Blogs

IT audits uzņēmumiem: ko tie patiesībā atklāj

Kad uzņēmumā viss it kā strādā, IT vide bieži paliek bez uzmanības līdz brīdim, kad notiek dīkstāve, drošības incidents vai izgāžas svarīgs projekts. Tieši šeit IT audits kļūst par vadības instrumentu, nevis tikai tehnisku pārbaudi. Tas palīdz saprast, cik uzticama ir esošā infrastruktūra, kur slēpjas biznesa riski un vai tehnoloģiju vide vispār atbalsta uzņēmuma mērķus.

Vadītāji parasti nepasūta auditu tāpēc, ka viņiem patīk dokumentācija. Viņi to dara tad, kad vajag skaidrību. Piemēram, pirms uzņēmuma izaugsmes posma, biroja pārcelšanās, mākoņpakalpojumu ieviešanas, apvienošanās darījuma vai pēc atkārtotām problēmām ar piekļuvi datiem, rezerves kopijām vai atbildību sadalījumu. Labs audits neapstājas pie saraksta ar trūkumiem. Tas parāda, kas ir jāsakārto vispirms, kas var gaidīt un kur uzņēmums šobrīd pārmaksā.

IT AUDITS UZŅĒMUMIEM: KO TIE PATIESĪBĀ ATKLĀJ

Kas ir IT audits uzņēmuma skatījumā

Praksē IT audits ir strukturēts esošās IT vides izvērtējums. Tajā pārbauda infrastruktūru, sistēmu pārvaldību, drošības kontroli, rezerves kopēšanu, piekļuves tiesības, dokumentāciju, licencēšanu, atjaunošanas spēju un bieži arī sadarbības modeli ar esošajiem pakalpojumu sniedzējiem.

No vadības puses svarīgākais jautājums nav, vai serverim ir pareizi uzlikti ielāpi. Svarīgāk ir tas, vai kritiska sistēma apstāsies, ja saslims viens darbinieks, pazudīs internets, tiks sabojāts fails vai aizies prom ārējais IT partneris. Citiem vārdiem sakot, audits rāda ne tikai tehnisko stāvokli, bet arī uzņēmuma atkarības, ievainojamību un spēju turpināt darbu traucējumu apstākļos.

Te ir būtiska nianse. Ne visi auditi ir vienādi. Vienam uzņēmumam vajadzīgs vispārējs infrastruktūras un drošības audits, citam - due diligence izvērtējums pirms iegādes, bet vēl citam - katastrofu atjaunošanas vai piekļuves pārvaldības audits. Tāpēc labs process sākas nevis ar standarta kontrolsarakstu, bet ar uzņēmuma riska profilu un mērķi.

Kad IT audits ir īpaši pamatots

Daudzos mazos un vidējos uzņēmumos IT vide veidojas pakāpeniski. Viena sistēma tiek ieviesta steidzami, cita - pēc konkrēta klienta prasības, trešā - jo to reiz ieteicis piegādātājs. Pēc dažiem gadiem rodas vide, kas strādā, bet nav līdz galam pārskatāma. Šādos apstākļos audits ir ātrākais veids, kā atgūt kontroli.

Īpaši pamatots audits ir tad, ja uzņēmums aug un plāno atvērt jaunu filiāli, mainīt ERP vai grāmatvedības sistēmu, ieviest hibrīdo darba modeli vai pārcelt daļu pakalpojumu uz mākoni. Tas pats attiecas uz brīžiem, kad notiek īpašnieku maiņa, investīciju piesaiste vai cita uzņēmuma iegāde. Šādās situācijās vadībai vajag nevis vispārīgus apgalvojumus par to, ka viss ir kārtībā, bet pierādāmu ainu par riskiem, tehnisko parādu un nepieciešamajiem ieguldījumiem.

