Аудит ИТ-инфраструктуры: когда, зачем, что дальше?

Очень часто компании даже не задумываются об аудите ИТ-инфраструктуры. В то время как подобный аудит во многом направлен на инвентаризацию и помогает оценить реальное состояние ИТ-инфраструктуры в компании. Не стоит забывать и о 152-ФЗ"О персональных данных", для соответствия которому часто прибегают к сторонним аудиторам.

ИТ-инфраструктура имеет огромное влияние на бизнес компании. Она помогает получать прибыль путем оптимизации работы сотрудников и всех бизнес-процессов. Поэтому любая инфраструктура должна строго соответствовать предъявляемым к ней требованиям. Но порой изменений так много, а ИТ-ландшафт так сложен, что без аудита не обойтись. Аудит ИТ-инфраструктуры помогает оценить эффективность, надежность, безопасность и уровень автоматизации всех структур. Даже если у сотрудников компании нет претензий к работе ИТ, ее состояние может и не быть оптимальным.

Причины для внешнего аудита

Причин для аудита инфраструктуры может быть несколько. Первая их них – превентивная. Внешний ИТ-аудит – это подготовка к реализации существенных изменений ИТ-ландшафта компании. Компания, особенно территориально распределенная, не всегда владеет полной и актуальной информацией о текущем состоянии своего технического парка. "Аудит – это возможность более точно определить объем работ при подготовке большого договора технического сопровождения информационной инфраструктуры"

Аудит, направленный в том числе и на инвентаризацию, позволяет определить реальное состояние ИТ-инфраструктуры: точный состав и количество оборудования, его техническое состояние, интенсивность эксплуатации, частоту технических сбоев, эффективность работы и т.д. "Кроме того, мы оцениваем, как организованы процессы межструктурного взаимодействия у заказчика, так называемую модель "as-is" - модель «как есть», модель существующего состояния организации. Данная модель позволяет систематизировать протекающие в данный момент процессы, а также используемые информационные объекты.

Вторая причина – наведение порядка в сфере информационных технологий компании. Аудит позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу ИТ-подразделения. Проверку могут провести при появлении нового ИТ-директора. Это может быть плановый повторяющийся аудит или неплановый (экстренный) – как реакция на существенные изменения во внешней среде.Аудит – это реальный инструмент для того, чтобы показать пути возможной консолидации серверного оборудования. Это, в свою очередь, ведет к сокращению расходов и повышению качества обслуживания бизнеса.

Следующая причина – необходимость проверить, как работает то или иное внедренное решение. "Аудит мы проводим, если требуется установить или проверить результаты крупных инфраструктурных изменений. Такие изменения могут возникать после окончания ремонта, существенного изменения серверных решений и прочего".

Самой главной для ИТ-директора и высокоуровневой причиной аудита является оценка соответствия стратегии развития ИТ стратегическим целям бизнеса. Соответствие инфраструктуры по ее количеству, функциональности, стоимости требованиям бизнеса является одной из составляющих успеха любой компании, в процессе функционирования которой ИТ занимает не последнее место. Чаще всего в компаниях, которые заказывают внешний аудит ИТ-инфраструктуры, разница между текущим состоянием ИТ и целевым (тем, которое позволит обеспечивать бизнес-стратегию) является существенной. Поэтому требуется проанализировать бизнес-стратегию компании, понять, куда и как она будет развиваться в ближайшей перспективе, и сопоставить текущее состояние ИТ с планами бизнеса.

Конечно, получение компанией сертификатов и заключений, необходимых, например, для совершения сделок по продаже организации или ее участия в определенных тендерах и проектах, также является одной из причин для приглашения сторонних аудиторов. Это могут быть сертификаты в рамках 152-ФЗ.

План проводимых мероприятий в рамках аудита компьютерной инфраструктуры ? Инвентаризация компьютерной техники ? Анализ состояния сети и сетевого оборудования, определение правильности распределения нагрузки между оборудованием ? Анализ соответствия загрузки серверных платформ их характеристикам и выполняемым задачам ? Анализ организации системы бесперебойного электропитания ? Сбор информации, жалоб и пожеланий, от конечных пользователей по работе компьютеров, сети и оргтехники ? Выводы и рекомендации по оптимизации работоспособности и совершенствованию IT-инфраструктуры ? Расчет стоимости проведения работ после окончания аудита компьютерной инфраструктуры ? Составление календарного плана работ по дальнейшему обслуживанию компьютерного парка ? Аудит программного обеспечения

Рекомендации по итогам

Рекомендации могут быть самыми различными: от незначительных изменений в существующих процессах или системах до полной перестройки имеющихся систем и полномасштабной разработки ИТ-стратегии. В своих отчетах аудиторы представляют наблюдения о планировании и использовании стратегических инфраструктурных активов, сообщают о связанных с этими наблюдениями рисках и приводят рекомендации по их снижению.

Чаще всего рекомендации по результатам аудита ожидаемы: "На то он и аудит, что бы показать слабые, недостаточно проработанные места в ИТ. Рекомендации аудиторов в части инфраструктуры, информационной безопасности, качества работы сервисов прежде всего несут посыл о том, что затраты на тот или иной сервис не соответствует качеству оказываемых услуг, либо существуют высокие риски для компании по данному направлению".

Но далеко не все рекомендации можно реализовать. Самому аудитору надо крайне внимательно относиться к выдаваемым рекомендациям: они должны соответствовать реалиям компании. Нельзя рекомендовать то, что компания не в силах выполнить.

Выбираем замечания

При принятии решения об исполнении рекомендаций аудита основной "лакмусовой бумагой" будут минимальные затраты на обслуживание и техническое обеспечение при стабильной работе всех составляющих с максимальной отдачей.К примеру, ИТ может гарантировать доступность того или иного сервиса на 99,9%. Однако какой в этом смысл, если сервис нужен лишь 80% рабочего времени в год, и разница в доступности сервиса будет стоить для компании миллионы? Аудит всегда говорит о рисках – окончательное решение о принятии риска "как есть" или о действиях по его закрытию с вложением средств всегда лежит на плечах топ-менеджмента компании.

Выявленные аудиторами организационные замечания обычно устраняются в ходе аудита. Кроме того, компании в первую очередь учитывают те рекомендации, которые согласуются с общей бизнес-стратегией всей компании.