Аудит эффективности отделов IT и ИБ

В настоящее время наблюдается многообразие подходов к организации процессов IT и ИБ не только за счет выбора конкретных технологий (облачные решения, VDI и многие другие), но и за счет выбора способа их обслуживания – свой штатный отдел (инхаус) либо сторонняя организация (аутсорсинг). Во всех случаях есть свои плюсы и минусы, но итоговая эффективность работы служб и отделов информационных технологий и информационной безопасности зачастую вызывает у руководства компании вопросы.

Вопросы могут касаться эффективности расходования денег, качества оказываемых услуг. К сожалению, в большинстве случаев, вопросы обоснованы – собственные сотрудники не справляются, подрядчик присылает студентов, а в закупках присутствуют элементы коррупции. Помочь выявить подобные негативные моменты призван аудит эффективности IT и ИБ в организации.

С другой стороны, грамотно выбранное решение может не до конца показывать свою эффективность даже из-за незначительной нехватки ресурсов. Так, например, полностью внедренная DLP-система почти бесполезна без выделения сотрудника, ответственного за ее мониторинг. В этой ситуации аудит поможет руководителю подразделения обосновать необходимость расширения штата либо перераспределения обязанностей (бывают случаи, когда системный администратор занимается закупкой канцелярских товаров).

Вопросы решаемые аудитом служб ИТ и ИБ

Укрупненно можно сформулировать основные вопросы к аудиту IT и ИБ:

• Нужен ли компании собственный отдел IT и/или ИБ? – в ряде случаев рационален отказ от собственного отдела IT и переноса его функций на сотрудников, например, арендодателя офисных помещений, либо наоборот – принятие в штат сотрудника для оперативной поддержки пользователей.
• Достаточно ли регламентирована деятельность штатных и/или внешних сотрудников, осуществляющих работы по IT и ИБ? Айтишники и безопасники не всегда знают, чьи задачи они должны выполнять и в какой срок. Причиной может быть отсутствие или плохое регламентирование работы и отсутствие актуальной документации.
• Оптимально ли финансирование IT и ИБ (как в части оплаты сотрудникам и подрядчикам, так и в части выделения средств на инфраструктуру)?
• Достаточно ли квалифицированные кадры осуществляют работы по IT и ИБ (со стороны подрядчика и из числа собственных сотрудников)?
• Соответствуют ли применяемые технологии требованиям компании? – возможно, имеющиеся требования по ИБ излишни и стесняют сотрудников иных отделов, возможно, устарела система виртуализации или недостаточны емкости системы резервного копирования.
• Можно ли повысить эффективность работы отделов IT и ИБ либо подрядной организации в этой области без выделения существенных ресурсов?

Этапы работ

• Анализ кадровых документов, в первую очередь, трудовых договоров и должностных инструкций, а также договоров подряда. Этот этап позволяет понять, кем администрируются системы IT и ИБ, с кем и как должны взаимодействовать администраторы. Нередки ситуации, в которых сотрудник ИБ формально подчиняется только генеральному директору, а фактически разрывается между задачами юристов и службы безопасности.
• Оценка загруженности и полноты использования применяемых в компании технологий. На сколько процентов загружены диски сервера, какова реальная скорость сети, как быстро открывается портал – количественная оценка всегда объективна. Даже быстрое проведение подобного исследования позволяет понять, насколько в компании корректно потрачены деньги на оборудование и программное обеспечение, насколько оптимально оно настроено.
• Интервью с сотрудниками компании, в которой проводится аудит, и организаций – подрядчиков. В ходе интервью выясняются противоречия во взаимодействии сотрудников IT и ИБ между собой и с другими подразделениями. К сожалению, нередки случаи личной неприязни сотрудников, например, бухгалтерии и IT, вызывающие снижение эффективности работы. Также в ходе данного процесса выявляются мотивационные составляющие персонала отделов и степень их компетентности.
• Анализ задач, которые ставятся перед IT и ИБ специалистами и результата выполнения этих задач. Один из наиболее сложных процессов аудита, включает в себя разделение задач на категории, оценка сроков их исполнения, качества, контроля за исполнением. Как правило, выявленные в ходе данного этапа работ недостатки позволяют без каких-либо затрат, только за счет регламентирования коммуникации (например, между секретариатом и системными администраторами), сократить сроки решения множества задач.
• Финансовый анализ затрат на IT и ИБ. Как правило, финансовый результат – одна из первых целей проведения аудита. Однако, приступать к нему разумно после проведения всех предыдущих этапов, на которых выявлены потребности компании и существующие технологические и бизнес-процессы.

Результаты аудита отдела ИТ и/или ИБ

• Оптимизировать (перераспределить, сократить) затраты на инфраструктуру IT и ИБ как за счет оптимизации персонала, так и за счет повышения эффективности применяемых решений.
• Повысить эффективность работы всей IT-инфраструктуры и системы информационной безопасности.

Обычно эти аспекты противоречат друг другу, ведь повышение эффективности принято связывать с увеличением затрат. Однако, комплексный подход внешних, независимых экспертов RTM Group дает возможность более полного использования уже имеющихся ресурсов, что позволяет в большинстве случаев достичь повышения эффективности при сокращении издержек.

Преимущества RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты