IT-аудит что это и зачем нужно бизнесу?

Что такое IT-аудит, и кому он будет полезен?

IT-аудит — это исследование сегментов IT-инфраструктуры компании. Исследование может быть комплексным (вся инфраструктура) или частичным (определенный сегмент или направление).

Часто этот термин описывают как возможность получить «свежий взгляд» на IT-инфраструктуру и процессы, происходящие в компании.

ВАЖНО. Специалисты сходятся во мнении, что «правильный» и полный аудит IT-инфраструктуры — это тот, что проводится сторонними экспертами. Только в этом случае можно говорить о непредвзятом подходе и гарантированном выявлении слабых мест.

Кому следует обратить внимание на эту услугу?

Заказать IT-аудит есть смысл в следующих случаях:

• Регулярные проблемы с элементами IT-инфраструктуры. Если постоянно сбоят серверы, виснут программы, теряется информация из баз данных и возникают какие-то иные неприятные нештатные ситуации. В таком случае медлить не стоит — чем быстрее вы выявите источники проблем, тем лучше.
• Высокие затраты на IT-инфраструктуру. Существует масса эффективных решений и методик оптимизации затрат на эту сферу. Благодаря аудиту вы сможете найти подходящий для себя вариант и получить рекомендации по его внедрению.
• Необходимость прохождения сертификации. Допустим, вы хотите выйти на международный рынок IT-услуг и получить ISO/IEC 27001. Нанять специалистов, которые проведут аудит, и укажут на требующие внимания моменты, как правило, обходится компаниям дешевле (и быстрее), чем «шерстить» и приводить в соответствие все с нуля.
• Приемка ИТ-инфраструктуры или отдельного компонента от заказчика. Аудит позволит оценить соответствие ТЗ и стандартам отрасли.
• Переезд офиса (производства) на новое место. В ходе IT-аудита специалисты оценят соответствие IT-инфраструктуры новым условиям эксплуатации после переноса, дадут рекомендации, как адаптировать ее к изменениям.
• Оценка соответствия требованиям 152-ФЗ, GDPR, нормативных актов ФСТЭК и других руководящих документов (с учетом специфики деятельности компании).

Конечно, это далеко не все случаи, когда есть смысл в IT-аудите. Если вы чувствуете, что инфраструктуре вашей компании это не помешает, обратитесь к специалистам. Они помогут понять, нужно ли проводить исследование, и в каких объемах делать это.

Виды аудита IT-инфраструктуры: платные и бесплатные.

Мы в Afforto выделяем 3 вида IT-аудита: по выделенному направлению, аудит по критерию и комплексный.

Проведение аудита по выделенному направлению.

Подразумевает обследование какой-то составляющей (или нескольких) инфраструктуры или направления работы компании. Такому аудиту могут подвергаться:

• Пользовательские компьютеры (рабочие станции). Проверяется соответствие оснащения рабочего места потребностям работника и должностным инструкциям, состояние техники, информационная безопасность и ряд других моментов.
• Сети (локальные, подключение к интернету и пр.). Анализируется топология и ее соответствие потребностям компании, состояние сетевого оборудования, распределение потоков информации и прочие моменты.
• Программное обеспечение. Сюда входит проверка операционных систем и ПО, используемого в работе. В ходе аудита оценивается эффективность ПО и при необходимости подбираются его альтернативы, либо организуется обучение сотрудников эффективному использованию программ.
• Серверы. Специалисты анализируют надежность серверного оборудования, рациональность использования его вычислительных мощностей и дискового пространства, устойчивость к различным угрозам, соответствие характеристик требованиям ПО, установленного на сервере, и иные параметры.
• Системы видеонаблюдения, СКУД и другие составляющие IT-инфраструктуры.

IT-аудит по критерию.

Инфраструктура исследуется по определенному критерию. Это может быть:

• безопасность IT-инфраструктуры и ее устойчивость к различным типам угроз;
• показатели производительности систем;
• доступность (uptime) элементов и инфраструктуры в целом;
• удобство для пользователей.

Вы можете самостоятельно определить критерии, по которым будет проводиться аудит, или доверить это специалистам, которые выберут нужные исходя из опыта проведения исследований различных систем.

Комплексный IT-аудит.

Включает в себя черты, присущие всем другим видам аудита. Это — полная проверка инфраструктуры по множеству направлений. Подходит для вновь созданных информационных систем, инфраструктур после реорганизации, для оценки соответствия требованиям определенных стандартов и пр.

Бесплатный IT-аудит. Да бывает и такой.

Некоторые компании, и Afforto, в частности, предлагают услуги бесплатного экспресс-аудита IT-инфраструктуры и информационных систем. Как правило, он проводится при заключении договора на IT-обслуживание (IT-аутсорсинг). Обследование проводится в комплексе, в объемах, позволяющих аутсорсеру понять состояние дел в компании и выработать план работ по качественному и эффективному обслуживанию.

Что касается методик аудита, их существует немало. Чаще всего для этого используются такие стандарты и методики, как ITAF, COBIT, IPPF, ISAE No. 3402, SSAE No. 16, PCAOB, ISO27001, ISO27002. Подходящий вариант выбирается исходя из специфики компании, чья инфраструктура инспектируется, целей аудита и ряда других факторов. Процессы оценки у профессионалов отлажены и продуманы до мелочей. Будьте уверены, что деньги на IT-аудит — это не бесполезные траты, а вложение в развитие и успешность вашего бизнеса.