Дисклеймер: эта статья написана для руководителей и владельцев малого и среднего бизнеса, которые не являются IT-специалистами. Если вы — опытный сисадмин или CIO, вы вряд ли найдете здесь глубокую техническую экспертизу. Наша цель — объяснить суть и пользу ИТ-аудита языком бизнеса, чтобы помочь управленцам и айтишникам лучше понимать друг друга.
Представьте, что IT-инфраструктура вашей компании — это водопровод в большом офисном здании. Пока из крана течет вода, все довольны и никто не задумывается, как он устроен. Но стоит случиться протечке, как это замечают все: у кого-то не работает туалет, где-то залило переговорку, а в худшем случае — весь первый этаж в воде, и работа парализована.
Примерно то же самое происходит с IT в большинстве компаний. Руководитель видит только «кран» — работающие программы и интернет. А в каком состоянии находятся «трубы» — серверы, сети, системы безопасности — одному … системному администратору известно. И когда начинаются «протечки» в виде сбоев, частых зависаний и утечек конфиденциальных данных, бизнес просто теряет деньги.
Есть способ не доводить до «потопа». ИТ-аудит — это как вызов независимого инженера, который не просто придет залатать дыру, а обследует весь ваш «водопровод». Он, как опытный сантехник, проверяющий состояние всех труб, на ржавчину и самые тонкие места, где вот-вот прорвет. А после — дает понятный план, что и в какой последовательности чинить, где достаточно простого обслуживания, чтобы вся система работала как часы.
Дальше я расскажу, что такое ИТ-аудит на самом деле, как понять, что он нужен вашей компании, как все проходит и, главное, какую пользу это принесет вашему делу.
Содержание
Что такое ИТ-аудит и зачем он нужен вашему бизнесу
Чек-лист: 7 признаков того, что вашему бизнесу срочно нужен ИТ-аудит
Виды ИТ-аудита: от экспресс-проверки до комплексного анализа
Как проходит ИТ-аудит: 5 шагов к порядку в ИТ
Результат аудита: что вы получаете на руки
Так что, пора чинить ИТ в компании?
Что такое ИТ-аудит и зачем он нужен вашему бизнесу
Если отбросить умные термины, то ИТ-аудит — это независимая ревизия всего вашего IT-хозяйства. Это как покупка автомобиля с пробегом. Вы же не поверите продавцу на слово? Скорее всего, вы отвезете машину в проверенный сервис, где ее полностью продиагностируют: проверят двигатель, ходовую, электрику. И только после этого примете решение о покупке.
С ИТ-инфраструктурой то же самое. Вы можете годами не догадываться, что ваш «двигатель» работает на износ, а «тормоза» вот-вот откажут.
Важно понимать, что цель проведения аудита не найти виновных и уволить системного администратора.
Ключевая цель аудита — перевести абстрактные жалобы «все тормозит» и «ничего не работает» в плоскость конкретных, измеримых проблем и найти их корневую причину.
Например, в одной торговой компании, которую мы аудировали, менеджеры постоянно жаловались на медленную работу CRM-системы. Продажи буксовали. Местный IT-специалист предполагал, что пора менять сервер, а это — серьезные затраты. Проведенный аудит показал, что сам сервер в порядке, но система хранения данных была настроена неправильно и работала неэффективно . Проблема решилась не покупкой нового «железа» на сотни тысяч, а грамотной настройкой существующего оборудования.
В сухом остатке, аудит решает три главные задачи руководителя:
Оптимизировать расходы и повысить эффективность. Аудит помогает выявить «протечки» в IT-бюджете: лишние лицензии, слишком дорогое оборудование там, где оно не нужно, или невыгодные тарифы подрядчиков.
Повысить надежность. Найти те самые «ржавые трубы» — слабые места, которые могут отказать в любой момент и парализовать работу. Это ваша страховка от ситуации, когда в разгар сезона «ложится» интернет-магазин или база клиентов.
Усилить безопасность. Убедиться, что в вашей крепости нет «дыр» в стенах, через которые могут утечь коммерческие тайны или данные клиентов. Это защита от финансовых и репутационных потерь.
Чек-лист: 7 признаков того, что вашему бизнесу срочно нужен ИТ-аудит
ИТ-аудит — это не та услуга, которую навязывают. Это инструмент, который нужен компании при появлении определенных «симптомов». Проверьте, есть ли они у вас. Если вы согласны хотя бы с парой из этих утверждений — это серьезный повод задуматься об аудите.
1. Сотрудники постоянно жалуются на «тормоза». «1С висит», «CRM тормозит», «интернет медленный» — если вы слышите это регулярно, значит, производительность вашей команды уже страдает. Каждый час простоя или медленной работы — это ваши прямые убытки.
