Аудит ИТ-инфраструктуры: когда, зачем, что дальше?

Аудит ИТ-инфраструктуры: когда, зачем, что дальше?

Очень часто компании даже не задумываются об аудите ИТ-инфраструктуры. В то время как подобный аудит во многом направлен на инвентаризацию и помогает оценить реальное состояние ИТ-инфраструктуры в компании. Не стоит забывать и о 152-ФЗ, для соответствия которому часто прибегают к сторонним аудиторам.

ИТ-инфраструктура имеет огромное влияние на бизнес компании. Она помогает получать прибыль путем оптимизации работы сотрудников и всех бизнес-процессов. Поэтому любая инфраструктура должна строго соответствовать предъявляемым к ней требованиям. Но порой изменений так много, а ИТ-ландшафт так сложен, что без аудита не обойтись. Аудит ИТ-инфраструктуры помогает оценить эффективность, надежность, безопасность и уровень автоматизации всех структур. Даже если у сотрудников компании нет претензий к работе ИТ, ее состояние может и не быть оптимальным.


Причины для внешнего аудита


Причин для аудита инфраструктуры может быть несколько. Первая их них – превентивная. Внешний ИТ-аудит – это подготовка к реализации существенных изменений ИТ-ландшафта компании, считает Всеволод Красин, директор практики бизнес-консалтинга компании AT Consulting. Компания, особенно территориально распределенная, не всегда владеет полной и актуальной информацией о текущем состоянии своего технического парка. "Аудит – это возможность более точно определить объем работ при подготовке большого договора технического сопровождения информационной инфраструктуры", – добавляет Павел Шмелев, директор центра технического консалтинга компании "РДТех".

Аудит, направленный в том числе и на инвентаризацию, позволяет определить реальное состояние ИТ-инфраструктуры: точный состав и количество оборудования, его техническое состояние, интенсивность эксплуатации, частоту технических сбоев, эффективность работы и т.д. "Кроме того, мы оцениваем, как организованы процессы межструктурного взаимодействия у заказчика, так называемую модель "as-is". Все эти данные необходимы для качественного планирования сервиса и подготовки SLA", – комментирует Дмитрий Селиванов, вице-президент по работе с ключевыми клиентами компании Maykor.

Вторая причина – наведение порядка в сфере информационных технологий компании. Кирилл Алифанов, начальник управления ИТ компании "Э.ОН Россия", говорит, что такой аудит позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу ИТ-подразделения. Проверку могут провести при появлении нового ИТ-директора. Это может быть плановый повторяющийся аудит или неплановый (экстренный) – как реакция на существенные изменения во внешней среде.

Аудит – это реальный инструмент для того, чтобы показать пути возможной консолидации серверного оборудования. Это, в свою очередь, ведет к сокращению расходов и повышению качества обслуживания бизнеса. Оксана Смирнова-Крелль, заместитель председателя правления по технологиям "Связного Банка", рассказывает: "В конце прошлого года нами проводился комплексный ИТ-аудит. Так как банк проработал несколько лет, то нам важно было посмотреть, где он находится с точки зрения инфраструктуры информационных технологий и какие изменения необходимо сделать, чтобы еще качественнее решать задачи бизнеса".

Следующая причина – необходимость проверить, как работает то или иное внедренное решение. Максим Волков, директор департамента информационных технологий "СБ Банка", отмечает: "Аудит мы проводим, если требуется установить или проверить результаты крупных инфраструктурных изменений. Такие изменения могут возникать после окончания ремонта, существенного изменения серверных решений и прочего".

Самой главной для ИТ-директора и высокоуровневой причиной аудита является оценка соответствия стратегии развития ИТ стратегическим целям бизнеса. Соответствие инфраструктуры по ее количеству, функциональности, стоимости требованиям бизнеса является одной из составляющих успеха любой компании, в процессе функционирования которой ИТ занимает не последнее место. Владимир Разуваев, руководитель департамента бизнес-консалтинга компании Softline говорит, что чаще всего в компаниях, которые заказывают внешний аудит ИТ-инфраструктуры, разница между текущим состоянием ИТ и целевым (тем, которое позволит обеспечивать бизнес-стратегию) является существенной. Поэтому требуется проанализировать бизнес-стратегию компании, понять, куда и как она будет развиваться в ближайшей перспективе, и сопоставить текущее состояние ИТ с планами бизнеса.

Конечно, получение компанией сертификатов и заключений, необходимых, например, для совершения сделок по продаже организации или ее участия в определенных тендерах и проектах, также является одной из причин для приглашения сторонних аудиторов. Это могут быть сертификаты в рамках 152-ФЗ или PCI DSS.

От целей аудита зависит его глубина и охват. Кирилл Алифанов добавляет, что чаще всего аудит в области информационных технологий влечет за собой выявление проблем в области информационной безопасности и, как следствие, отдельный аудит информационной безопасности компании.

