(Русский) Как подготовить компанию к аудиту информационных систем

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

IT-система — сердце любой современной компании. От ее бесперебойной работы зависит большинство бизнес-процессов, качество услуг и лояльность сотрудников. Поэтому контролировать устойчивость работы IT необходимо всем компаниям, которые не хотят терять клиентов и нести убытки от неожиданных сбоев.

От нестабильной работы IT-инфраструктуры страдает производительность всей организации и качество ее услуг. Согласно исследованию компании Veeam Software, сбои в доступе клиентов к IT-сервисам обходятся организациям в $20 млн ежегодно.

Для предотвращения этих и других рисков клиентоориентированные компании регулярно проводят IT-аудит: несколько раз в год полностью или частично проверяют свою IT-инфраструктуру. Это позволяет им быть уверенными в эффективной работе своих информационных систем и не переплачивать за их обслуживание.

⠀⠀⠀

Что включает в себя IT-аудит

Простыми словами, IT-аудит — это анализ IT-инфраструктуры компании. Как правило, он включает в себя несколько шагов. Их можно пройти все, тогда это будет полный аудит. Или выборочно, но с более глубоким погружением в объект исследования. После прохождения всех этапов аудита руководители компании получают полную картину эффективности и надежности своего IT-направления. Также они приобретают ясное представление о том, кто чем занимается и за что отвечает, и, как следствие, возможность более гибко управлять своей IT-командой.

Шаг 1. Проанализировать IT-бюджет

Раздутый бюджет на IT — одна из наиболее частых проблем многих компаний. Большинство генеральных директоров компаний плохо разбираются в IT, поэтому зачастую верят своим IT-руководителям на слово.

IT — одно из самых дорогих направлений в работе организации. Услуги, оборудование, лицензии — все это стоит очень больших денег, из-за чего руководителям важно иметь исчерпывающее представление о том, насколько эффективно эти деньги используются, чтобы не залезать в лишние расходы.

Для того чтобы выявить неэффективные траты, в ходе аудита сначала анализируются текущие средства, идущие на обслуживание IT. Они включают в себя постоянные и переменные расходы. Первыми могут быть расходы на ПО, аренду серверов, зарплаты сотрудников. Вторые зависят от активности бизнеса. Еще выявляются скрытые траты, которые могут оставаться незаметными за привычными процессами и очень дорого обходиться. 

Одно из направлений аудита бюджета — анализ расходов на подрядные организации: аренда серверных стоек, облачных мощностей и пр. Все эти затраты должны соответствовать текущим потребностям бизнеса и планам по его развитию.

Шаг 2. Оценить эффективность работы IT-систем, их связность, производительность каналов связи и серверов

Ресурсы, затрачиваемые на имеющиеся мощности, могут быть излишними или, наоборот, недостаточными. Это приводит к избытку или дефициту затрат на поддержку, что влечет за собой снижение эффективности работы IT-систем и повышение затрат на ее обслуживание.

В ходе аудита на основе рабочей загрузки серверов проверяется соответствие используемых ресурсов выполнению поставленных задач. Также возможны ситуации, когда необходимость в некоторых дорогостоящих серверных мощностях давно отпала, а убрать их по ряду причин не удавалось.

Шаг 3. Протестировать систему безопасности, выявить риски в случаях сбоев и кибератак

В процессе аудита тестируются все подключения из внешнего мира к локальной сети. Это может быть удаленный доступ к серверам и почтовым ящикам, а также RDP-подключения для управления компьютером или сервером. Проверяются все типы используемой информации, способы ее хранения и резервного копирования, антивирусные программы. 

Важно проверить всю документацию, касающуюся IT. Необходимо удостовериться, что копии всех договоров (на телефонию, интернет-доступ, ПО, аренду хостинга и пр.) не были утеряны и находятся у IT-директора под рукой. 

Если у организации есть региональные представительства, сотрудники головной компании должны представлять:

  • как устроена их сеть; 
  • как происходит соединение компьютеров представительств с интернетом;
  • как организован доступ сотрудников к сетевым ресурсам центрального офиса;
  • где они хранят данные;
  • предусмотрено ли их резервное хранение.