2. Вы не понимаете, за что платите айтишникам. У вас есть штатный специалист или IT-компания на аутсорсе, вы ежемесячно платите им деньги, но не понимаете, чем конкретно они занимаются. Работает — и ладно. Но насколько эффективно? Не переплачиваете ли вы? Аудит даст объективный ответ.
3. Бизнес растет, а IT «не вывозят». Вы открываете новый филиал, запускаете интернет-магазин или просто увеличиваете количество сотрудников, и внезапно все начинает «сыпаться». Это означает, что ваша IT-инфраструктура не была готова к росту и теперь тормозит развитие бизнеса.
4. Ваш айтишник превратился в «дорогого доктора». На любую проблему вы слышите два ответа: «это не лечится» или «нужна дорогая операция». Любая просьба об улучшении упирается в «надо всё менять и покупать новое железо». Возможно, ваш специалист просто не видит других решений или боится в них разбираться. Взгляд со стороны поможет понять, действительно ли нужна «операция» или можно обойтись «таблетками».
5. Вы уже «обжигались» на IT-безопасности. В один «прекрасный» день вирус зашифровал все файлы, или, что еще хуже, вы узнали, что ваша клиентская база продается в даркнете. Если такой пожар уже был, значит, в вашей обороне есть серьезные бреши. Аудит поможет их найти и залатать. А если, к счастью, не было — поможет убедиться, что ваша крепость действительно неприступна.
6. Компания на пороге больших перемен. Вы готовитесь к переезду в новый офис, поглощаете конкурента или, наоборот, продаете часть бизнеса. А может, решились на внедрение сложной ERP-системы. Любое из этих событий — серьезный стресс-тест для IT. Аудит в этом случае — как работа прораба перед стройкой: он проверяет фундамент, чтобы новый дом не рухнул в первый же год.
7. У вас нет плана развития IT. Вы не знаете, какое «железо» и программы нужно будет менять в следующем году и сколько денег на это закладывать. IT-бюджет формируется по остаточному принципу, а решения принимаются хаотично. Аудит поможет создать понятную дорожную карту развития информационных технологий на 1-3 года вперед.
Виды ИТ-аудита: от экспресс-проверки до комплексного анализа
ИТ-аудит — это не одна универсальная процедура. В зависимости от ваших целей и задач, он может быть разным. Вот основные виды:
Вид аудита |
В каком случае нужен? |
Комплексный аудит. Это самый полный «чекап» вашего бизнеса в части ИТ. Мы смотрим все: от серверов и сетей до того, как настроены права доступа у сотрудников и делаются ли резервные копии. |
Если вы давно не заглядывали «под капот» ИТ, хотите получить полную картину мира или меняете ИТ-команду и принимаете дела. |
Аудит безопасности. Целенаправленный поиск «дыр» в вашей обороне. Ищем уязвимости, через которые могут утечь данные, и проверяем, готова ли компания к вирусным атакам. |
Если вы работаете с ценной информацией (финансы, персональные данные, коммерческая тайна) и хотите спать спокойно. |
Аудит производительности. Если «тормозит» что-то конкретное — 1С, сайт, CRM — мы не проверяем все подряд, а ищем «бутылочное горлышко» именно в этой системе. |
Когда есть понятная, измеримая проблема со скоростью работы критически важной для бизнеса программы. |
Аудит IT-процессов. Смотрим, как организована работа вашего IT-отдела. Как быстро реагируют на заявки, есть ли порядок и регламенты, или все держится на одном незаменимом человеке. |
Если вы в целом недовольны работой IT-поддержки: задачи делаются медленно, теряются, а результат непредсказуем. |
Инвентаризация (аудит IT-активов). Наводим порядок в «гараже». Составляем полный список всего вашего IT-имущества: какое «железо», где стоит, какие программы на нем установлены и не пора ли кому-то продлевать лицензию. |
Если у вас нет точного понимания, сколько и какое оборудование у вас на балансе, и вы хотите навести порядок в учете и лицензиях. |
Как проходит ИТ-аудит: 5 шагов к порядку в ИТ
Многим кажется, что аудит — это когда приходят люди в строгих костюмах и на месяц парализуют работу офиса. Это не так. Весь процесс похож на работу хорошего врача: сначала — беседа и сбор жалоб, потом — «анализы», и только потом — диагноз и план лечения.
Шаг 1. Интервью и определение целей (1-2 дня)
Все начинается с разговора по душам. Мы встречаемся с вами, чтобы понять, что именно «болит» и чего вы ждете от проверки. Это главный этап — от него зависит, на чем мы сфокусируемся.
