ИТ аудит для организаций: проверка всей IT инфраструктуры
- Найдем уязвимые места
- Предложим проект модернизации
- Опросим пользователей
- Конфиденциальность
Для чего нужен ИТ-аудит инфраструктуры?
Грамотно проведенный аудит ИТ-инфраструктуры позволит оценить её соответствие требованиям бизнеса. Мы не просто проводим инвентаризацию и поверхностное обследование текущего состояния инфраструктуры: мы выявляем потенциальные риски, разрабатываем стратегию развития и оцениваем компетентность системных администраторов. Мы анализируем использование ресурсов — проводим опрос пользователей и техперсонала: на основе этой информации проводим аудит ит процессов, и предлагаем оптимизацию.
Что именно нужно исследовать в рамках ит аудита и для каких целей он будет проводиться, решает клиент. К примеру, мы можем проанализировать работу всей инфраструктуры или только одной её составляющей. Не существует строгих правил или универсального рецепта, когда компании нужно провести аудит инфраструктуры. Это как с здоровьем — каждый сам решает, в какой момент стоит обратиться к врачу. Отталкиваясь от нашего опыта, перед проведением it аудита стоит ответить на следующие вопросы:
6 вопросов, которые важно задать перед ИТ аудитом:
1. Не устарела ли инфраструктура?
Принципы ведения бизнеса и работа любого офиса зависят от функционирования ИТ-службы компании. Но когда технические проблемы и поддержание работоспособности оборудования отнимают львиную долю времени сотрудников, сисадмина или службы технической поддержки — пора проверить, где возникают проблемы. Устаревшие сетевые технологии становятся тормозом на пути развития предприятия. Чаще всего, уже перед ит аудитом в компании мы находим:
- морально устаревшее ПО;
- некорректно работающие базы данных;
- локальные сети предыдущего поколения;
- ненадёжные сервера.
2. Как устроена защита системы?
Информация — важнейший актив бизнеса. Но данные могут попасть не в те руки из-за вирусов и троянов, халатности сотрудников, инсайдеров, работающих на конкурентов. Насколько вы уверены в безопасности вашей клиентской базы, документов? А в защищённости бухгалтерии, особенно той самой? Информационная безопасность строится на контроле следующих каналов коммуникации:
- веб-трафика;
- внешних носителей (флешек, дисков и т.д.);
- электронной почты;
- доступов к базам данных.
3. Руководство знает о ситуации?
К сожалению, в большинстве случаев проблемы с ИТ зачастую не выходят за пределы технического отдела. Системные администраторы либо не хотят показывать свою некомпетентность, либо даже не догадываются о ней. Для понимания ситуации возникает необходимость в привлечении независимых экспертов для проведения ИТ-аудита, способных определить качество работы ИТ отдела.
4. Есть резервные каналы и телефония?
Работоспособность ИТ-инфраструктуры зависит от стабильности интернета. Запасные каналы связи подстрахуют от аварий на стороне основного провайдера. В процессе проведения ИТ-аудита мы рассматриваем целесообразность приобретения дублирующих линий у разных провайдеров, распределение нагрузки на каналы связи, вынесение части инфраструктуры в облако.
5. Как дела с резервным копированием?
Если оно не настроено, или работает некорректно, то возможна утрата данных в результате отказа жёсткого диска, невнимательности пользователей или вирусной атаки. Здесь нужен аудит ит процессов: как настроены бэкапы? Как быстро и за какой срок можно восстановить информацию?
6. Как организовано наблюдение за важными узлами?
Если вас не устраивает хотя бы один из ответов на эти вопросы, то пора принимать меры!
Для CIO
За границей заказчиком аудита ИТ-инфраструктуры часто выступает руководитель компании, но в российских реалиях инициатором процедуры является начальник ИТ-отдела. Случается, что руководство отвергает идею проведения аудита ИТ-инфраструктуры. Объясняется это тем, что Федеральный закон «Об аудиторской деятельности» всесторонне регламентирует сферу финансового аудита, но не затрагивает технический аудит, который представляет проверку соответствия информационных систем требованиям нормативных актов. ИТ-аудиторы не призваны пересчитывать компьютеры и сверять количество с данными из бухгалтерии! Наша задача иная — провести обследование системы, аудит ит процессов, навести порядок в области информационных технологий и оптимизировать работу ИТ-инфраструктуры.
Какой мы проводим ИТ аудит?
Выполняем следующие виды аудита информационных систем (в комплексный или на выбор):
№ |
Тип |
Описание |
1 | Аудит ИТ-инфраструктуры; | Обозначим износ оборудования, найдём слабые места, определим критичность для бизнеса |
2 | Анализ компетенции ИТ персонала; | Проведем интервью системных администраторов. Для каждого направления есть свой опросный лист. Опишем компетенции и риски. |
3 | Опрос удовлетворённости пользователей; | Пообщаемся с пользователями и на основе их жалоб и пожеланий выявим слабые места в коммуникациях технического персонала с пользователями. |
4 | Аудит информационной безопасности; | Предоставим полноценный отчет согласно стандартам ISO/IEC 27001 |
5 | Отчёт о возможных рисках; | Необходимая вещь при внедрении риск-менеджмента на предприятии. |
6 | Обоснование затрат в ИТ. | Проанализируем прямые и косвенные расходы на ИТ-инфраструктуру. Структурируем и дадим рекомендации. |
Что получите в результате аудита?
Ваша инфраструктура будет разложена по полочкам, описана и задокументирована. Вы получите документ, содержащий оценку состояния всего оборудования, программного обеспечения; Мы также расписываем этапы оптимизации и развития. Основываясь на результатах аудита, вы сможете повысить надежность своей инфраструктуры и получить общую картину.
Мы проверим обоснованность принятых решений. Выясним, какие системы или процессы функционируют не оптимально. Проведем квалифицированную экспертизу состояния ИТ-технологий в вашей компании. Выберем оптимальные направления для внесения необходимых изменений. Определим точки вмешательства, сформируем стратегию развития.
Отчет о проведенном аудите ИТ-инфраструктуры дает ответ на вопрос о необходимости и сроках проведения модернизации технических средств и ПО. Это позволяет оценить необходимость инвестиций в оборудование и обучение сотрудников. В отчете обозначаются и пути снижения стоимости использования ИТ-инфраструктуры. На основании аудита возможно оценить и минимизировать риски при размещении в ИТ-системе предприятия конфиденциальной информации. Мы продемонстрируем примеры выполненных аудитов ИТ-инфраструктуры, чтобы заказчики не сомневались в компетенции.