Profilaktyka w IT, czyli audyt informatyczny

Jeszcze kilka lat temu wyglądało tu zupełnie inaczej, w znacznej większości polskich przedsiębiorstw to, co nazywamy środowiskiem IT, rozwijało się wraz z firmą w miarę pojawiających i zwiększających się potrzeb. W wielu przypadkach pośpiech, nawał pracy i naglące terminy sprawiały, że dbanie o dokumentację środowiska informatycznego schodziło na dalszy plan i opierało się jedynie na pamięci pracowników. Dziś problemy pojawiające się w firmach, na przykład z wydajnością, powodują konieczność podjęcia natychmiastowych kroków. Powstaje wtedy pytanie – co i gdzie poprawić?

Działanie, które może przynieść odpowiedź na tak zadane pytanie lub pomóc w diagnozie, to właśnie audyt IT – dogłębny i przeprowadzony w wielu dokładnie wybranych i przemyślanych obszarach. Sytuacją idealną byłoby, gdyby audyt IT przeprowadzany był profilaktycznie, jednakże doświadczenia i praktyka pokazują, że duża liczba firm nadal decyduje się na niego dopiero wtedy, gdy coś przestaje odpowiednio funkcjonować. Mniejszym problemem jest choćby wolniejsze działanie głównych systemów informatycznych, większym – sytuacja, gdy sieć na różnych etapach rozwoju nie zostaje prawidłowo zabezpieczona, co skutkuje tym, że niepowołane osoby są w stanie przekierować cały ruch naszej sieci przez swój komputer wyposażony w kartę wifi. Takie przypadki niestety nie są odosobnione.

Nie tylko nieprawidłowości

Słowo audyt brzmi pejoratywnie i z założenia budzi raczej niepokój. Słysząc audyt, myślimy o kontroli, rewizji czy sprawdzeniu, spodziewamy się wykrycia nieprawidłowości. To dość zachowawcze myślenie, zbieżne z potocznie panującym przekonaniem, że nie należy wykonywać badań profilaktycznych, bo można zdiagnozować przy okazji jakąś chorobę.

Powinniśmy przekonać się do audytu IT, ponieważ prawidłowo wykonany nie jest krytyką, a rzetelnym porównaniem stanu faktycznego z wymaganym lub przyjętym standardem. Jego wyniki mogą znacząco wpłynąć na pracę przedsiębiorstwa, ponieważ jednym z efektów może być pokazanie, w jaki sposób najskuteczniej wykorzystać posiadaną infrastrukturę IT lub jak czasem niewielkimi zmianami poprawić jej efektywność. Nie musi to oznaczać od razu gigantycznych kosztów (a to dość częsta obawa, w większości przypadków nieuzasadniona). Doświadczenia wskazują na to, że dobrze wykonany audyt i wnioski z niego płynące mogą w znaczący sposób wpłynąć na zadowolenie z IT nawet jedynie dzięki niewielkim zmianom wprowadzonym przez firmę.

Wartość dodana

Audyt informatyczny powinien być zatem postrzegany jako pierwszy krok ku zapewnieniu bezpieczeństwa i spokojnej pracy. Ich gwarantem jest profilaktyczne wykrycie ewentualnych zagrożeń, wskazanie możliwości ich uniknięcia lub zmniejszenia do minimum ich skutków w firmie.

Dodatkowym benefitem wypływającym z audytu może być też dokładne określenie potrzeb informatycznych związanych z działalności firmy. Aby je zdefiniować, audytorzy rozmawiają z zarządem i kluczowymi przedstawicielami biznesu, którzy na co dzień są klientami IT, poznają ich zadania i oczekiwania. Obserwują również dokładnie procesy zachodzące w przedsiębiorstwie, co pozwala im podpowiedzieć, jakich aplikacji, sprzętu czy mocy obliczeniowych potrzebuje firma, aby bez problemów realizować swoje zadania i – przede wszystkim – się rozwijać. Wszystkie te wnioski audytor porównuje z możliwościami infrastruktury i stopniem jej wykorzystania w badanej firmie, następnie wskazuje, w jakim kierunku należy działać, żeby zmienić lub rozwinąć IT. Takie podejście przekłada się na zmniejszenie nakładów inwestycyjnych firmy na infrastrukturę IT i tym samym daje konkretne oszczędności.

Audyt IT w strategii firmy

Audyt IT powinien stać się więc jedną z części składowych strategii firm. Dlaczego? Bo jego wynik może wpłynąć na strategiczne decyzje zarządu. Szczególnie w zakresie koniecznego rozwoju IT, które powinno nadążać za potrzebami biznesu, a nawet je wyprzedzać. Wszyscy, którzy mają co do tego wątpliwości, powinni przypomnieć sobie, jak wygląda proces decyzyjny w ich prywatnym życiu. Przecież przed podjęciem każdej ważnej decyzji staramy się poznać wszystkie szczegóły i okoliczności, jakie mogą mieć wpływ na jej podjęcie. Dlaczego więc nie zrobić tego samego w odniesieniu do firmy, którą zarządzamy lub której jesteśmy właścicielem?

Audytować samego siebie czy raczej nie

Na szczęście obecnie coraz więcej firm decyduje się na audyty IT, w tym część z nich robi je regularnie i profilaktycznie, zatrudniając do ich przeprowadzenia firmy z zewnątrz. Jest to bardzo racjonalna decyzja, ponieważ tylko osoby spoza firmy mogą wykonać taką pracę „na chłodno”, a bogate doświadczenie pozwala im łatwo porównać stan obecny z tym wzorcowym. W tym kontekście efektywność wewnętrznych audytów, prowadzonych przez pracowników IT, jest niewystarczająca.

W przypadku zlecania usług audytu na zewnątrz bardzo często pojawia się obawa zarządu o przekazanie firmie zewnętrznej poufnych danych. Podpisywana podczas negocjacji umowa o poufności, w której znajdują się klauzule gwarantujące odpowiednie zabezpieczenie poufnych informacji, daje 100% gwarancji, że ważne i tajne dane naszej firmy nie wypłyną na zewnątrz.

Audyt IT to dziś niezbędne działanie, którego przeprowadzenie, niezależenie od tego, czy mamy już problem, czy chcemy się go ustrzec, jest co najmniej konieczne w każdej firmie. Dodatkowym efektem audytu są realne oszczędności oraz możliwość planowania działań w oparciu o pozyskaną wiedzę.

Źródło: it Works
Autor: Paweł Jachyra