Как это выглядит? Вы просто рассказываете, что накипело: «продажники жалуются на CRM», «боимся, что базу клиентов украдут», «тратим на IT много, а толку мало».
Шаг 2. Сбор технических данных (3-5 дней)
Дальше — работа технарей. Инженеры собирают всю подноготную о вашей IT-инфраструктуре. Важный момент: мы стараемся делать это максимально незаметно для ваших сотрудников.
Как это выглядит? Специальные программы сканируют сеть, собирают данные о серверах и компьютерах. Параллельно мы можем поговорить с вашим сисадмином — это как спросить у механика, что он уже чинил в машине.
Шаг 3. Анализ информации (3-5 дней)
Собранные «анализы» изучает команда экспертов. Каждый смотрит свое: один — безопасность, другой — производительность, третий — сети.
Как это выглядит? Они ищут нестыковки и риски. Например, могут найти, что бэкапы вроде бы делаются, но из них ничего нельзя восстановить. Или что на главном сервере полгода не ставились обновления безопасности.
Шаг 4. Подготовка отчета (2-3 дня)
На этом шаге мы переводим технические находки на язык, понятный бизнесу, и готовим отчеты.
Как это выглядит? Вы получаете комплексный документ написанный для двух категорий на понятном им языке и состоящий из соответствующих блоков: для высшего руководства и для инженерной команды.
Шаг 5. Презентация результатов и защита отчета (1 день)
Мы не просто бросаем вам отчет на стол. Мы встречаемся и все подробно обсуждаем получившиеся результаты , получаем обратную связь от вас и инженерной команды. вместе вырабатываем план действий и дорожную карту.
Как это выглядит? На встрече мы наглядно показываем: вот здесь «тонко», вот тут может «порваться», а вот это стоит столько-то и принесет вот такую пользу. Вы сможете задать любые вопросы и понять, что делать дальше.
Результат аудита: что вы получаете на руки
Главный страх любого руководителя: «Ну вот, проведут аудит, напишут кучу бумаг, и что мне с ними делать?». Результат хорошего аудита — это не отчет ради отчета, а понятное руководство к действию.
1. Отчет для руководителя
Это короткий, на 5-10 страниц, документ без заумных терминов, где есть ответы на главные вопросы:
Что у нас есть? (список основного имущества)
Где горит? (список главных рисков, например: «Рискуем потерять базу за 2 недели из-за неверных бэкапов»)
Что делать? (общий план действий)
Сколько стоит? (вилка цен на исправление)
С этим документом вы можете принимать взвешенные управленческие решения, не погружаясь в технические дебри.
2. Технический отчет для IT-специалистов
Это подробный документ для вашего системного администратора или IT-директора. В нем детально описаны все найденные проблемы и, что самое важное, — даны конкретные технические рекомендации по их устранению.
Например, если в отчете для руководителя указан риск «низкая скорость работы сети», то в техническом отчете будет подробно расписано, почему она низкая (например, «неправильная настройка коммутатора Cisco в 3-м кабинете») и что конкретно нужно сделать, чтобы это исправить («применить такие-то команды к такому-то порту»).
3. Дорожная карта развития IT
Это стратегический документ, который позволяет вам смотреть в будущее. В нем аудиторы предлагают план по модернизации и развитию вашей IT-инфраструктуры на 1-3 года вперед, с учетом планов по росту вашего бизнеса.
Это не просто список «хотелок», а четкий план с приоритетами и ориентировочными сроками. Например:
В ближайшие 3 месяца: Заменить роутер (бюджет — ХХ руб.), настроить систему резервного копирования (бюджет — YY руб.).
В течение года: Перенести почту на корпоративный сервер (бюджет — ZZ руб.).
В перспективе 2-х лет: Внедрить новую CRM-систему.
Такой план превращает хаотичные траты на IT в управляемые и прогнозируемые инвестиции.
Так что, пора чинить ИТ в компании?
Как мы видим, ИТ-аудит — это не «пугалка» для айтишников и не бессмысленная трата денег. Это цивилизованный способ навести порядок в IT-хозяйстве и убедиться, что оно помогает бизнесу зарабатывать, а не мешает.
Это инвестиция, которая окупается за счет сокращения простоев, оптимизации расходов и, самое главное, — вашего спокойствия. Вы перестаете бояться внезапных сбоев и получаете четкое понимание, как ваши IT-системы будут развиваться вместе с вашим бизнесом.
Если хотя бы один из «симптомов», описанных в чек-листе, вам знаком, возможно, пришло время вызвать «инженера» и проверить вашу ИТ-инфраструктуру на прочность.
С уважением,
Авдей Мартынович,
Руководитель подразделения по работе с СМБ ALP ITSM
PS. Если у вас появились вопросы — задавайте в комментариях.