Audyt IT

Jeżeli w zakresie Twoich obowiązków zawodowych znajduje się cokolwiek wspólnego z IT, to prędzej czy później będziesz mieć styczność audytem informatycznym.

Możliwe, że będziesz osobą odpowiedzialną za wybór wykonawcy, koordynację prac lub wdrożenie rekomendacji wynikających z audytu.

W tym krótkim wpisie przybliżymy Ci nasz punkt widzenia na realizację audytu IT – praktyczny i wynikający z naszego doświadczenia jako firmy mającej szeroki zakres kompetencji, niezbędny do obsługi firm różnej wielkości, z różnych branż i o różnych potrzebach. Uchylimy też rąbka tajemnicy i na przykładach zrealizowanych już przez nas zleceń pokażemy jak może wyglądać „audyt by Teleaudyt”.

Na dobry początek warto wiedzieć, że audyt audytowi nie równy i zakres wykonywanych prac może się znacząco różnić w zależności od tego z jakim rodzajem audytu mamy do czynienia.

Co do zasady audyty można podzielić na dwa główne rodzaje: audyty proceduralne i audyty techniczne. Audyt proceduralny ma na celu weryfikację zgodności stanu faktycznego z określonymi procedurami, metodologiami lub normami. Audyt techniczny polega na weryfikacji infrastruktury pod kątem wybranych kryteriów, takich jak sprawność, funkcjonalność, podatność na ataki lub inne. Ze względu na naszą specjalizację, Teleaudyt zajmuje się raczej audytami technicznymi.

Potrzeba wykonania audytu jest zwykle elementem większej całości, np. planów modernizacyjnych przedsiębiorstwa lub znaczących zmian w organizacji, konieczności wykazania zgodności w trakcie pozyskiwania kontraktu albo uzyskiwania certyfikacji, obsługi incydentu bezpieczeństwa lub budowania systemów bezpieczeństwa. Każdy z tych przypadków wymaga innego podejścia, innego rodzaju specjalizacji oraz przygotowania. Kompleksowy audyt może być połączeniem audytu proceduralnego i technicznego oraz stanowić kompendium informacji na temat wszelkich zagadnień wchodzących w zakres szeroko pojętego IT w firmie.

W Teleaudyt zrealizowaliśmy już wiele audytów informatycznych, dla wielu różnych klientów, od prostych weryfikacji, realizowanych przez jednego z naszych inżynierów w czasie kilku godzin, aż do kompleksowych zleceń, wymagających dedykowanego kilkuosobowego zespołu. Na przykładzie kilku ze zrealizowanych przez nas zleceń postaramy się pokazać Ci jak wygląda proces uzgodnień przed audytem, w jaki sposób mogą być prowadzone prace, jaki może być sposób podsumowania oraz co może wynikać z audytu.

Prosty audyt konfiguracji usługi (lub urządzenia)

Podstawowy audyt z reguły nie jest skomplikowany. Kiedy jeden z naszych klientów zwrócił się do nas z prośbą o sprawdzenie ustawień jednej z wykorzystywanych usług, zaczęliśmy ustalenia od tego co dokładnie ma zostać zweryfikowane. Okazało się, że chodzi o sprawdzenie konfiguracji zabezpieczeń usługi Microsoft 365. Potrzeba wykonania audytu była spowodowana chęcią potwierdzenia, że dane firmowe oraz konta chmurowe pracowników mają odpowiednią ochronę. W celu uniknięcia konieczności przekazania poza firmę danych logowania do konta administracyjnego ustalono, że audyt zostanie przeprowadzony za pomocą oprogramowania do dostępu zdalnego i połączenia z komputerem administratora usługi. Po ustaleniu wymagań klienta oraz trybu realizacji prac, opiekun handlowy przekazał zlecenie do inżyniera specjalizującego się w usługach Microsoft. Nasz specjalista od wdrożeń Microsoft 365 w wyznaczonym terminie połączył się ze wskazanym komputerem i w ciągu kilku godzin zweryfikował ustawienia zabezpieczeń kont użytkowników, mechanizmów zabezpieczania danych oraz ich udostępniania. W ciągu kilku następnych dni roboczych nasz inżynier, na podstawie nagranej sesji video z prac przygotował raport, w którym opisany został aktualny poziom zabezpieczeń, wykryte błędy

w konfiguracji oraz nasze sugestie dotyczące możliwości zwiększenia poziomu bezpieczeństwa usługi. Raport został omówiony z klientem podczas spotkania online, a następnie przekazany mailowo w bezpiecznej zaszyfrowanej formie, aby informacje dotyczące zagrożeń pozostały do wiadomości tylko upoważnionych osób. Klient był na tyle zadowolony z wyników naszej pracy, że zdecydował się na zakup dodatkowych godzin konsultacyjnych w celu usunięcia wykrytych problemów. W ten sposób, dzięki współpracy z nami klient otrzymał wiedzę na temat stanu zabezpieczeń usługi Microsoft 365 oraz podniósł kompetencje swojego działu IT, który przy współpracy z nami nauczył się w jaki sposób prawidłowo konfigurować zabezpieczenia usług chmurowych Microsoft.

