Nový kolega první den marně čeká na přihlašovací údaje, sedí u stolu bez notebooku a nudí se. O dva měsíce později odejde někdo jiný a jeho přístup do firemních systémů zůstane aktivní ještě půl roku. Obě situace mají stejnou příčinu: chybějící proces nástupu a odchodu z pohledu IT. A obě stojí firmu víc, než se na první pohled zdá.

Proč na tom vůbec záleží

Onboarding a offboarding jsou dvě strany jedné mince, kterou většina firem podceňuje. Když to děláte dobře, nový zaměstnanec je produktivní hned první den, neztrácí čas (a nervy) sháněním přístupů a vy nemáte v systémech nepořádek. Když to děláte špatně, platíte hned třikrát: za nižší produktivitu, za bezpečnostní rizika a za zbytečnou administrativu, kterou pak musíte dohánět ručně.

Nejde jen o pohodlí. Offboarding je v první řadě bezpečnostní záležitost. Bývalý zaměstnanec, který má stále přístup k e-mailu, sdíleným diskům nebo cloudovým aplikacím, představuje riziko úniku dat. A nemusí jít ani o zlý úmysl — stačí, že jeho účet někdo prolomí, protože si ho už nikdo nehlídá.

1. denkdy má být nový kolega plně vybavený a produktivní
0 minutza jak dlouho po odchodu mají být zneplatněny přístupy
20+typický počet účtů a aplikací na jednoho zaměstnance

Onboarding checklist: aby první den klapnul

Cílem nástupu je, aby měl nový člověk vše připravené dřív, než vůbec dorazí. To znamená začít několik dní předem, ne ráno v den nástupu. Dobrý onboarding má jasné kroky a jasného vlastníka u každého z nich.

Co by nemělo chybět:

  • Uživatelské účty — vytvoření identity v centrálním adresáři (např. Microsoft Entra ID / Active Directory), firemní e-mail, účet do interních systémů.
  • Oprávnění podle role — přístupy přidělené podle pracovní pozice, ne náhodně podle toho, co měl jeho předchůdce.
  • Vícefaktorové ověření (MFA) — nastavení druhého faktoru hned na začátku, ne až „někdy potom".
  • Hardware — notebook, monitor, telefon, periferie. Připravené, zašifrované a nakonfigurované předem.
  • Software a licence — kancelářský balík, specifické aplikace pro danou roli, přiřazené licence.
  • Přístupy — VPN, sdílené disky, projektové nástroje, týmové komunikační kanály.
  • Zaškolení — krátké uvedení do firemních pravidel, bezpečnostní minimum, kde co najít a na koho se obrátit.
💡
Připravte si šablony rolí. Místo toho, abyste u každého nováčka vymýšleli, co potřebuje, mějte předdefinováno „účetní", „obchodník", „vývojář". Nový člověk pak dostane přesně ten balík přístupů, který k práci potřebuje — a nic navíc.

Offboarding checklist: tady se nesmí nic zapomenout

Pokud je onboarding o pohodlí, offboarding je o bezpečnosti. A platí tu jedno tvrdé pravidlo: jakmile zaměstnanec odchází, jeho přístupy končí okamžitě, ne na konci týdne. U citlivých rolí klidně dřív, než se to dozví on sám.

  • Okamžité zneplatnění přístupů — zablokování účtu v centrálním adresáři odřízne většinu napojených aplikací najednou.
  • Zrušení MFA a aktivních relací — odhlášení ze všech zařízení, aby nezůstala otevřená session někde v telefonu.
  • E-mail — nastavení automatické odpovědi nebo přesměrování na nástupce či nadřízeného.
  • Data — zajištění pracovních souborů, předání rozdělané práce, záloha důležitých dokumentů.
  • Návrat hardwaru — notebook, telefon, klíče, čipové karty. A jejich bezpečné smazání či reinstalace.
  • Převzetí agendy — kdo přebírá odpovědnost za běžící úkoly, klienty a přístupy.
⚠️
Nejnebezpečnější jsou přístupy, na které si nikdo nevzpomene: účty u externích služeb, sdílené aplikace placené firemní kartou, přístup do administrace webu. Právě tady nejčastěji zůstanou „otevřené dveře" měsíce po odchodu.

