`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юлия Бернацкая

Аудит. Что предлагает рынок?

–59
голосов

Есть такая услуга на рынке Украины – аудит информационной структуры.

В понятие «аудит» каждая компания вкладывает свой смысл и видение самого процесса. Самый простой вариант аудита – это когда приходит «специалист» и с помощью подручных средств (например, программы Еверест) снимает информацию об используемой технике и программном обеспечении.

Такой вид аудита очень распространен и как правило используется аутсорсерами (юридическими или физическими лицами, занимающимися поддержкой ит-структуры компаний малого бизнеса, насчитывающей в среднем от 5 до 20 компьютеров). Чаще всего такой аудит проводится бесплатно (да и грех за такое деньги брать), в счет будущего контракта на постоянное обслуживание, и особой смысловой и информационной нагрузки не несет.

Есть вариант, когда аудит проводится в основном на аппаратном уровне, т.е. тестируется используемое оборудование на физическую исправность. Он не дорогой, но платный.  Этот вид аудита актуален в основном для компаний, у которых старый парк машин. Хотя ничего нового такое тестирование для клиента не покажет, о том, что компьютеры скоро придется  заменять он и сам догадывается.

Для чего же тогда аудит? И кому он нужен?

Я предлагаю рассмотреть компании среднего бизнеса. У них, как правило, ит-инфраструктура существует давно, и развитие её очень зависит от многочисленных факторов: от планомерности или хаотичности развития, от настроения и умения обслуживающего её персонала, от финансовых вливаний компании, от правильности используемых инструментов. И на каком-то этапе её развития, уже никто точно не может сказать в каком она состоянии, что с ней делать и как дальше поддерживать и развивать. В данной ситуации имеет смысл обратиться к сторонним экспертам. Взгляд со стороны, не за ангажированный внутренними проблемами, поможет реально оценить состояние ит-системы, определить её уровень зрелости, увидеть недостатки в развитии, структурировать знания о ней. Тут необходимо проводить комплексный проект по аудиту текущего состояния инфраструктуры с выработкой последующих рекомендацій.

Что должен включать в себя аудит в этой ситуации?

Типовые этапы проекта:

● Сбор информации о текущем состоянии сети

● Логическая топология сети (включая филиалы)

● Физическая топология сети

● Текущие почтовые службы

● Службы брандмауэров

● Безопасность

● Резервное копирование и восстановление после сбоев серверов

● Службы каталогов

● Мониторинг серверов

● Антивирусная защита

● Рабочие станции

● Бизнес процессы (базовое описание)

Такой подход позволяет определить, где ИТ-составляющая  компании находится сейчас, и предложить набор рекомендаций и практических действий по повышению её  унификации и управляемости.

Затраченные на это усилия и ресурсы, должны оплачиваться. Данный проект ни как бесплатным быть не может, более того - это плата за исключение ошибок, медлительной и невнятной работы персонала, экономии бюджета на будущее развитие.

–59
голосов

Напечатать Отправить другу

Читайте также

Статья практика или теоретика?
Я к чему спрашиваю - интересует мнение практика на вопрос - не боятся ли Клиенты допускать посторонних в недра своей информационной системы?

Во-первых, не бояться. Во-вторых, перед проведением аудита заключаеться "договор о конфиденциальности"

Боятся (во всех смыслах, начиная от синтаксического)

+5!

кто понимает неизбежное - тот не дёргается понапрасну...

Очень интересная и нужная тема для обсуждения, но мне кажется требующая небольшого уточнения во избежание манипуляций терминами.
Процесс Аудита (и не важно в какой сфере он производится) – это процесс проверки соответствия состояния «чего-то» «чему-то». Таким образом, если необходимо решать задачу, например, «Соответствует ли установленное ПО перечню разрешенного», то процесс такой проверки ограничится использованием инструментами инвентаризации ПО.
Если необходим аудит на соответствие требований PCI DSS, то, безусловно, будут использованы и другие и методики, и инструменты.
Ну, а если нужно определить соответствие системs управления ИТ бизнес целям организации, то здесь без COBIT не обойтись.
О каком Аудите интересно пообщаться?