Audyt inwentaryzacyjny

Stosunkowo prosty, chociaż czasem wymagający zaangażowania większego zespołu będzie audyt, który ma na celu inwentaryzację zasobów IT przedsiębiorstwa. Taki rodzaj audytu jest z reguły zamawiany w przypadku przejęcia jednego przedsiębiorstwa przez drugie lub zakupu wyposażonych pomieszczeń biurowo-produkcyjnych. Kiedy jeden z naszych największych klientów kupił inne przedsiębiorstwo, poprosił Teleaudyt o wykonanie pełnej inwentaryzacji sprzętu oraz uruchomionych usług informatycznych. Pracownicy działu IT nowo nabytej spółki otrzymali zadanie asystowania przy audycie, przekazania istniejącej dokumentacji w celu jej weryfikacji oraz udostępnienia pracownikom Teleaudyt wszystkich pomieszczeń (serwerownie, szafki instalacyjne itp.) w których były zainstalowane urządzenia IT. Ze strony naszej firmy do wykonania inwentaryzacji zasobów został wyznaczony kilkuosobowy zespół techników. Po zapoznaniu się z przekazaną dokumentacją kierownik projektu opracował plan audytu, ustalając jednocześnie harmonogram wizyt we wszystkich oddziałach audytowanej firmy. Podczas każdej z wizyt wykonywane były spis z natury oraz dokumentacja fotograficzna. Wizyty w oddziałach firmy oraz prace lokalne zostały zaplanowane na dwa tygodnie, a w ciągu kolejnych dwóch tygodni nasz zespół przygotował podsumowanie zebranych informacji wraz z rekomendacjami. Najważniejszą częścią przygotowanej dokumentacji było pełne zestawienie posiadanego sprzętu wraz z podstawową specyfikacją techniczną, informacją o statusie gwarancji lub wsparcia technicznego producenta oraz wskazanie czy sprzęt nadaje się do dalszej eksploatacji. Dodatkowym zaleceniem dla klienta było wdrożenie systemu paszportyzacji, wynikające z dużej ilości urządzeń (komputerów, serwerów, drukarek itp.) posiadanych przez firmę. Uznaliśmy, że tylko zautomatyzowanie procesu aktualizacji danych pozwoli klientowi na zoptymalizowanie czasu pracy poświęcanego przez dział IT na obsługę inwentaryzacji oraz umożliwi utrzymywanie aktualnej wiedzy na temat ilości i rodzaju posiadanych urządzeń. Dzięki audytowi zrealizowanemu przez Teleaudyt klient uzyskał wiedzę dotyczącą dokładnej ilości i jakości posiadanego sprzętu. Krótko potem ten sam klient zlecił nam realizację dodatkowych prac w formie audytu sprawności infrastruktury, dzięki czemu mógł zaplanować i zabudżetować inwestycje w infrastrukturę informatyczną na najbliższe lata.

Analiza sprawności infrastruktury i działu IT

Zdecydowanie większe wymagania, tak przed zespołem audytującym, jak i przed Zamawiającym stawia audyt, który ma na celu ocenę konfiguracji zasobów IT przedsiębiorstwa oraz określenie ich sprawności w realizowaniu wyznaczonych zadań. Z reguły weryfikuje się w ten sposób serwery (fizyczne i/lub wirtualne) oraz urządzenia sieciowe (routery, zarządzalne przełączniki, punkty dostępowe WiFi). Tego typu audyt przeprowadzaliśmy u klienta, który wcześniej zlecił nam audyt inwentaryzacyjny, a po nim chciał uzyskać niezależną opinię na temat tego, jak szerokiej modernizacji wymaga infrastruktura informatyczna przedsiębiorstwa oraz czy zakupy proponowane przez wewnętrzny dział IT dadzą oczekiwany efekt. Po zakończeniu uzgodnień dotyczących zakresu prac i zapoznaniu się z dokumentacją systemów zasobów IT przedsiębiorstwa przygotowaliśmy plan audytu. Ze względu na różnorodność technologii wykorzystywanych przez klienta zespół wyznaczony do realizacji prac składał się z osób o różnorodnych kompetencjach – dwóch techników wsparcia informatycznego pierwszej linii, inżyniera sieciowego, administratora serwerów oraz specjalisty systemów kontroli dostępu. Pomimo tego, że

