IT-аудит — что это такое и когда он нужен
Содержание:
Под IT-аудитом понимаются комплексные периодические меры, целью которых является инвентаризация и оценка всех компонентов инфраструктуры предприятия. По итогам ИТ-аудита специалисты составляют рекомендации. Если организация учтет эти советы, то сможет качественно обновить и улучшить всю IT-инфраструктуру. В статье рассмотрим состав ИТ-аудита, его виды и этапы проведения.
Что такое аудит ИТ-инфраструктуры
Основная цель ИТ-аудита — определение эффективности работы IT-отдела. В процессе анализируется функционирование оборудования и ПО, системы кабелей, безопасность и сохранность важной информации. При обнаружении слабых мест и уязвимостей специалисты разрабатывают способы, способные устранить неполадки и повысить эффективность. В процессе IT-аудита оценивается и рациональность затрат на содержание инфраструктуры, включающих в себя вознаграждение сотрудникам, обслуживание аппаратной части, покупку лицензионного софта и т. д.
К задачам аудита ИТ-инфраструктуры относится установление соответствия параметров информационной системы принятым бизнес-целям, требованиям предприятия и рекомендациям производителей аппаратной и программной частей. Также специалисты определяют, насколько рационально применяются современные технологии, исключают наличие устаревших компонентов и устанавливают необходимость модернизации. Обязательным элементом проверки является надежность и безопасность системы.
Зачем и кому нужен ИТ-аудит
ИТ-аудит чаще всего проводится для достижения следующих целей:
- Увеличение прозрачности информационных процессов. Отсутствие нужной документации, в частности, детализации расходов, не позволяет оценить эффективность освоения IT-бюджета. Аудит выявляет распределение затрат на поддержку пользователей, покупку лицензий программного обеспечения, обслуживание аппаратной части и предоставляет данные по остальным бюджетным статьям. С помощью результатов проведенного анализа возможно пересмотреть обязанности сотрудников и оптимизировать занятость и трудозатраты последних.
- Повышение уровня качества, безопасности и надежности IT-структуры. Аудит выявляет потенциальные проблемы, и по его результатам специалисты разрабатывают рекомендации по ликвидации уязвимостей.
- Оценка экономической и технологической эффективности инфраструктуры. Аудит выявляет соответствие бизнес-деятельности организации отраслевым стандартам и мировым практикам. Это позволяет улучшить ведение бизнеса и обеспечить его развитие.
- Улучшение бизнес-процессов. Аудит позволяет проработать общие правила взаимодействия различных подразделений организации по вопросам ИТ-обслуживания.
В результате аудита обнаруживают слабые места, потенциальные проблемы и риски. На основе этих данных разрабатывают рекомендации по оптимизации инфраструктуры проверяемой организации.
Когда необходимо проводить аудит ИТ-инфраструктуры
ИТ-аудит проводят регулярно (обычно ежегодно). Но иногда из-за внезапных перемен на рынке или в деятельности организации инфраструктура перестает эффективно выполнять поставленные ранее задачи, и в этом случае необходимо тщательно проанализировать причины такого поведения. К последним относятся:
- устаревание ПО, которое уже не соответствует стадии развития инфраструктуры;
- утечка данных;
- нехватка вычислительных ресурсов;
- неполадки в сервисах;
- медленная работа БД;
- внедрение новых систем и реорганизация предприятия;
- переезд в облако;
- кадровые изменения в руководстве организации или ИТ-отделе;
- внедрение специализированных программ для управления бизнес-процессами;
- переход на IT-аутсорсинг и необходимость расчета стоимости работ;
- рост расходов на обслуживание ИТ-сферы.
На основе итогов аудита ИТ-инфраструктуры специалисты принимают верные решения, чем обеспечивают безопасность и эффективность работы всей системы и оптимизируют использование ресурсов.
Что входит в состав аудита ИТ-инфраструктуры
Перед проведением IT-аудита определяется состав группы специалистов и составляется план, где указаны контрольный срок и перечень пунктов для оценки. Устанавливается объем проверки: какие области подлежат оценке и насколько детально аудитор должен выполнить свою работу. В таблице указано, что именно проверяется в процессе ИТ-аудита.
