Окончательное руководство по проведению ИТ-аудита (с контрольным списком)

Неудовлетворительная кибергигиена американцев — плохая новость для отдельных людей, подверженных риску атаки, но ставки гораздо выше для компаний, которые их нанимают. Особенно если сотрудники работают дома или берут технику с собой в рабочие поездки, они, скорее всего, подвергают потенциальному риску всю инфраструктуру компании. Каков же выход? Владельцам бизнеса необходимо регулярно проводить ИТ-аудит, чтобы убедиться, что их системы не подвергаются опасности, а сотрудники владеют современными знаниями в области кибербезопасности. Эти аудиты также позволяют убедиться в том, что затраты, скорость и протоколы соответствуют требованиям. Если вы впервые проводите ИТ-аудит, наш контрольный список поможет вам разобраться в основных вопросах.

Что такое ИТ-аудит?

ИТ-аудит — это оценка инфраструктуры информационных технологий, политик и процедур организации. Он призван обеспечить надлежащее и надежное функционирование ИТ-систем, а также безопасное и правильное их использование сотрудниками. В зависимости от того, насколько велика ваша организация, вы можете провести единый комплексный ИТ-аудит или аудит различных областей инфраструктуры по отдельности. В любом случае, цель состоит в том, чтобы оценить риски, связанные с вашими ИТ-системами, и найти способы снижения этих рисков либо путем решения существующих проблем, либо путем исправления поведения сотрудников, либо путем внедрения новых систем.

5 ключевых областей ИТ-аудита

Обычно ИТ-аудит проводит ИТ-менеджер организации или директор по кибербезопасности (в небольших организациях эти роли может выполнять владелец бизнеса или руководитель операционного отдела). Поскольку аудит призван оценить эффективность инфраструктуры, а задача ИТ-менеджера — обеспечить эту эффективность, логично, что пять ключевых областей ИТ-аудита более или менее соответствуют основным обязанностям ИТ-менеджера. К ним относятся:

• Безопасность системы
• Стандарты и процедуры
• Мониторинг производительности
• Документация и отчетность
• Разработка систем

В каждой из этих областей аудитор пройдется по контрольному списку элементов, которые необходимо оценить. Наш контрольный список аудита охватывает все этапы базового ИТ-аудита, но в зависимости от потребностей вашей инфраструктуры вы можете обнаружить, что вам нужно добавить области или что некоторые из перечисленных областей не являются необходимыми для вашей компании.

Как провести ИТ-аудит

Хотя сам ИТ-аудит обычно проводится в течение нескольких дней, на самом деле процесс начинается задолго до этого, когда вы заглядываете в свой календарь и начинаете планировать проведение аудита в будущем.

Шаг 1: Планирование аудита

Первое решение, которое вам необходимо принять, — это провести внутренний аудит или нанять внешнего аудитора, чтобы он пришел и предложил сторонний взгляд на ваши ИТ-системы. Внешний аудит чаще всего проводится в крупных корпорациях или компаниях, которые работают с конфиденциальными данными. Для большинства компаний внутренний аудит более чем достаточен, а его планирование обойдется гораздо дешевле. Если вы хотите немного больше спокойствия, вы можете установить ежегодный внутренний аудит и нанимать внешнего аудитора раз в несколько лет. При планировании аудита вам необходимо решить:

• Кто будет вашим аудитором (означает ли это выбор внешнего аудитора или назначение сотрудника, который будет отвечать за аудит)
• Когда будет проводиться ваш аудит
• Какие процессы необходимо установить, чтобы подготовить сотрудников к аудиту

Аудитору, скорее всего, придется побеседовать с разными сотрудниками и руководителями групп, чтобы узнать о рабочих процессах ИТ-отдела вашей компании, поэтому важно убедиться, что вы не назначаете аудит на то время, когда ваши сотрудники заняты другой работой.