moglibyśmy całość prac wykonać zdalnie z naszego biura, to względy bezpieczeństwa zadecydowały o tym, że część dotyczącą systemów krytycznych dla funkcjonowania przedsiębiorstwa wykonaliśmy lokalnie w siedzibie klienta. Dla każdego weryfikowanego urządzenia sprawdzaliśmy m.in. czas działania (tzw. uptime), aktualność oprogramowania, poprawność konfiguracji (zgodnie z naszymi standardami) oraz dostępność spoza sieci lokalnej. Dodatkowo została też wykonana weryfikacja pokrycia terenu przedsiębiorstwa systemem monitoringu i kontroli dostępu. Po przygotowaniu podsumowania zebranych informacji, zespół audytujący przygotował kilkudziesięciostronicowy raport, który następnie został przedstawiony przez nas na posiedzeniu zarządu przedsiębiorstwa. Na podstawie zaleceń Teleaudyt klient zdecydował się na zwiększenie ilości stanowisk w wewnętrznym dziale IT oraz zabezpieczył w budżecie środki na modernizację części sprzętu.

Audyt związany z przejęciem obsługi IT firmy

Z racji tego, że specjalizujemy się w obsłudze informatycznej firm, ten rodzaj audytu wykonujemy najczęściej. W zasadzie jest on połączeniem wszystkich rodzajów audytów i stanowi bazę do zaplanowania naszej współpracy z nowym klientem. Audyt przy przejęciu obsługi IT polega na:

zinwentaryzowaniu zasobów lub sprawdzeniu zgodności dokumentacji ze stanem faktycznym
sprawdzeniu konfiguracji urządzeń pod kątem zgodności z wewnętrznymi standardami Teleaudyt
kontrolę zabezpieczeń przed niepowołanym dostępem
ocenę sprawności systemów kopii zapasowych
weryfikację wewnętrznych procedur klienta dotyczących on- i off-boardingu pracowników

Po wykonaniu takiego audytu i podsumowaniu jego wyników, uzgadniamy z klientem dokładne zasady współpracy, harmonogram równania do przyjętych w Teleaudyt standardów oraz ewentualnych inwestycji, proponujemy (jeśli jest to zasadne) zmiany w procedurach wewnętrznych. Po obopólnym zaakceptowaniu ustaleń opiekun handlowy klienta przekazuje całość ustaleń do naszego działu technicznego, który wprowadza do wewnętrznych systemów wszystkie zebrane informacje i w wyznaczonym dniu przejmuje bieżącą obsługę informatyczną przedsiębiorstwa klienta.

Opisane wyżej przykłady audytów na pewno nie wyczerpują całego zakresu możliwych scenariuszy, prezentują jednak podstawowe, uniwersalne zasady:

Decyzja o wykonaniu audytu wynika z konkretnej potrzeby biznesowej – np. konieczności inwentaryzacji zasobów, potrzeby weryfikacji sprawności lub zgodności z normami, oceny gospodarności wydatkowej w zakresie IT, obsługi incydentu bezpieczeństwa, nawiązania współpracy z firmą świadczącą obsługę IT.
Wybrana firma audytująca powinna gwarantować swoimi kompetencjami i doświadczeniem nie tylko wykonanie podstawowego zakresu prac, ale też możliwość jego rozszerzenia w razie potrzeby.
Audyt musi zostać przeprowadzony z zachowaniem pełnej dbałości o bezpieczeństwo informacji pozyskanych w trakcie jego realizacji
Podsumowanie audytu musi zawierać wszystkie zebrane przez zespół audytujący informacje, uporządkowane względem zagadnień których dotyczą. Przedstawione dane powinny zostać opatrzone dodatkowym komentarzem pozwalający na zrozumienie zagadnienia, również przez osobę nie będącą specjalistą w danej dziedzinie (bo np. członek zarządu nie musi być informatykiem). W końcowej części podsumowania powinny się znaleźć rekomendacje zespołu audytującego wraz ze wskazaniem realnych możliwości usunięcia problemów, szczególnie tych o krytycznym znaczeniu.