Разновидность проверки | Что проверяется | Как проверяется |
---|---|---|
Аудит оборудования — обследование и анализ узлов инфраструктуры | Серверная техника, ПК и мобильные устройства сотрудников, рабочие телефоны, оргтехника, сетевое оборудование, кабели, ИБП | Аудит проводится либо по категориям (компьютеры, серверы, периферийные устройства и т. д.) либо по кабинетам и отделам предприятия |
Аудит ПО — оценка соответствия используемых программ принятым стандартам | Программы на предмет наличия лицензий, на производительность и необходимость обновления.Код приложений — на согласованность со стандартами и современными практиками | Силами штатного IT-отдела или аутсорсинговой фирмы |
Аудит каналов связи и коммуникаций — обследование и анализ работы каналов передачи информации | Каналы передачи данных, все виды телефонии, корпоративная электронная почта | Проводится поиск самодельных способов или неразрешенных инструментов, по которым передается корпоративная информация |
Аудит систем безопасности — исследование инфраструктуры на предмет поиска потенциальных внутренних нарушений ИБ и внешних хакерских атак | Все системы информационной безопасности организации: защита от вирусов и спама, от взлома; системы хранения и бэкапа данных, обработки персональной информации, потенциальные уязвимости, межсетевые параметры, настройки сетевых политик | Проверки проводят аутсорсеры, а также сама фирма посредством специализированного софта или пентеста (теста на проникновение). В последнем случае моделируется поведение злоумышленников для обнаружения слабых мест в системе или провоцируется персонал для выявления недобросовестного сотрудника |
Виды ИТ-аудита
Для проведения вышеописанных проверок организации применяют три разновидности IT-аудита:
- Экспресс ИТ-аудит. Поверхностный анализ инфраструктуры, дающий общее представление о ее состоянии. Позволяет обнаружить слабые места, оценить правильность и оптимальность использования оборудования. Обычно такую проверку проводят в течение 1–3 дней перед запуском нового проекта для оценки потенциала инфраструктуры. В итоге руководство организации получает списки узлов инфраструктуры и минимум рекомендаций по оптимизации.
- Комплексный ИТ-аудит. Полное обследование системы, включая квалификацию айтишников. Проводится в срок от одной до нескольких недель в целях проверки соответствия состояния инфраструктуры стратегии развития организации. В процессе аудита собираются данные обо всех объектах цифровой системы, составляются отчеты и разрабатывается план оптимизации IT-структуры. В итоге руководство организации получает подробную документацию об актуальном состоянии инфраструктуры и проект модернизации.
- Направленный (целевой) ИТ-аудит. Проверка отдельных компонентов или процессов информационной системы. Существует аудит по:
- критерию (безопасность, производительность), где в итоге руководство организации получает описание выбранного компонента IT-структуры и рекомендации относительно него;
- бизнес-процессу (ИТ-услуги, ИТ-процессы, персонал), где по данным отчета можно сделать вывод о соответствии инфраструктуры принятым стандартам и внедрить предложения по ее оптимизации.
- ИТ-аудит согласно стандартным методологиям управления IT-услугами:
- COBIT — руководство по управлению информацией и технологиями в компании, интегрируется с остальными отраслевыми стандартами;
- ITIL — наиболее популярное руководство по управлению IT-услугами, ориентируется на жизненный цикл услуг и создание их ценности;
- ISO 20000 — международный стандарт требований, предъявляемых к системе управления IT-сервисами, оценивает процессы и их эффективность со стороны бизнеса.
- Аудит экономической эффективности ИТ. В процессе проверяются программные активы организации и оптимизируется их жизненный цикл. Это позволяет снизить издержки на ИТ-сферу без нанесения ущерба рабочим процессам, ликвидировать нарушения правил использования программного обеспечения и выгодно купить необходимые лицензии. Такую проверку лучше автоматизировать, чтобы свести к минимуму рутину и трудоемкость.
- Аудит информационной безопасности. Анализ всего, что имеет отношение к ИБ — процессов обработки данных, конфиденциальных сведений, подразделений и сотрудников, имеющих доступ к обработке информации, внутренней документации, архитектуры информационных систем, взаимодействия с внешними сетями и т. д. По окончанию проверки составляются рекомендации по эффективному управлению ИБ и внедрению технических средств защиты данных.
Также проводится аудит инфраструктуры на предмет соответствия стандартам отрасли или руководствам производителей и разработчиков. В процессе анализа происходит сравнение уровня развития ИТ-структуры предприятия с конкурирующими фирмами и лидерами рынка с учетом бизнеса и стратегии проверяемой организации.