Шаг 2: Подготовка к аудиту

После того как вы определили общие временные рамки, вам необходимо вместе с командой аудиторов подготовиться к самому аудиту. На этом этапе вам необходимо выяснить следующее:

• Ваши цели аудита
• Объем аудита (какие области оцениваются, и с какой степенью детализации аудитор будет проводить оценку)
• Как будет документироваться аудит
• Подробный график аудита (какие отделы будут оцениваться в разные дни, и сколько времени отделы должны планировать выделить на аудит). Помните, что контрольный список, хотя он и важен, не является достаточной документацией для проведения аудита. Смысл такой оценки заключается в том, чтобы получить детальное представление о слабых местах вашей инфраструктуры и разработать конкретные, выполнимые шаги по их устранению. Для этого вам понадобится более сложная система, чем бумага и буфер обмена.

Шаг 3: Проведение аудита

Да, проведение аудита — это только третий шаг в пятиэтапном процессе аудита. Этот шаг не требует объяснений — если вы правильно выполнили второй шаг, то третий будет заключаться в выполнении созданного вами плана. Имейте в виду, что даже самые лучшие планы мышей и людей (или, в данном случае, мышей и клавиатуры) часто срываются, поэтому этот шаг также может включать поиск путей обхода любых препятствий в последнюю минуту. Убедитесь, что у вас есть достаточно времени, чтобы не торопиться — если вы упустите что-то в ходе аудита, это перечеркнет всю его цель.

Шаг 4: Сообщите о своих выводах

После завершения аудита у вас должна быть обширная документация с заметками, выводами и предложениями аудитора. Следующий шаг — синтезировать эту информацию в официальный отчет об аудите. Именно этот документ вы положите в архив для дальнейшего использования и планирования аудита на следующий год. Затем вы захотите создать индивидуальные отчеты для руководителей каждого проверенного отдела. Резюмируйте то, что было оценено, перечислите пункты, которые не нуждаются в изменениях, и выделите все, что отдел делает действительно хорошо. Затем дайте краткий обзор уязвимостей, выявленных аудитором, и разделите их по причинам их возникновения:

• Риски, вызванные плохим соблюдением установленных процедур, потребуют корректирующих действий.
• Риски, вызванные уязвимостями, которые оставались незамеченными до аудита, потребуют новых решений.
• Риски, присущие работе отдела, скорее всего, не могут быть полностью устранены, но аудитор может определить пути их снижения.

Наряду с каждым пунктом объясните, каковы будут следующие шаги по устранению выявленных рисков. В ситуациях, когда риски были вызваны умышленной небрежностью, вы также можете обратиться в отдел кадров за рекомендациями по решению проблемы.

Шаг 5: Последующие действия

Давайте будем реалистами: многие (если не большинство) уязвимости инфраструктуры вызваны, по крайней мере, частично, человеческой ошибкой. Человеческий фактор с такой же вероятностью может помешать решениям, которые ваша команда внедряет для устранения рисков, выявленных в ходе аудита.  После того, как вы представите результаты аудита, назначьте в календаре дату для последующей встречи с каждой командой и убедитесь, что исправления были успешно реализованы. Целесообразно запланировать несколько последующих встреч в течение года, чтобы проверить работу каждой команды и убедиться, что все идет гладко до следующего аудита. Когда ваша компания начнет двигаться вперед с новыми решениями, настройте автоматическое отслеживание KPI и отчетность, чтобы вы могли оценить влияние каждого изменения. Когда вы будете встречаться со своей командой в течение нескольких месяцев после аудита, возьмите эти отчеты, чтобы вы могли оценить производительность и устранить неполадки, которые работают не так, как вы ожидали.  Вы также можете настроить автоматизацию, которая будет выполнять эти «проверки» за вас, регулярно проводя сканирование уязвимостей и контролируя производительность системы. Вместо того чтобы заполнять свой календарь отдельными встречами для проверки, вы можете позволить своим техническим специалистам выполнять всю работу и вмешиваться в нее только в случае получения предупреждения.