Речь в данном случае идет о том, что бы показать клиенты «картинку» его ит-структуры. Это как обследование у врача: «Доктор, что со мной?». Только после обследования можно говорить, что именно с «пациентом», каковы его шансы и что ему нужно ещё сделать. Когда в компанию приходит новый финансовый директор, первое, что он делает – это проводит финансовый аудит. Это давно устоявшаяся практика. Но когда в компанию приходит новый ит-директор, вопрос аудита почему-то не возникает. А должен.

100% - вопрос возникать должен и возникает…
Вот только, как он звучит? Здесь действительно важна формулировка задачи аудита. Ведь аудит должен установить соответствие чему-то документированному. А в нашем среднем (тем более в малом) бизнесе в сфере ИТ мало, что документировано. Вот и предлагается, в первую очередь, инвентаризация.
Инвентаризация - это «нулевой цикл», это действительно то, что позволит нарисовать «картинку».
А как можно провести «аудит СУИБ» если СУИБа нет? Если отсутствуют выписанные «Политики…»?..
По итогам инвентаризации должна строиться «система», документироваться процессы и через установленный отрезок времени можно проводить аудит данной системы.
Другими словами, даже заказывая инвентаризацию нужно понимать, что инвентаризировать (в одном случае, это будет «картинка» с цифрами штрафов/сроков за неправомерное использование ПО, в другом случае это будет «картинка» о уязвимостях беспроводной части сетевой инфраструктуры и т.д.)
Финансистам проще, в основном все документировано: планы счетов, правила учета, законодательство и т. п. Аудит, то и пришел со стороны финансов.

Проверка соответствию стандартам (любым, хоть корпоративным, хоть мировым), прописание политик безопасности, документирование бизнес-процессов компании - это уже часть работы консалтинга. Аудит информационной системы - это изучение ситуации на данный момент, и одной инвентаризацией тут не обойдешься.

Есть вариант, когда аудит проводиться в основном на аппаратном уровне

- не хочу показаться занудой, но либо буква лишняя, либо пропущено слово. Не хотелось бы, чтобы случайные орфографические ошибки стали для кого-то поводом думать, что именно так писать правильно.

Исправьте пожалуйста!

Игорь, Вы об этом слове говорите: http://slovari.yandex.ru/dict/dal/article/dal/03000/43400.htm ???

Нет, о другом

Думаю, Игорь говорит о том, что слова "бояться", "заключаеться" и "проводиться" в контексте Ваших реплик пишутся без мягкого знака.

-----

Во-первых, не бояться. Во-вторых, перед проведением аудита заключаеться "договор о конфиденциальности"

Есть вариант, когда аудит проводиться в основном на аппаратном уровне

Чуваки, хорош стебатЬся над деффко :-)
А то, я валялсо пацтулом ацмеха!

кто понимает неизбежное - тот не дёргается понапрасну...

Юлия, как Вы думаете, по каким критериям компания должна выбирать подрядчика на такие работы?

Критерии? Алексей, я думаю, что это не вопрос, а целая тема для обсуждения. Лично у меня, однозначного ответа нет. У Вас есть предложения?

Как по мне - предложение - раскрыть тему :)
Хоть здесь, хоть в отдельной теме.

IMHO:
Критерии будут различны у компаний разного уровня.
1)
Для малого предприятия - основным фактором будет стоимость.
Для зрелой компании - достоверность данных и авторитет аудитора.

2)
Объем аудита/инвентаризации (это уж как договоримся).
Для малого бизнеса важно навести ХОТЬ минимальный порядок. Что б руководитель осознал, что же у него на текущий момент творится.
Для крупного бизнеса - важно сверить, найти и устранить слабые места, выработать методику позволяющую в дальнейшем держать ит-инфраструктуру под контролем.