Ir arī mazāk acīmredzami signāli. Piemēram, incidents atkārtojas jau trešo reizi, bet cēlonis joprojām nav skaidrs. Darbinieki sūdzas par lēnām sistēmām, taču nav datu, kas parādītu, vai problēma ir tīklā, serveros vai licenču modelī. Rezerves kopijas it kā darbojas, bet neviens nav testējis atjaunošanu. Šādos gadījumos audits nav formalitāte. Tas ir lēmumu pamats.

Ko labs IT audits pārbauda praksē

Pilnvērtīgs audits vērtē ne tikai iekārtas un programmatūru. Tas pārbauda, kā šie elementi darbojas kopā un cik droši tie tiek pārvaldīti. Bieži vien lielākie riski slēpjas nevis tehnoloģijās pašās par sevi, bet nepilnīgos procesos.

Parasti tiek analizēta tīkla struktūra, serveru un darbstaciju stāvoklis, mākoņpakalpojumu konfigurācija, lietotāju piekļuves tiesības, administratīvo kontu pārvaldība, rezerves kopēšanas politika, uzraudzība, atjauninājumu ieviešana, licenču atbilstība un dokumentācijas kvalitāte. Ja uzņēmumam ir kritiskas biznesa sistēmas, tiek vērtēts arī tas, cik ātri tās var atjaunot un kas notiek, ja kāda komponente kļūst nepieejama.

Svarīgi ir arī tas, ko audits atklāj par atbildībām. Ļoti bieži uzņēmumā nav līdz galam skaidrs, kurš ir atbildīgs par lietotāju izveidi un slēgšanu, kurš pārbauda rezerves kopiju statusu, kur glabājas administratoru paroles un kā tiek pieņemti lēmumi par infrastruktūras izmaiņām. No drošības un nepārtrauktības viedokļa tie ir būtiski jautājumi, pat ja ikdienā tie nešķiet steidzami.

Kādus riskus audits parasti atrod

Biežākais secinājums nav viens dramatisks defekts, bet vairāku nelielu nepilnību kombinācija. Atsevišķi tās izskatās pieļaujamas, taču kopā rada nopietnu ievainojamību. Piemēram, novecojusi ugunsmūra konfigurācija, nepārskatīti administratora konti un nepietiekami testēta atjaunošana var nozīmēt, ka incidents būs gan ticamāks, gan dārgāks.

Auditos regulāri atklājas pārmērīgas piekļuves tiesības, nekonsekventa darbinieku kontu slēgšana pēc aiziešanas no darba, neskaidra atbildība starp iekšējo komandu un ārējo pakalpojumu sniedzēju, nepilnīga aktīvu uzskaite un neatjaunota dokumentācija. Nereti uzņēmums arī pārmaksā par rīkiem vai licencēm, ko neizmanto pilnvērtīgi. Tas ir svarīgs punkts, jo audits nav tikai par riska mazināšanu. Tas var atklāt arī izmaksu optimizācijas iespējas.

Tomēr te jābūt piesardzīgiem. Ne katrs atradums nozīmē, ka viss jāpārbūvē no nulles. Dažkārt lētākais un gudrākais risinājums ir sakārtot piekļuves politiku, ieviest uzraudzību vai pārstrukturēt atjaunošanas procesu, nevis pirkt jaunu infrastruktūru. Vērtība rodas no prioritāšu noteikšanas, nevis no maksimāla uzlabojumu saraksta.

Kāpēc vadībai nepietiek ar tehnisku atskaiti

Ja audits beidzas ar piecdesmit lappušu tehnisku dokumentu, kuru var izlasīt tikai sistēmadministrators, uzņēmums ir ieguvis mazāk, nekā cerējis. Vadībai vajadzīgs skaidrs skats uz biznesa ietekmi. Kuri riski apdraud darbības nepārtrauktību. Kuri trūkumi var ietekmēt klientu apkalpošanu, ieņēmumus vai atbilstību prasībām. Cik izmaksās sakārtošana un ko drīkst atlikt.