Рекомендации по итогам


Рекомендации могут быть самыми различными: от незначительных изменений в существующих процессах или системах до полной перестройки имеющихся систем и полномасштабной разработки ИТ-стратегии. Максим Волков замечает, что в своих отчетах аудиторы представляют наблюдения о планировании и использовании стратегических инфраструктурных активов, сообщают о связанных с этими наблюдениями рисках и приводят рекомендации по их снижению.

Для превентивного аудита рекомендации соответственные. По результатам аудита готовится SLA, говорит Дмитрий Селиванов. В нем учитываются необходимые качественные и количественные параметры оказываемого технического сервиса, например закрепляется время реакции специалиста на заявку или восстановления работы оборудования.

Вид аудита Распространенные проблемы Основные этапы аудита
Аудит производительности ИТ Между началом и завершением сохранения файла проходит 10 минут и более Поиск компонента ИТ- инфраструктуры, "тормозящего" работу
После отправки документа на печать ожидание его у принтера 15 минут и более Анализ загруженности серверов в часы наиболее активного их использовании
Работа в "1С" одного сотрудника делает невозможной работу других Выявление приложений и служб, наиболее загружающих сервер
Ожидание письма по электронной почте в течение 30 минут и более Анализ загруженности локальной сети и подключения к интернету
Аудит ИБ Неуверенность в надежной защите коммерческой информации Проверка защищённости серверов, пользовательских рабочих станций и подключения к сети интернет. Разработка политики, ограничивающей доступ к ресурсам и данным внутри сети, сделав тем самым те или иные документы доступными для одних сотрудников и недоступными для других.
Выполнение требований закона 152-ФЗ
Аудит пользовательских рабочих станций Рабочая станция сотрудника не соответствует его запросам или должностным обязанностям, работает некорректно/медленно Проверка состояния компьютеров, за которыми работают сотрудники
Рекомендации по их модернизации/обновлению ПК готовятся с учетом обеспечения непрерывной работы сотрудников
Аудит локальной сети Локальная сеть работает со сбоями или медленно Построение топологии сети
Тестирование всех кабельных соединений


Кирилл Алифанов заявляет, что чаще всего рекомендации по результатам аудита ожидаемы: "На то он и аудит, что бы показать слабые, недостаточно проработанные места в ИТ. Рекомендации аудиторов в части инфраструктуры, информационной безопасности, качества работы сервисов прежде всего несут посыл о том, что затраты на тот или иной сервис не соответствует качеству оказываемых услуг, либо существуют высокие риски для компании по данному направлению".

Но далеко не все рекомендации можно реализовать. Владимир Разуваев отмечает, что самому аудитору надо крайне внимательно относиться к выдаваемым рекомендациям: они должны соответствовать реалиям компании. Нельзя рекомендовать то, что компания не в силах выполнить.

Выбираем замечания


При принятии решения об исполнении рекомендаций аудита основной "лакмусовой бумагой" будут минимальные затраты на обслуживание и техническое обеспечение при стабильной работе всех составляющих с максимальной отдачей. Кирилл Алифанов объясняет: "К примеру, ИТ может гарантировать доступность того или иного сервиса на 99,9%. Однако какой в этом смысл, если сервис нужен лишь 80% рабочего времени в год, и разница в доступности сервиса будет стоить для компании миллионы?" Аудит всегда говорит о рисках – окончательное решение о принятии риска "как есть" или о действиях по его закрытию с вложением средств всегда лежит на плечах топ-менеджмента компании.

Выявленные аудиторами организационные замечания обычно устраняются в ходе аудита. А рекомендации об использовании архитектурных или серверных решений, по словам Максима Волкова, учитываются в следующем периоде. "При этом мы учитываем те рекомендации, которые, с одной стороны, кажутся нам по-настоящему полезными, а с другой – соответствуют стратегии развития всего банка в целом, – добавляет Оксана Смирнова-Крелль. – И, безусловно, очень важно, чтобы нам давали те рекомендации, которые могут быть реализованы с учетом имеющихся у нас ресурсов, а не требующие новых инвестиций".

Кроме того, компании в первую очередь учитывают те рекомендации, которые согласуются с общей бизнес-стратегией всей компании. Всеволод Красин считает, что так как в результаты аудита, как правило, входит приоритезированный список рекомендаций, то компании можно принять к исполнению только наиболее критические из них.

Максим Волков резюмирует: "При решении задач, возникающих после изучения аудиторского отчета, мы обычно ищем несколько альтернативных решений, прежде чем выбрать оптимальный вариант. Мы, конечно, изучаем вариант, предложенный аудиторами, но не всегда выбираем именно его".

Наталья Суслова

Вернуться на главную страницу обзора