Dane klientów nie opuszczają środowiska klienta bez wyraźnej podstawy.
- Nie kopiuj danych produkcyjnych na laptop ani do prywatnych narzędzi.
Co robić przy incydencie
- Nie ukrywaj. Zgłoś natychmiast (opiekun / IT / security).
- Nie „naprawiaj po cichu" — możesz zatrzeć ślady potrzebne do analizy.
- Zapisz, co się stało i kiedy.
Standard ProfessNet: zgłoszony błąd to dobry błąd. Kultura „no blame" — liczy się szybka reakcja, nie szukanie winnego.
Bezpieczeństwo to nawyk, nie jednorazowa lekcja. W kolejnej części — plan Twojego pierwszego tygodnia.