Tāpēc kvalitatīvs audits pārvērš tehniskos novērojumus vadības lēmumos. Tas nozīmē saprotamu prioritāšu karti, skaidru kritiskuma līmeni un reālistisku rīcības plānu. Ja uzņēmumam nav sava iekšējā IT vadītāja, šī daļa ir īpaši nozīmīga, jo bez tās audits paliek par atsevišķu dokumentu, nevis pārvaldības instrumentu.

Tieši šeit bieži parādās atšķirība starp tehnisku piegādātāju un stratēģisku IT partneri. Pirmais apraksta problēmas. Otrais palīdz saprast, kā tās ietekmē biznesu un kādā secībā tās risināt. Uzņēmumiem, kuriem nepieciešama ne tikai izpilde, bet arī vadības līmeņa skaidrība, šī atšķirība ir būtiska.

Kā izmantot IT audits rezultātus bez liekas kavēšanās

Pēc audita svarīgākais nav pati atskaite, bet tas, kas notiek nākamajās 90 dienās. Ja nav skaidra īpašnieka katram uzdevumam, termiņu un budžeta ietvara, arī labs audits var palikt mapē. Tāpēc rezultāti jāpārvērš īstenojamā plānā ar trim līmeņiem - steidzamie riski, tuvākā perioda uzlabojumi un stratēģiskās izmaiņas.

Steidzamajā blokā parasti nonāk drošības un nepārtrauktības jautājumi, piemēram, administratīvo piekļuves tiesību sakārtošana, rezerves kopiju pārbaude, kritisko sistēmu uzraudzība vai vienota atbildības modeļa noteikšana. Tālāk seko efektivitātes un pārvaldības uzlabojumi - dokumentācija, licenču optimizācija, infrastruktūras standartizācija un dzīves cikla plānošana. Stratēģiskajā līmenī var ietilpt mākoņa arhitektūras maiņa, DR plāna pilnveide vai ārējā IT vadības modeļa ieviešana.

Šeit svarīga ir disciplīna. Ja uzņēmums cenšas izdarīt visu vienlaikus, rezultāts bieži ir vājš. Daudz labāk ir sakārtot augstas ietekmes jautājumus pareizā secībā. KSK IT savā darbā ar uzņēmumiem visbiežāk redz, ka lielāko ieguvumu dod nevis visdārgākie projekti, bet skaidri pārvaldīti pamati - piekļuves kontrole, atjaunošanas spēja, dokumentācija un atbildības pārredzamība.

IT audits nav vienreizējs pasākums

Uzņēmuma IT vide nemainās reizi trijos gados. Mainās darbinieki, piegādātāji, sistēmas, darba vietas, drošības prasības un biznesa prioritātes. Tāpēc audits jāuztver kā periodisks pārvaldības instruments. Dziļums un biežums var atšķirties, taču princips paliek tas pats - vadībai regulāri jāzina, kādā stāvoklī ir vide, no kuras atkarīga uzņēmuma ikdiena.

Dažiem pietiek ar pilnu auditu noteiktos intervālos un starplaikā ar mērķētiem pārskatiem par rezerves kopijām, drošības kontroli vai infrastruktūras izmaiņām. Citiem, īpaši straujākas izaugsmes vai regulētu prasību apstākļos, nepieciešama ciešāka uzraudzība. Pareizā pieeja ir atkarīga no nozares, sistēmu kritiskuma un iekšējās kompetences līmeņa.

Svarīgākais ir negaidīt līdz pirmajai nopietnajai problēmai. Labs audits nedod tikai sarakstu ar tehniskiem trūkumiem. Tas dod uzņēmuma vadībai skaidrību, kur tā ir pakļauta riskam, kur zaudē efektivitāti un kā nostiprināt IT vidi tā, lai tā atbalsta izaugsmi, nevis kavē to.

