IT-аудит: какие задачи решает и как понять, что он нужен

На примере аудита от Orbitsoft

IT-аудит: какие задачи решает и как понять, что он нужен

«Мы хотим масштабировать систему. Но если это сделаем, затраты на оборудование вырастут в разы» — пример запроса, с которого может начаться аудит в айти-сфере. Рассказываем, зачем нужен аудит и на что обратить внимание, если будете заказывать.

Что такое IT-аудит

ИТ аудит — инструмент, который помогает найти слабые места в системе и понять, что и как изменить для лучшей работы. На практике это значит, что эксперты анализируют состояние программ, продуктов приложений — все, что нужно, и по итогам готовят отчет со своими рекомендациями. Это такой чекап, как делают врачи.

Что именно исследовать и для каких целей, решает заказчик. Например, может поручить проанализировать работу все системы или только одного решения. На что именно проверять, тоже решает заказчик. Строгих правил нет.

Пример запроса, с которым к Orbitsoft обратился клиент. Если нужен аудит, необязательно так подробно расписывать, можно просто уточнить — что именно смущает и вызывает вопросы

Когда стоит обратиться за аудитом

Универсального совета, когда компании стоит проводить, аудит — нет. Этот как со здоровьем — каждый решает сам. По нашему опыту, чаще за экспертизой обращаются в таких случаях:

  • есть явная проблема;
  • неясно стоит ли вкладывать деньги;
  • хочется проверить — точно ли бизнес использует лучшие решения;
  • планируется миграция или другое изменение.

Есть явная проблема, но непонятно, где именно и как лучше исправить. Например, развитие системы и запуск новых функций занимает слишком много времени или требует больше ресурсов, чем потенциальный экономический эффект.

Неясно стоит ли вкладывать деньги или можно как-то переиспользовать готовые ресурсы. Допустим, компания использует шесть серверов, но не на полную мощность, а так, чтобы оставался запас на случай пиковой нагрузки.

Объем задач, которые должна обрабатывать система, увеличивается и нужны дополнительные мощности. Встает вопрос: стоит ли увеличить нагрузку на серверы и рискнуть возможным пиком или безопаснее доплатить за новые сервисы.

Аудит помогает найти решение. Вполне возможно, получится высвободить мощности у работающих сервисом за счет других технологий. Например, перейти на язык Go.

Есть задача — проверить, точно ли бизнес использует лучшие решения и получает максимум благодаря им. Допустим, есть задача работать с определенными устройствами, а пока не получается. И нужно понять, в чем может быть проблема.

Планируется миграция или другое изменение, например, обновление, масштабирование. Чтобы не потерять деньги не застопорить процесс, хорошо заранее понять, что как менять, что учесть и так далее.

Например, база данных, которую использует компания, больше не поддерживается и не развивается, поэтому придется использовать другое решение. Или перейти на другую кодовую базу: написано на одном языке, а тот устарел.

Совет Orbitsoft: когда пригодится аудит

  • Владелец планирует продавать бизнес, одна из составляющих — IT-система
  • Компания готовится к выходу на биржу
  • Есть задача — оценить максимальный эффект от работы системы: какой компания получает сейчас и потенциал при изменениях

Какие задачи может решить аудит

Аудит может закрыть два направления. Одно связано с решением проблем, второе — оценка предложений, планов, в общем все, что связано с будущим.

Примеры задач для IT-аудита

Проблемы и риски Оценка решений и планов
Масштабирование План миграции инфраструктуры в облако
Дорогое развитие и поддержка системыМодернизация парка устаревшего оборудования
Система не приносит ожидаемых доходовПередача части процессов по поддержке и обслуживанию инфраструктуры на аутсорсинг

Что можно проверить в рамках аудита

Объекты проверки для аудита зависят от заказчика. Например, если он готов дать доступ к системам хранения, эксперты смогут ее проверить. Если нет, то поверхностно или совсем не смогут.