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Nejčastější chyby, které vidíme nejvíc

Většina problémů nevzniká proto, že by někdo IT záměrně zanedbával. Vzniká proto, že proces stojí na ústní domluvě a něčí paměti. A paměť selhává.

Nejhorší účet není ten, který někdo zneužije. Nejhorší je ten, o kterém už nikdo neví, že existuje.

Tři klasiky, na které narážíme nejčastěji:

  • Mrtvé účty — přístupy zaměstnanců, kteří dávno odešli, ale jejich účet stále žije. Ideální cíl pro útočníka, protože si jeho přihlášení nikdo nevšimne.
  • Sdílená hesla — jeden účet, který používá půl oddělení. Když někdo odejde, heslo se „nedá zrušit", protože ho potřebují ostatní. Bezpečnostní noční můra.
  • Hromadění oprávnění — člověk za roky vystřídá tři pozice a přístupy mu jen přibývají. Nakonec vidí do systémů, které k práci dávno nepotřebuje.

Automatizace a role: méně ruční práce, méně chyb

Čím méně kroků děláte ručně, tím méně na ně zapomenete. Moderní přístup stojí na dvou pilířích. Prvním je centrální správa identit — jeden adresář, ze kterého se odvozují přístupy do všech ostatních aplikací. Zablokujete účet na jednom místě a přístupy zhasnou všude.

Druhým je řízení podle rolí (RBAC). Oprávnění nepřidělujete jednotlivým lidem, ale rolím. Když někdo nastoupí, dostane roli. Když odejde, roli mu odeberete. Když změní pozici, vyměníte mu roli za jinou — a stará oprávnění zmizí sama.

ℹ️
Dělejte si pravidelnou revizi přístupů — třeba dvakrát ročně projděte, kdo má kam přístup a jestli ho ještě potřebuje. Je to nuda, ale právě tady objevíte mrtvé účty a oprávnění, která dávno měla zmizet.

Tabulka: nástup vs. odchod v kostce

Aby se vám to dobře pamatovalo, tady je přehled hlavních kroků vedle sebe. Vytiskněte si ho, nalepte k monitoru — a hlavně podle něj postupujte pokaždé stejně.

OblastNástup (onboarding)Odchod (offboarding)
ÚčtyVytvořit identitu a e-mailOkamžitě zablokovat, ne smazat hned
OprávněníPřidělit podle roleOdebrat všechna, ukončit relace
MFANastavit druhý faktorZrušit, odhlásit ze zařízení
E-mailZprovoznit schránkuAutomatická odpověď, přesměrování
HardwarePřipravit, zašifrovat, předatVrátit, bezpečně smazat
DataPřístup ke sdíleným diskůmZajistit, předat, zálohovat
AgendaZaškolit, představit týmPředat běžící úkoly nástupci
🔒
Onboarding i offboarding jsou ideální kandidáti na outsourcing. Externí IT partner má proces nastavený, dělá ho pro desítky firem a nezapomene na něj ani v hektickém týdnu, kdy vám zrovna odchází kolega a nastupují dva noví.

Co si odnést

  • Onboarding je o produktivitě — nový kolega má mít vše hotové dřív, než přijde.
  • Offboarding je o bezpečnosti — přístupy končí okamžitě, ne na konci týdne.
  • Nejnebezpečnější jsou zapomenuté „mrtvé" účty a sdílená hesla.
  • Řízení podle rolí a centrální správa identit razantně snižují počet chyb.
  • Dělejte pravidelnou revizi přístupů — minimálně dvakrát ročně.

Nechte si proces nastavit profesionálně

Dobrý nástup a odchod zaměstnance nestojí na hrdinství, ale na opakovatelném procesu, který funguje pokaždé stejně. Pokud si nejste jistí, kolik máte ve firmě mrtvých účtů nebo jak rychle dokážete odříznout odcházejícího kolegu, je čas to zjistit.

Začněte nezávazným online auditem, podívejte se, jak funguje profesionální správa uživatelů, nebo nám rovnou napište — společně nastavíme proces, na který se můžete spolehnout.