Т.е. критерии во многом будут зависеть от того сколько руководитель фирмы готов выделить финансов.

Ну это так, для затравки :)

Предлагаю, не рассматривать малый и мелкий бизнес – там действительно всё упирается в две вещи: необходимость инвентаризации, а не аудита и кол-во денег, которые готовы на это выделить.
А вот средние и крупные компании, действительно представляют профессиональный интерес.
С целями аудита - согласна. А вот что делать с требованиями?
«Авторитет аудитора» . Что он включает? Предлагаю конкретизировать и рассмотреть варианты:
- наличие опыта по построению ит-инфраструктуры, по размерам и задачам, схожими с требованиями клиента (если сам не умеешь строить, то и грамотный аудит провести будет затруднительно)
- подтверждение компетенции (сертификаты специалистов, статус от вендора и т.д.)
- отзывы заказчиков
- репутация на рынке (спорное, т.к. всем мил не будешь, но не учитывать тоже нельзя)
«Достоверность данных». Однозначно, данные предоставленные внутренней ит-службой и внешним аудитором, будут отличаться. И тут я делаю ставку на внешнего аудитора. Но чем можно гарантировать заказчику достоверность предоставленных данных?

Статья ориентирована для кого, для железячников или топ-менеджмента? Если для вторых, то следовало бы точно формулировать: не аудит информационной структуры, а аудит аппаратного обеспечения информационной структуры. Потому что любой топ-менеджер под информационной структурой понимает именно последний, скромно упомянутый пункт Бизнес процессы (базовое описание) :)

В том-то и проблема, что под аудитом чаще всего подразумевают аудит аппаратно-программного комплекса (инвентаризацию). Это не правильно. Сам процесс аудита должен быть более глубоким и комплексным. Без понимания критических для клиента бизнес-процессов, без анализа проблем работы инфраструктуры в целом, нельзя показать клиенту в каком состоянии развития находиться его ит-составляющая на данный момент. Потому и говориться о базовом анализе бизнес-процессов. Делать глубокий анализ бизнес процессов (с описанием, анкетированием и пр.) рационально только в том случае, если вы планируете внедрять системы класса ERP. Но это уже совсем другая песня…

юля, нихачю вас абидить, но мяхкий знак очинь лихко правиряецца - к глаголу ставицца вапрос "что делает?" или "что делать?", после пастановки этаво вапроса праводицца аудит и па наличию мяхкаво знака в вапросе принимаецца ришение - ставить иво или нет в самом глаголе :)))))

паэтаму слово "находиться" может писацца в адном слючайе з мнякым знаком, а в другом без ниво. я уже малчу пра "говориться" :)))

вы жэ иво, мяхкий знак тоисть, ригулярно тулите куда надо и куда нинадо. забадяжыть бы вам нимишало аудит граматики перед аудитом итинфраструктур....

вы жэ иво, мяхкий знак тоисть, ригулярно тулите куда надо и куда нинадо. забадяжыть бы вам нимишало аудит граматики перед аудитом итинфраструктур....

Вмемориз!
Я просто ржунимагу, аффтару риспект!

кто понимает неизбежное - тот не дёргается понапрасну...

Тема "что предлагает рынок" не раскрыта. Не раскрыто ни про рынок и его состояние, ни про то, что там предлагается. Написано лишь, что должен включать в себя аудит, и что за это надо платить. Продолжите?

Аудит - это конечно красиво звучит. Но важно определить цели для которых это делается. Я, например, не вижу целей такого аудита, за который платятся немалые деньги, на эти же средства можно купить ноутбуки для новых рабочих мест. А кто даст какие либо гарантии, что потраченные деньги на аудит дадут такой же полезный результат?

Да это - наверное, вступление или одна из глав курсовой работы Юлии. Она, наверное, на манагера учится, на 2 или 3-м курсе.

кто понимает неизбежное - тот не дёргается понапрасну...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT