Аудит ИТ. Цель, виды, результаты
Аудит ИТ-инфраструктуры – тема животрепещущая. Это понятие в целом относительно новое для России. Разные компании совершенно по-разному его трактуют. Кто-то отождествляет ИТ-аудит только с ИТ-консалтингом, а кто-то осознает практическую ценность независимой оценки экспертом состояния своей ИТ-инфраструктуры.
Так или иначе, аудит ИТ – основа оптимизации расходов на ИТ-технологии, инструмент снижения текущих и перспективных издержек и практически единственный достоверный способ оценки актуального состояния ИТ-инфраструктуры: ее эффективности, отказоустойчивости и перспектив развития.
Что такое ИТ-аудит?
Вопрос номер один
Аудит ИТ-инфраструктуры – это комплекс мероприятий, направленный на исследование и анализ информационных систем и их составных частей, а также на проведение инвентаризации. В процессе аудита производится оценка инфраструктуры на соответствие бизнес-требованиям компании и на необходимость модернизации. В аудит ИТ-инфраструктуры обязательно входит аудит информационной безопасности: антивирусная защита, защита от несанкционированного доступа, архивирование и т.д., но об этом большом блоке мы поговорим в отдельной статье.
Для кого ИТ-аудит предназначен? Прежде всего для компаний, которые хотят проверить эффективность существующей ИТ-инфраструктуры, получить рекомендации по устранению недостатков и понять, как максимально эффективно задействовать свои внутренние ресурсы.
Аудит позволяет составить грамотный план развития информационных систем компании на несколько лет вперед, а также оптимально рассчитать стоимость облуживания.
ИТ-аудит – инструмент обеспечения непрерывности бизнеса и сокращения издержек. Если говорить метафорически, «чтобы сделать шаг, нужно понимать, на чем стоишь», «чтобы определить направление движения, нужно знать, где находится север». На эти два вопроса – «на чем стоишь» и «где север» - отвечает аудит ИТ-инфраструктуры.
Целевой потребитель ИТ-аудита
Кому в первую очередь его необходимо проводить?
Потребность в экспертной оценке может возникнуть в нескольких случаях в зависимости от цели ИТ-аудита и уровня развития бизнеса.
Первая возможная ситуация – вы планируете реорганизацию ИТ-подразделения или целой компании: планируется расширение или открытие удаленных подразделений, изменилась внутренняя структура и т.д. В таком случае оценка состояния ИТ-инфраструктуры поможет понять, что можно оставить в неизменном виде, а что требует обязательной оптимизации и модернизации.
Второй случай – вы получили доказательство того, что процессы в компании налажены недостаточно эффективно. Произошло заражение вирусами, «упали» сервера, регулярно случаются сбои в работе специализированного ПО, «зависают» базы данных – все это проявления неэффективной работы информационных систем.
Еще одна ситуация, в которой вам понадобится помощь аудитора – смена структуры управления компании или ее собственника. Новому руководству будет очень полезно узнать все о текущем состоянии ИТ-инфраструктуры.
Также ИТ-аудит необходим при внедрении нового ПО или системы управления.
Виды ИТ-аудита
И результаты «на выходе» по каждому из них
Итак, ИТ-аудит – это всесторонний анализ ИТ-инфраструктуры компании. Однако формы и виды аудита сильно отличаются друг от друга в зависимости от поставленных задач.
Аудит по заданному критерию. Проводится такой аудит следующим образом: владелец бизнеса выдвигает определенный критерий, а эксперты собирают сведения об ИТ-инфраструктуре на его основе. Таким образом ИТ-инфраструктуру можно проинспектировать на отказоустойчивость, быстродействие, эффективность, безопасность и по другим критериям. На выходе заказчик аудита получает отчет с выводами, насколько инфраструктура соответствует критерию проверки. Если аудитор выявляет те или иные несоответствия, им будут даны рекомендации по их устранению.
