Один раз не считается: зачем проходить повторный IT-аудит
Есть 2 фактора, при которых КПД даже самого тщательного IT-аудита неумолимо стремится к нулю. О первом мы писали и раньше, а о втором расскажем в сегодняшней статье.
Как мы уже не раз рассказывали, глобальная цель аудита – узнать, соответствует ли текущая IT-инфраструктура поставленным бизнес-задачам. Цель предельно практична и благородна, но и побочные эффекты хорошего аудита ничем не хуже: оптимизация затрат на IT, повышение безопасности системы, локализация узких мест и уязвимостей и многое-многое другое.
Но в отличие от западных компаний, которые давно практикую аудит, отечественный бизнес только приходит к пониманию его важности. Многие компании проводят IT-аудит впервые и очень часто совершают одни и те же досадные ошибки.
Ошибка №1. Игнорирование результатов аудита
Звучит парадоксально, но сам по себе аудит не несет практической пользы для бизнеса. По крайней мере, непосредственной. Самое ценное, что дает аудит – это рекомендации по оптимизации текущей инфраструктуры. Создание схемы IT-системы. сбор и анализ информации, поиск уязвимостей и слабых мест – все это подготовительные этапы. Финальная же цель – описать, что представляет собой инфраструктура компании сейчас и как подогнать ее под бизнес-процессы.
Именно поэтому мы советуем не полагаться лишь на штатного сисадмина и внутренний IT-отдел (если конечно, IT – не основной профиль компании), а пользоваться услугами внешних аудиторов. Грамотные экспертные рекомендации – это то, на что действительно стоит тратить деньги.
Получив их, компания должна составить план по внедрению предложенных изменений. О том, как это делать, можно почитать здесь. Но даже если полученные рекомендации были учтены и внедрены, всю пользе аудита может разрушить вторая распространенная ошибка.
Ошибка №2. Отказ от повторного аудита
К сожалению, далеко не все понимают, что без повторного аудита первичная проверка IT-инфраструктуры часто теряет свой смысл. Да, первичный аудит показывает основные риски, угрожающие нормальному функционированию IT, и дает конкретные указания, как эти риски устранить. Но чтобы убедиться, что настораживающие показатели пришли в норму, их обязательно нужно с чем-то сравнить.
Рассмотрим на примере. Допустим, в ходе первичного аудита было обнаружено, что аптайм вашего сервера приблизился к критической отметке в 98%. А оптимальное значение для компании составляет 99,9%. К отчету прилагается список рекомендаций по поднятию показателя. Вы выполняете их и считаете, что дело в шляпе. Но! Вы ведь и до аудита не знали, что с аптаймом что-то не так, верно? Как же сейчас поймете, что проблема решена?
Ответ только один – нужно пройти повторный аудит и посмотреть, как изменился аптайм. Сравнить состояние «До» (98%) и состояние «После» (?). Если аудит покажет, что аптайм вырос до 99,9%, миссия выполнена. А если нет – нужны дополнительные меры. И так со всеми неудовлетворительными результатами первичного аудита.
Повторный аудит – необходимая мера или вытягивание денег?
Надеемся, мы убедили вас, что необходимая мера. Но многие компании уверены, что аудиторы – как врачи, которые не могут с ходу прописать лечение, а постоянно назначают новые анализы, диагностику и процедуры. А ведь это нормально. Повторный аудит можно сравнить с контрольной сдачей анализов после перенесенной болезни. Вы же хотите узнать, что лейкоциты пришли в норму? Так же и бизнесу жизненно важно убедиться, что аптайм вырос до нужной отметки, время отклика сервера сократилось до запланированного значения, а инфраструктура полностью покрывает текущие IT-потребности компании.
Не стоит также забывать о том факте, что информационные технологии в своем стремительном развитии привносят множество нюансов всем конечным пользователям. Если полгода назад Ваша инфраструктура была защищенной и соответствующей рекомендациям лучших практик, то состоянием на сейчас уже могут быть нюансы. Злоумышленники постоянно работают над поиском уязвимостей решений и версий программного обеспечения, и в режиме реального времени появляется информация о новых пробелах в безопасности инфраструктур. Нужно всегда держать руку на пульсе и привлекать сторонних экспертов, которые в курсе всех изменений и трендов.
И еще один важный момент: повторный аудит всегда более простой и быстрый, чем первичный. При первой проверке аудитору нужно исследовать буквально все закоулки инфраструктуры, чтобы увидеть общую картину. При повторном же аудите основной задачей становится проверить ситуацию с узкими местами, уязвимостями и критическими сервисами. С каждым последующим аудитом объем работ сужается до ключевых показателей. А вы получаете уверенность в завтрашнем дне. Ведь при регулярном аудите вероятность неожиданных поломок и сбоев стремится к нулю.