AUDYT INFORMATYCZNY – AUDYT IT DLA FIRM

Audyt informatyczny – zacznijmy od braku definicji

Audyt IT jest szerokim pojęciem i jak do teraz nie powstały spójne standardy samej usługi. Widać to doskonale na przykładzie zapytań ofertowych kierowanych do Support Online. Z jednej strony mamy całkiem sporą (i jednocześnie ciekawą) gamę nazewnictwa, jaką posługują się klienci:  

  • audyt systemów informatycznych;  
  • audyt infrastruktury IT;  
  • audyt teleinformatyczny;  
  • audyt środowiska IT;  
  • audyt bezpieczeństwa IT w tym bezpieczeństwa informacji;  
  • audyt zabezpieczeń IT;  
  • w tym także: audyt sprzętu komputerowego, sieci LAN, zgodności licencji; sieci komputerowej itd. 

Z drugiej strony klienci mają bardzo szerokie spektrum wymagań, które trudno jest tu opisać.  Być może kiedyś w przyszłości audyt informatyczny zostanie dokładnie skatalogowany tak, jak ma to miejsce w przypadku audytu np. sprawozdań finansowych.  

Pozytywnym aspektem jest to, że większość firm informatycznych wypracowała swoją własną bardzo precyzyjną definicję audytu informatycznego opierając ją na zdobytym doświadczeniu. Dla klientów taki stan rzeczy oznacza konieczność dokładnego sprawdzenia specyfikacji samej usługi na wczesnym etapie wyboru zleceniobiorcy. Zobaczmy więc co do zaoferowania ma w tej kwestii Support Online.  

Audyt informatyczny – Jak? Gdzie? Dla kogo?  

Support Online przeprowadza audyty informatyczne najczęściej w dwóch przypadkach. Pierwsza, a zarazem najczęściej występująca sytuacja to nawiązanie współpracy w ramach kompleksowej obsługi informatycznej. Wówczas audyt informatyczny jest bilansem otwarcia i jednocześnie wyznacza kierunek zmian w infrastrukturze IT klienta na kolejne 3-5 lata.  

Dla Support Online, gdzie outsourcing informatyczny stanowi podstawę biznesu jest to moment krytyczny. Nawet mały błąd w diagnozie potrzeb klienta i/lub doborze rozwiązań IT może przesądzić o niepowodzeniu podczas dalszej współpracy. Każde przedsiębiorstwo, gdzie obsługa informatyczna firm jest głównym filarem przychodów musi stawiać na wieloletnie relacje, gdyż tylko one są gwarancją dalszego rozwoju biznesu.  

Drugi przypadek to klienci, którzy dokonują weryfikacji działania wewnętrznego działu IT. Chodzi tutaj o weryfikację operacyjnych zadań jak i długoterminowych koncepcji rozwoju informatycznego przedsiębiorstwa, którego źródłem powinien być właśnie dział IT. Bardzo często omawiamy i proponujemy takie pomysły jak:  

  • cyfryzację firmy tj. wdrożenie rozwiązań umożliwiających przejście na pracę zdalną np. usługi terminalowe;   
  • konsolidację systemu informatycznego w ramach jednego ekosystemu np. Office 365 (Microsoft 365);  
  • implementację narzędzi z katalogu “rozwiązania chmurowe dla firm”:  chmura prywatna, replikacja w chmurze czy też backup w chmurze,   
  • przygotowanie i uruchomienie DRC: planu disaster recovery (plan ciągłości działania systemów informatycznych);  
  • podniesienie odporności organizacji na ataki cyberprzestępców poprzez m.in. szkolenia typu antyphishing;  

Audyt IT w Support Online – żelazne punkty 

W obu w/w przypadkach procedura wykonania audytu informatycznego zawiera kilka żelaznych elementów, które z punktu widzenia właściciela firmy czy zarządu mają ogromne znaczenie. Warto jest skorzystać z poniższej listy podczas poszukiwań potencjalnego wykonawcy audytu IT i zweryfikować czy każde zagadnienie zostanie dogłębnie omówione.  

1. Sprawdzenie wykonywania kopii zapasowej 

Zaczynamy od sprawdzenia czy kopia zapasowa jest w ogóle wykonywana i czy jest możliwe przywrócenie działania kluczowych systemów informatycznych przedsiębiorstwa w określonym czasie, w oparciu o istniejący backup.  

2. Opracowanie polityki backupu  

Ponad 70% klientów, dla których wykonaliśmy audyt IT nie posiadało żadnej kopii zapasowej lub stan tej kopii nie pozwalał na odzyskanie danych. Tworzymy więc politykę backupu od nowa. Taki dokument musi zawierać następujące informacje:  

  • jakie zasoby (tj. serwery fizyczne, serwery wirtualne) są objęte procedurą kopii zapasowej;  
  • w jaki sposób wykonywany jest backup – tu zawsze rekomendujemy podejście kompleksowe, czyli kopiowanie całych serwerów;  
  • w jakich lokalizacjach i na jakich urządzeniach przetrzymywany jest backup;  
  • jak wygląda harmonogram wykonywania kopii zapasowej,  
  • jak często należy prowadzić testowe odzyskiwanie danych.  

3. Określenie czasu przywrócenia działania firmy w przypadku awarii krytycznej 

Jest to kluczowa informacja dla każdego właściciela lub zarządu firmy. Niestety w wielu przypadkach zainteresowanie tym tematem następuje dopiero w momencie katastrofy informatycznej, kiedy cała organizacja przestaje po prostu działać.  

Czas przywrócenia działania firmy w przypadku awarii krytycznej jest możliwy do określenia w oparciu o wdrożoną politykę kopii zapasowej. Oczywiście nie będzie to czas przybliżony, jednak dający wymierne wyobrażenie o możliwościach działu IT.