Nový kolega první den marně čeká na přihlašovací údaje, sedí u stolu bez notebooku a nudí se. O dva měsíce později odejde někdo jiný a jeho přístup do firemních systémů zůstane aktivní ještě půl roku. Obě situace mají stejnou příčinu: chybějící proces nástupu a odchodu z pohledu IT. A obě stojí firmu víc, než se na první pohled zdá.
Proč na tom vůbec záleží
Onboarding a offboarding jsou dvě strany jedné mince, kterou většina firem podceňuje. Když to děláte dobře, nový zaměstnanec je produktivní hned první den, neztrácí čas (a nervy) sháněním přístupů a vy nemáte v systémech nepořádek. Když to děláte špatně, platíte hned třikrát: za nižší produktivitu, za bezpečnostní rizika a za zbytečnou administrativu, kterou pak musíte dohánět ručně.
Nejde jen o pohodlí. Offboarding je v první řadě bezpečnostní záležitost. Bývalý zaměstnanec, který má stále přístup k e-mailu, sdíleným diskům nebo cloudovým aplikacím, představuje riziko úniku dat. A nemusí jít ani o zlý úmysl — stačí, že jeho účet někdo prolomí, protože si ho už nikdo nehlídá.
Onboarding checklist: aby první den klapnul
Cílem nástupu je, aby měl nový člověk vše připravené dřív, než vůbec dorazí. To znamená začít několik dní předem, ne ráno v den nástupu. Dobrý onboarding má jasné kroky a jasného vlastníka u každého z nich.
Co by nemělo chybět:
- Uživatelské účty — vytvoření identity v centrálním adresáři (např. Microsoft Entra ID / Active Directory), firemní e-mail, účet do interních systémů.
- Oprávnění podle role — přístupy přidělené podle pracovní pozice, ne náhodně podle toho, co měl jeho předchůdce.
- Vícefaktorové ověření (MFA) — nastavení druhého faktoru hned na začátku, ne až „někdy potom".
- Hardware — notebook, monitor, telefon, periferie. Připravené, zašifrované a nakonfigurované předem.
- Software a licence — kancelářský balík, specifické aplikace pro danou roli, přiřazené licence.
- Přístupy — VPN, sdílené disky, projektové nástroje, týmové komunikační kanály.
- Zaškolení — krátké uvedení do firemních pravidel, bezpečnostní minimum, kde co najít a na koho se obrátit.
Offboarding checklist: tady se nesmí nic zapomenout
Pokud je onboarding o pohodlí, offboarding je o bezpečnosti. A platí tu jedno tvrdé pravidlo: jakmile zaměstnanec odchází, jeho přístupy končí okamžitě, ne na konci týdne. U citlivých rolí klidně dřív, než se to dozví on sám.
- Okamžité zneplatnění přístupů — zablokování účtu v centrálním adresáři odřízne většinu napojených aplikací najednou.
- Zrušení MFA a aktivních relací — odhlášení ze všech zařízení, aby nezůstala otevřená session někde v telefonu.
- E-mail — nastavení automatické odpovědi nebo přesměrování na nástupce či nadřízeného.
- Data — zajištění pracovních souborů, předání rozdělané práce, záloha důležitých dokumentů.
- Návrat hardwaru — notebook, telefon, klíče, čipové karty. A jejich bezpečné smazání či reinstalace.
- Převzetí agendy — kdo přebírá odpovědnost za běžící úkoly, klienty a přístupy.
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Nejčastější chyby, které vidíme nejvíc
Většina problémů nevzniká proto, že by někdo IT záměrně zanedbával. Vzniká proto, že proces stojí na ústní domluvě a něčí paměti. A paměť selhává.
Nejhorší účet není ten, který někdo zneužije. Nejhorší je ten, o kterém už nikdo neví, že existuje.
Tři klasiky, na které narážíme nejčastěji:
- Mrtvé účty — přístupy zaměstnanců, kteří dávno odešli, ale jejich účet stále žije. Ideální cíl pro útočníka, protože si jeho přihlášení nikdo nevšimne.
- Sdílená hesla — jeden účet, který používá půl oddělení. Když někdo odejde, heslo se „nedá zrušit", protože ho potřebují ostatní. Bezpečnostní noční můra.
- Hromadění oprávnění — člověk za roky vystřídá tři pozice a přístupy mu jen přibývají. Nakonec vidí do systémů, které k práci dávno nepotřebuje.
Automatizace a role: méně ruční práce, méně chyb
Čím méně kroků děláte ručně, tím méně na ně zapomenete. Moderní přístup stojí na dvou pilířích. Prvním je centrální správa identit — jeden adresář, ze kterého se odvozují přístupy do všech ostatních aplikací. Zablokujete účet na jednom místě a přístupy zhasnou všude.
Druhým je řízení podle rolí (RBAC). Oprávnění nepřidělujete jednotlivým lidem, ale rolím. Když někdo nastoupí, dostane roli. Když odejde, roli mu odeberete. Když změní pozici, vyměníte mu roli za jinou — a stará oprávnění zmizí sama.
Tabulka: nástup vs. odchod v kostce
Aby se vám to dobře pamatovalo, tady je přehled hlavních kroků vedle sebe. Vytiskněte si ho, nalepte k monitoru — a hlavně podle něj postupujte pokaždé stejně.
| Oblast | Nástup (onboarding) | Odchod (offboarding) |
|---|---|---|
| Účty | Vytvořit identitu a e-mail | Okamžitě zablokovat, ne smazat hned |
| Oprávnění | Přidělit podle role | Odebrat všechna, ukončit relace |
| MFA | Nastavit druhý faktor | Zrušit, odhlásit ze zařízení |
| Zprovoznit schránku | Automatická odpověď, přesměrování | |
| Hardware | Připravit, zašifrovat, předat | Vrátit, bezpečně smazat |
| Data | Přístup ke sdíleným diskům | Zajistit, předat, zálohovat |
| Agenda | Zaškolit, představit tým | Předat běžící úkoly nástupci |
Co si odnést
- Onboarding je o produktivitě — nový kolega má mít vše hotové dřív, než přijde.
- Offboarding je o bezpečnosti — přístupy končí okamžitě, ne na konci týdne.
- Nejnebezpečnější jsou zapomenuté „mrtvé" účty a sdílená hesla.
- Řízení podle rolí a centrální správa identit razantně snižují počet chyb.
- Dělejte pravidelnou revizi přístupů — minimálně dvakrát ročně.
Nechte si proces nastavit profesionálně
Dobrý nástup a odchod zaměstnance nestojí na hrdinství, ale na opakovatelném procesu, který funguje pokaždé stejně. Pokud si nejste jistí, kolik máte ve firmě mrtvých účtů nebo jak rychle dokážete odříznout odcházejícího kolegu, je čas to zjistit.
Začněte nezávazným online auditem, podívejte se, jak funguje profesionální správa uživatelů, nebo nám rovnou napište — společně nastavíme proces, na který se můžete spolehnout.