Аудит эффективности отделов IT и ИБ

Вопросы решаемые аудитом служб ИТ и ИБ

Укрупненно можно сформулировать основные вопросы к аудиту IT и ИБ:

• Нужен ли компании собственный отдел IT и/или ИБ? – в ряде случаев рационален отказ от собственного отдела IT и переноса его функций на сотрудников, например, арендодателя офисных помещений, либо наоборот – принятие в штат сотрудника для оперативной поддержки пользователей.
• Достаточно ли регламентирована деятельность штатных и/или внешних сотрудников, осуществляющих работы по IT и ИБ? Айтишники и безопасники не всегда знают, чьи задачи они должны выполнять, и в какой срок, причиной может быть отсутствие или плохое регламентирование работы и отсутствие актуальной документации.
• Оптимально ли финансирование IT и ИБ (как в части оплаты сотрудникам и подрядчикам, так и в части выделения средств на инфраструктуру)?
• Достаточно ли квалифицированные кадры осуществляют работы по IT и ИБ (со стороны подрядчика и из числа собственных сотрудников)?
• Соответствуют ли применяемые технологии требованиям компании? – возможно, имеющиеся требования по ИБ излишни и стесняют сотрудников иных отделов, возможно, устарела система виртуализации или недостаточны емкости системы резервного копирования.
• Можно ли повысить эффективность работы отделов IT и ИБ либо подрядной организации в этой области без выделения существенных ресурсов?

Этапы работ

• Анализ кадровых документов, в первую очередь трудовых договоров и должностных инструкций, а также договоров подряда. Этот этап позволяет понять, кем администрируются системы IT и ИБ, с кем и как должны взаимодействовать администраторы. Нередки ситуации, в которых сотрудник ИБ формально подчиняется только генеральному директору, а фактически разрывается между задачами юристов и службы безопасности.
• Оценка загруженности и полноты использования применяемых в компании технологий. На сколько процентов загружены диски сервера, какова реальная скорость сети, как быстро открывается портал – количественная оценка всегда объективна. Даже быстрое проведение подобного исследования позволяет понять, насколько в компании корректно потрачены деньги на оборудование и программное обеспечение, насколько оптимально оно настроено.
• Интервью с сотрудниками компании, в которой проводится аудит и организаций – подрядчиков. В ходе интервью выясняются противоречия во взаимодействии сотрудников IT и ИБ между собой и с другими подразделениями. К сожалению, нередки случаи личной неприязни сотрудников, например, бухгалтерии и IT, вызывающие снижение эффективности работы. Также в ходе данного процесса выявляются мотивационные составляющие персонала отделов и степень их компетентности.
• Анализ задач, которые ставятся перед IT и ИБ специалистами и результата выполнения этих задач. Один из наиболее сложных процессов аудита, включает в себя разделение задач на категории, оценка сроков их исполнения, качества, контроля за исполнением. Как правило, выявленные в ходе данного этапа работ недостатки позволяют без каких-либо затрат, только за счет регламентирования коммуникации (например, между секретариатом и системными администраторами) сократить сроки решения множества задач.
• Финансовый анализ затрат на IT и ИБ. Как правило, финансовый результат – одна из первых целей проведения аудита. Однако, приступать к нему разумно после проведения всех предыдущих этапов, на которых выявлены потребности компании и существующие технологические и бизнес-процессы.

Результаты аудита отдела ИТ и/или ИБ

• Оптимизировать (перераспределить, сократить) затраты на инфраструктуру IT и ИБ как за счет оптимизации персонала, так и за счет повышения эффективности применяемых решений.
• Повысить эффективность работы всей IT-инфраструктуры и системы информационной безопасности.

Обычно эти аспекты противоречат друг-другу, ведь повышение эффективности принято связывать с увеличением затрат. Однако, комплексный подход внешних, независимых экспертов RTM Group дает возможность более полного использования уже имеющихся ресурсов, что позволяет в большинстве случаев достичь повышения эффективности при сокращении издержек.

Стоимость аудита складывается из перечня вопросов, на которые должен ответить эксперт и величины Заказчика и составляет от 150 000 рублей до 2 млн.

Преимущества RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты