ИТ-аудит как необходимая составляющая бизнеса

15 октябрь, 2013 - 15:10Дмитрий Жуковский

С годами объемы ПО, используемого в современных компаниях, растут — появляются новые версии операционных систем и приложений. Если к этому добавить "текучку" ИT-персонала, то становится понятно, что в случае консолидации данных оценка ресурса необходимого оборудования — вопрос крайне непростой.

Вполне очевидно, что проблема решается проведением компетентного ИТ-аудита. Именно он позволяет решить широкий спектр вопросов: от выявления неисправностей компьютерной техники до устранения ее нерационального использования. Кроме того, с его помощью можно обнаружить и ликвидировать причины, влияющие на уязвимость инфраструктуры, низкую эффективность работы аппаратного комплекса и недостаточную защиту сети, скорректировать настройки программного обеспечения. Все это жизненно важно для предприятий, деятельность которых напрямую зависит от отказоустойчивости компьютерной техники. Я уже не говорю о том, что необходимо контролировать соответствие техники современным требованиям и задачам бизнеса.

Буквально пару примеров.

Совсем недавно нашей компанией был завершен проект для оператора экспресс-перевозок. Количество как физических, так и виртуальных серверов в инфраструктуре заказчика составляло несколько сотен. Предполагалось, что уязвимым местом в инфраструктуре является производительность процессоров. Но после аудита полученные результаты показались, мягко говоря, просто невероятными — процессоры 90% серверов были нагружены лишь на 10%, а вот уязвимым местом оказалась оперативная память.

И хотя большинство завершённых проектов компании Инком можно отнести к банковскому сектору и сфере телекоммуникаций, мы также анализируем особенности проектов и для других направлений. Например, заказчик использует базу данных и столкнулся с проблемой низкой производительности дисковой подсистемы, которая представлена системой хранения начального уровня. Решение проблемы, на первый взгляд, возможно за счёт закупки дополнительных накопителей (SATA, SAS или SSD) или новой полки расширения. Но проведенный аудит показывает целый ряд недостатков: неоптимальное распределение кэш-памяти рейд-контроллеров системы хранения по параметрам чтения и записи, не лучший выбор рейд группы, неверное распределение оперативной памяти под экземпляр базы данных в серверах и другие. Ряд проблем может быть решнн благодаря тюнингу базы данных. В конечном счете, нередко закупку нового оборудования удается избежать.

Очевидно, что услуги аудита серверной инфраструктуры должны базироваться на независимых экспертных заключениях эффективности работы этой самой инфраструктуры с учётом максимального использования существующего оборудования, а также анализа текущих проблем и рисков. Увы во многих компаниях такие вопросы, как покупка нового оборудования, установка системы управления организацией, внедрение новых продуктов и многие другие решаются без учета полной картины происходящего. И уж представьте, что происходит, когда все это делается неквалифицированными сотрудниками, которые имеют неверное представление о своей системе. Да, аудит можно проводить силами штатного персонала, но ценность внешнего аудита, проведенного сторонней организацией, заключается в отсутствии прямой заинтересованности в его результатах, исходя из этого, объективность выводов будет выше.

Ныне существует вполне эффективная практика организации ИТ-аудита. Она базируется на принципах разделения работ на последовательные этапы, каждый из которых может рассматриваться как отдельный проект, с отдельным планированием работ, ресурсов, фазой оценки и управления рисками. В целом, таких этапов минимум три: постановка задачи и уточнение рабочих границ, сбор данных, анализ данных и оформление результатов. Такой подход позволяет минимизировать риски заказчика и сделать результат работ прозрачным. По окончанию каждого этапа подводятся предварительные итоги и анализируются риски начала следующего этапа. Перед началом работ оговариваются все детали предстоящего проекта. Например, указывается, какое количество людей будет задействовано в проекте, специализации инженеров, реальное затрачиваемое время на работы, зоны ответственности, требования к рабочему месту и другие. Заказчику следует обратить особое внимание на определенные ньюансы. К примеру, при необходимости доступа к информации, которая считается конфиденциальной, должно быть разработано особое соглашение о конфиденциальности и организовано взаимодействие со службой безопасности заказчика.

Крайне важно, чтобы работы по выполнению аудита не повлияли негативным образом на действующие ИТ-сервисы и были учтены сильные стороны существующих решений с сохранением уже сделанных инвестиций в ИТ-инфраструктуру заказчика. Чаще всего задача при проектировании решений выполняется исходя из опыта интегратора в подобных проектах. Считается, чем больше опыт, тем более точным будет конечный результат.

Подводя итог, стоит подчеркнуть, что проведение аудита в разы уменьшает риски для бизнеса уже на самых ранних этапах проекта, и чаще всего позволяет построить действительно то, что необходимо бизнесу именно в данный момент.