Этапы проведения аудита ИТ-инфраструктуры
Аудит ИТ-инфраструктуры подразделяется на несколько этапов, чтобы процедура, проведенная последовательно, дала наилучший результат. Обычно выделяют следующие этапы:
- Проверка компонентов ИТ-структуры — оборудования, ПО, антивирусных систем.
- Классификация и оценка обнаруженных уязвимостей.
- Разработка способов ликвидации неполадок и оптимизации инфраструктуры.
- Составление рекомендаций на основании выводов, сделанных по результатам анализа.
- Формирование отчета на основе результатов ИТ-аудита и выдвинутых предложений по оптимизации.
Также необходимо принять во внимание потенциальные выгоды от внедрения рекомендаций и расчет расходов на ликвидацию неполадок и оптимизацию инфраструктуры.
Проблемы, способные возникнуть при проведении IT-аудита
При проведении IT-аудита иногда возникают проблемы, описанные ниже в таблице.
Проблема | Последствия | Что делать |
---|---|---|
Руководство организации четко не обозначило задачу и подробно не поставило цели | Исполнители тратят время на выяснение деталей | Руководство должно четко понять и понятно донести до специалистов цель проведения ИТ-аудита |
Нет источников информации | Приходится искать контакты и связываться с ранее уволенными сотрудниками, владеющими нужными данными о компонентах инфраструктуры | Перед увольнением сотрудники должны провести ИТ-аудит (хотя бы в минимальной форме) и составить отчет, на который будут ориентироваться новые сотрудники. |
Отсутствуют документы на технику и софт, договоры с сервисными провайдерами и т. д. | Сотрудники не знают, куда обращаться при возникновении проблем с ИТ-инфраструктурой | Следует обеспечить должное хранение документов в бумажном либо цифровом виде |
Нет единой базы паролей | Персонал не может вспомнить пароли от учетных записей и получить доступ к важной информации и процессам | Нужно держать базу паролей в специальном сервисе, обеспеченном надежной защитой |
Отсутствует описание актуального состояния IT-структуры | Сотрудники не могут быстро сориентироваться и найти нужный компонент инфраструктуры | Необходимо составить описание IT-структуры (с маркировкой кабелей), карту ЛВС и карту связей филиалов |
Этих правил следует придерживаться и в основной организации, и в филиалах, тогда к следующему аудиту подобные проблемы не возникнут, и проверка будет проведена быстро и качественно. Любой аудит завершается составлением отчета. После его получения руководство организации должно выполнить все разработанные рекомендации силами штатного ИТ-отдела или с помощью аутсорсеров.
Заключение
ИТ-аудит играет ключевую роль в обеспечении безопасности и эффективности информационных систем компании. Проведение аудита позволяет выявить уязвимости, оценить соответствие системы стандартам и требованиям, а также составить предложения по улучшению процессов и защите данных. Регулярное проведение ИТ-аудита позволяет предотвратить инциденты безопасности, снизить риски и повысить общую надежность информационной структуры организации. В итоге инвестиции в ИТ-аудит оправдывают себя созданием надежной защиты от потенциальных угроз и обеспечением стабильной работы бизнеса. Команда «АйТиСпектр» готова обеспечить качественный IT-аудит инфраструктуры любого масштаба и предоставить подробный понятный отчет. Своим клиентам мы оказываем все виды востребованных ИТ-услуг.
По результатам ИТ-аудита мы в числе других выявили области, в которых сотрудники нуждаются в обучении или повышении квалификации, и организовали прохождение курсов. Это положительно сказалось на работе и ИТ-отдела, и компании в целом.
Положительные результаты ИТ-аудита существенно повысили доверие потенциальных инвесторов, клиентов и партнеров к нашей компании, что привлекло неплохие инвестиции в развитие информационных технологий.
Мало провести ИТ-аудит и обнаружить проблемы. Нужно еще устранить выявленные пробелы инфраструктуры, после чего провести повторный анализ системы на предмет наличия уязвимостей и оценку частоты возникновения инцидентов безопасности.
Какие требования предъявляются к специалистам, проводящим ИТ-аудит?
Специалисты должны иметь глубокие знания в области информационной безопасности, администрирования сетей и систем, а также опыт работы с аудиторскими инструментами.