Примеры: что можно изучить в рамках аудита

Вычислительная инфраструктура Телекоммуникационная инфраструктура Инженерные системы
СерверыКорпоративная сеть передачи данныхБазовые инфраструктурные сервисы
Системы хранения данных и сеть хранения данныхЛокальная вычислительная сетьИнформационная безопасность
Система резервного копированияВидео-связь
Система архивированияТелефония
Система виртуализации

Как проходит аудит

Аудит может быть в двух форматах — удаленный или очный. Если задача проверить системы, эксперты обычно подключается онлайн. В этом случае нет необходимости выделять место, оформлять пропуск, если он нужен — понадобится только доступ к системам. Очный аудит проводят редко.

Вне зависимости от формата аудит проходит через одни и те же этапы. Вот, как его делает команда OrbitSoft.

Общая схема аудита от OrbitSoft

  • Обсуждение и согласование условий
    • Какую проблему решаем
    • Цели и задачи аудита
    • Что именно изучает эксперт
    • По каким критериям планирует оценивать
    • Какие доступы понадобятся и как их оформить
    • Нужны ли рекомендации по итогам анализа
    • Пожелания к отчету
  • Исследование
    • Интервью с командой заказчика: IT-специалисты, их внутренние клиенты — сотрудники, которые участвует в работе и кто использует IT-решения
    • Изучение практик и решений, которые связаны с темой аудита
  • Анализ систем
  • Сдача проекта
    • Подготовка отчета
    • Сбор рекомендаций
    • Обсуждение итогов и рекомендаций с заказчиком

Что компания получает по итогам аудита

По ито­гам ауди­та у компании будет подробный отчет и рекомендации, что делать, как и когда. Вид и формат отчета может быть стандартным для всех компаний или создаваться под конкретный бизнес и задачи.

Отрывок из отчета Orbitsoft по итогам анализа рекламных решений

Кроме итого аудитов эксперты готовят рекомендации и помогают запустить изменения. Например, команда Orbitsoft может составить план устранения уязвимостей, помочь с программной реализацией или разработать нужные алгоритмы.

Что может быть в отчетеПримеры
Архитектура Список ошибок

Перечень, где элементы не дотягивают до современных решений
Отказоустойчивость Критерии пиковой нагрузки для

Определение момента, когда система откажет

Какие поломки выведут из строя
перечень некорректных программных настроек
ПроизводительностьСтатистика по загрузке

Параметр утилизации системных ресурсов.

Степень перегруженности

Дефицит мощностей
Актуальность ПО Версии микрокодов, системного ПО и так далее

Ресурсы для поддержки

Соответствие лучшим решениям на рынке

Мониторинг Объем покрытия системам мониторинга

Перечень метрик для анализа

Сопоставление собираемых метрик и теми, что еще нужно собирать

Качество наблюдения за реагированием на сбои
Эксплуатация Условия эксплуатации и насколько они соответствуют нормам

Физический и моральный износ

Гарантии

Примеры из проектов по аудиту Orbitsoft

Недостаточная производительность системы

  • 01
    Клиент

    Рекламное агентство из Берлина, работает на европейском рынке

  • 02
    Проблемы
    • Масштабируемость системы стоит колоссального бюджета
    • Система не работает на полную мощность
  • 03
    Результат

    Нашли проблемы в процессе обработки статистики и показа рекламы

    Выявили узкие места в обработке запросов, которые долго выполнялись и приводили к утечки памяти

    Предложили алгоритмы и готовые библиотеки для решения проблем

Уязвимость платформы

  • 01
    Клиент

    Владелец российского сервиса

  • 02
    Задача

    Владелец планировал продавать бизнес.

    Потенциальные покупатели попросили показать результаты аудита безопасности IT-платформы, на которой работает сервис.

    Отчет должен быть от независимого эксперта

  • 03
    Результат

    Обнаружили уязвимость системы и предложили решения, как устранить

    Предоставили итоги нагрузочного тестирования и отчет о проверки отказоустойчивости системы

В чем бы вы ни нуждались, мы можем помочь!

Расскажите нам, с какими проблемами вы сталкиваетесь в своем бизнесе. Мы с нетерпением ждем вашего ответа.

Получите ответ по смс

Ваше сообщение успешно отправлено!
Представьтесь пожалуйста
Укажите номер, на который придет ответ
Нажимая на кнопку, вы даете согласие
на обработку персональных данных.