Чтобы выявить слабые места, в процессе аудита можно провести учения, в которых участвуют все сотрудники компании. В ходе тренировки вырабатываются модели реагирования на сбои в работе IT-инфраструктуры. На основе полученного в ходе учений опыта разрабатываются меры реагирования.

Шаг 4. Проверить ПО и IT-системы на соответствие законам 

В России действует много законов и требований, напрямую касающихся IT-подразделений компаний. Например, закон о локализации данных, требующий хранить персональную информацию россиян только на территории России. Если им пренебречь, то в худшем случае сайт организации могут заблокировать. А это может привести к простою бизнеса и большой потере прибыли.

Шаг 5. Оценить работу IT-подразделения

В ходе аудита подразделений компании, ответственных за IT, анализируется организационная структура, распределение функций и должностные инструкции. При необходимости проводится тестирование на соответствие сотрудников занимаемым позициям, а также интервью для выявления скрытых проблем.

Схема

⠀⠀⠀

На что обратить внимание при планировании аудита

Чтобы провести IT-аудит, необязательно делать полный анализ IT-инфраструктуры и проходить все вышеперечисленные шаги. Поэтому особое внимание обратите на составление технического задания для подрядчика. Оно начинается, как правило, с обозначения цели аудита. 

Цель может быть обозначена очень масштабная. К примеру, проверка текущего состояния IT-инфраструктуры и IT-сервисов. В этом случае придется пройти все этапы аудита. А может быть более скромная. Например, анализ надежности оборудования в случае сбоя. 

Прежде чем обращаться к подрядчикам, задумайтесь, какой именно цели вы хотите достичь с помощью аудита. Исходя из нее, формируется дальнейший план работ и, соответственно, бюджет мероприятий. 

Пропишите требования к исполнителю. Его стаж работы на российском рынке должен составлять не менее трех лет. Подрядчик должен иметь подтвержденный практический опыт проведения аудита IT в крупных компаниях, а также обладать методикой (технологией) проведения обследования, систематизации и обобщения полученных результатов, обработки информации и подготовки отчетов.

На вопрос, как часто нужно проводить аудит, нет четкого ответа. Все зависит от масштаба бизнеса, его сферы, роли IT в его процессах. 

В целом, если ваша компания относится к малому или среднему бизнесу, желательно проводить аудит не реже, чем раз в год. 

В промежутках между аудитами проводите регламентные работы, которые можно организовать и внутренними силами. Это может быть проверка обновлений ПО, в том числе антивирусного, экспресс-анализ состояния баз данных, опрос сотрудников о проблемах на рабочих местах, составление сметы расходов. Такие мероприятия желательно проводить каждый месяц.

⠀⠀⠀

Можно ли провести аудит своими силами?

Каждой компании следует самой определить, обращаться ли к подрядчику для проведения аудита или справляться самой. Однако стоит обратить внимание на несколько моментов.

Стоимость работы с привлечением собственных ресурсов может оказаться выше стоимости услуг подрядчика. Помните, кроме зарплаты, содержание сотрудников, в соответствии с Трудовым кодексом, предполагает еще оплату отпусков, больничных, налоги, обустройство рабочего места и т. д.

Когда вы обращаетесь к внешнему подрядчику, то платите только за результат. Кроме того, работа исполнителя регулируется подписанным между вами SLA (англ. Service Level Agreement  «соглашение об уровне качества»), что редко встречается при проведении аудита своими силами.

Отличается и мотивация исполнителя. Ваш IT-специалист, скорее всего, не будет заинтересован в выявлении всех дефектов функционирования IT-инфраструктуры, за поддержание стабильного состояния которой он несет ответственность по должностной инструкции. В таком случае он может найти пару незначительных изъянов, чтобы их было легко исправить, а серьезные недостатки скрыть. 

Определенное значение имеют также различные неформальные вертикали распределения влияния внутри компании. Та или иная группа специалистов, которой невыгодно выявление недостатков IT-систем или оборудования, может просто надиктовать результаты аудита IT-отделу. В конечном итоге пострадает эффективность бизнеса и лояльность клиентов.

Таким образом, аутсорсинг может не только оказаться более выгодным и гибким вариантом IT-аудита компании, но и обеспечить более высокое качество конечного результата.