Adrese: Raunas iela 44/1, Rīga, Latvija

Ph.: +371 20 724 272

E-mail: info@ksk-it.eu

Lai tīmekļvietne darbotos, tiek izmantotas obligāti nepieciešamās sīkdatnes. Papildus šajā vietnē var izmantot arī statistikas un mārketinga sīkdatnes. Vairāk par tīmekļa vietnē izmantotajām sīkdatnēm Kompānijas sīkdatņu izmantošanas noteikumos un Privātuma politikā.

Nepieciešamās sīkdatnes palīdz nodrošināt pamata vietnes funkcijas, piemēram, drošību, pārvaldību un pieejamību. Vietne nevar pareizi darboties bez šīm sīkdatnēm. Papildus zemāk uzskaitītajām nepieciešamajām sīkdatnēm, vietne var izmantot arī citas sīkdatnes ar līdzīgu nozīmi funkcionalitātes nodrošināšanai. Nepieciešama atļauja, lai izmantotu nepieciešamās sīkdatnes. Lai aktivizētu nepieciešamās sīkdatnes, jūsu piekrišana nav nepieciešama.

Cookie Name	Term	Description
ksk-it.eu nepieciešamās sīkdatnes
cmp_set, cmp_till, cmp_var, cmp_cid	maksimāli 3 gadi	Dažādi iestatījumi saistībā ar jūsu izvēli izmantot sīkdatnes šajā vietnē.
chk	1 minūte	Pagaidu sīkdatne, kas tiek izmantota, lai pārbaudītu, ka jūs neesat robots.
psid / pshash	maksimāli 3 gadi	Identifikatori, lai atpazītu lietotāju, pārejot no vienas lapas uz otru.
sid[oid] / oid	90 minūtes (sesijas laiks)	Identifikators, lai atpazītu pasūtījumu, pārejot no vienas lapas uz otru.
Google reCAPTCHA
recaptcha / rc	30 minūtes (sesijas laiks)	Tās tiek izmantotas, aizpildot noteiktas veidlapas. Tās nodod informāciju uz vietni, norādot, ka veidlapu aizpildījis cilvēks, nevis robots.

Statistiskās vai analītiskās sīkdatnes ļauj saprast, kā apmeklētājs mijiedarbojas ar vietnēm. Iegūtā informācija ir pieejama apkopotā veidā, bez tiešas apmeklētāja identifikācijas. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
Google Analytics
_ga	2 gadi	Šī sīkdatne tiek izmantota, lai unikāli identificētu apmeklētāju, kas ļauj atšķirt vienu lietotāju no otra. Tāpat šī sīkdatne tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku. Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.
_gid	2 gadi	Šī sīkdatne arī tiek izmantota, lai diferencētu lietotājus, taču ar īsāku derīguma laiku.
_gat	1minūte	Šī sīkdatne tiek izmantota, lai ierobežotu pieprasījumu skaitu, kas nosūtīts uz Google Analytics serveriem.

Mārketinga sīkdatnes sniedz iespēju novērtēt Uzņēmuma mārketinga un informācijas kampaņu efektivitāti un izprast, kā apmeklētājs nonāk Uzņēmuma vietnē no reklāmas. Šīs sīkdatnes arī palīdz nodrošināt personalizētu informāciju apmeklētājam. Lai aktivizētu šīs sīkdatnes, nepieciešama jūsu piekrišana.

Cookie Name	Term	Description
META Pixel
_fbp	90 dienas	Šī sīkdatne tiek izmantota, lai identificētu pārlūkprogrammu un sasaistītu lietotāja darbības ar viņa Facebook profilu. Tā palīdz parādīt mērķtiecīgu reklāmu.
_fbc	90 dienas	Ja apmeklētājs nonāk vietnē, izmantojot saiti no Facebook reklāmas, tiek izveidota _fbc sīkdatne, kas saglabā informāciju par atsauci (piemēram, reklāmas kampaņas ID vai klikšķa ID).