Аудит по выделенному направлению. В этом варианте ИТ-аудита эксперты анализируют только отдельный сегмент инфраструктуры. Например, работу программного обеспечения, серверного или сетевого оборудования, бухгалтерии, каналов связи и телефонии, веб-сайта, интернет-маркетинга и любых других информационных процессов, имеющих ключевое воздействие на бизнес. Результатом такого аудита служит отчет с итогами исследования соответствующего сегмента. В этом отчете содержатся описание действий, которые помогут владельцу бизнеса добиться наилучших результатов, экспертная оценка рисков и рекомендации по улучшению ИТ-процессов и приведению их к соответствию действующим стандартам.
Экспресс-аудит. В процессе экспресс-аудита эксперты собирают и структурируют общие сведения об актуальном состоянии ИТ-инфраструктуры. В результате владелец бизнеса получит подробный отчет, который опционально может быть дополнен краткими рекомендациями по улучшению инфраструктуры и общими аналитическими выводами.
Комплексное обследование. Этот вариант проведения ИТ-аудита отображает полную картину функционирования ИТ-инфраструктуры компании. Эксперты всесторонне и досконально изучают ИТ-инфраструктуру компании или его подразделения и предоставляют отчет с глубокой аналитикой. В отчете содержится подробная информация о соответствии текущей инфраструктуры потребностям бизнеса, о возможностях ее масштабирования, о наиболее острых проблемах в ее работе. Также в результате такого аудита владелец бизнеса получает рекомендации по повышению отказоустойчивости ИТ-инфраструктуры, ее надежности, эффективности, решения по устранению «узких» мест, а также план стратегического развития.
Потеря конфиденциальности
Стоит ли этого бояться?
Прежде всего, стоит сказать, что этот риск действительно более чем актуален. Ведь совершенно естественно, что аудитор станет свидетелем всех внутренних процессов компании.
Как обезопасить себя от хищения конфиденциальной информации с ее последующим распространением? Для этого существует ряд стандартных операций. Например, заключение соответствующих соглашений и SLA.
Также безопасность обеспечивает наложение на аудитора уголовной и финансовой ответственности на законодательном уровне.
Логичный вопрос – как выбрать надежного партнера-аудитора?
Какой он – «правильный» аудитор?
И какие ошибки чаще всего допускают компании при выборе поставщика этой услуги
Распространенная ошибка – делать выбор на основании «видимой популярности» компании. Первые строчки в поисковых системах не являются доказательством высокого качества предоставляемых услуг.
При выборе надежного аудитора целесообразно прежде всего обратить внимание на опыт организации, на продолжительность ее деятельности на рынке, а также на «портфель» клиентов, чьи положительные отзывы служат подтверждением деловой репутации.
Надежный аутсорсер готов предоставить клиенту поддержку 24/7 – это немаловажный фактор. Также при проведении аудита грамотный аудитор должен опираться на международные стандарты и «лучшие практики», такие как COBIT и ITIL.
Гарантия сохранности данных и соответствие ФЗ-152 – обязательное условие при выборе поставщика аудиторских услуг.
Рекомендации
Чтобы сохранить «порядок» в инфраструктуре
Аудит ИТ позволяет повысить качество работы ИТ-инфраструктуры, получать от нее максимальную отдачу, снизить возможные риски, снизить затраты на поддержку и инвестировать в развитие информационных систем.
Очень важно понимать, что навести «порядок» в своей инфраструктуре – мало. Важно его сохранить! Проводите регулярную инвентаризацию и документирование. Важно постоянно актуализировать информацию, полученную в результате аудита. Необходимо создать непрерывный механизм передачи знаний внутри ИТ-подразделения. Например, если один из инженеров уходит, убедитесь, что новый специалист компетентен и перенял обязанности по эксплуатации.
Один мудрец как-то сказал: «Сохранение порядка, а не исправление беспорядка, является высшим принципом мудрости». И это изречение должно стать путеводной звездой для каждого, кто хочет оптимально расходовать ресурсы, повышая свою эффективность, на пути к совершенству.