• Řešení infrastruktury
• Profesionální služby
• Audit IT

Audit IT

Každý projekt ve své úvodní fázi začíná auditem či analýzou výchozího stavu. Je lhostejné, jde-li o vývoj nového SW, získání podkladů pro rozhodnutí o svěření části činností v rámci oddělení IT/IS do správy třetí straně, zhodnocení stávající úrovně procesního řízení nebo třeba prověření úrovně informační bezpečnosti. Vždy je nejprve třeba získat vstupní podklady pro rozhodnutí o dalším postupu.

Většina auditů tudíž probíhá v rámci projektů se širším záměrem – nejde o dodávku samostatné služby. Dochází ale často také k požadavku ze stran klientů nezávisle zhodnotit určitou oblast v rámci IT/IS. Typickým příkladem může být požadavek na zhodnocení úrovně zabezpečení infrastruktury a informačních systémů penetračními testy nebo nezávislé posouzení možností jak optimalizovat reprografické služby.

Takovýto typ auditu je dodáván jako samostatná služba a naše společnost pouze nezávisle hodnotí získané informace a vypracovává závěrečnou zprávu s doporučením dalšího postupu. Výstup pak klient předá svým dvorním dodavatelům ke zpracování a odsouhlasená opatření jsou formou podprojetků realizována.

Ať tak či onak, na audit je nutné nahlížet jako na samostatný projekt, který sám o sobě podléhá dalšímu členění do fází.
Rozlišujeme tyto čtyři základní fáze:

• zadání
• sběr dat a informací
• analýza
• dokumentace

V úvodní fázi je nejprve třeba přesně vymezit oblast či předmět auditu, dohodnout závazná technická a organizační opatření pro další fáze. Použijeme-li opět příkladu s auditem bezpečnosti, je nutné přesně stanovit, které vrstvy budou předmětem auditu, zda půjde o audit vnější či vnitřní, jaké nástroje budou použity a konečně zda se mají testy mít invazivní či neinvazivní charakter. V případě auditu reprografické infrastruktury je třeba odsouhlasit použití nástrojů pro sběr a následnou analýzu tiskových úloh a dohodnout kritéria, na základě kterých budou získaná data analyzována.

Sběr dat a informací je časově nejnáročnější fází projektu, protože je mnohdy třeba získat data za delší časové období. Chceme-li například získat informace o zatížení jednotlivých serverů, je nutné periodicky sledovat statistiky vytíženosti po delší časové období. I když je snaha maximálně využít automatizovaného sběru dat, procesní audity a audity personálního charakteru se neobejdou bez sběru dat formou dotazníkových formulářů. Naše společnost má pro každou specifickou oblast připravenu sadu formulářů s předem definovanými otázkami, které jsou formou interview s klíčovými pracovníky klienta zodpovězeny, elektronicky zpracovány a slouží posléze jako jeden ze vstupů další fáze.

Získané informace - ať už jde o zátěžové statistiky, výstupy z různých penetračních nástrojů, zápisy z jednání, výkresovou dokumentaci nebo jen vyplněný dotazník - je třeba analyzovat. Tato činnost je nejnáročnější na kvalifikované lidské zdroje, neboť není až tak těžké získat kvantum informací (vždyť většinou lze použít automatizované nástroje), daleko složitější je z tohoto vstupního penza učinit kvalifikované závěry a odvodit doporučení či návrh nápravných opatření. Většinou je pro každou zkoumanou oblast ustanoven expertní tým, jehož členové si pro prostudování vstupních materiálů v plénu formou brainstormingu vymění základní teze a myšlenky, které jsou pak dále rozpracovány do konkrétních závěrů či doporučení. Při analýze velmi výrazně vstupuje do hry zkušenost pracovníků expertního týmu a stupeň jejich znalostí.

S&T klade velký důraz na pravidelné vzdělávání svých expertů, kteří neustále studují příslušné standardy, doporučení a obecně platné normy. Zkoumáme-li tedy např. úroveň procesního řízení, bude v rámci expertního týmu provádějícího analýzu získaných dat ITIL certifikovaný odborník a bude hodnotit kompatibilitu nastavení procesů s tímto rámcem. Jelikož je S&T nadstandardním partnerem takřka všech předních světových výrobců HW/SW produktů, můžeme se při analýzách opřít o informace z těchto partnerských kanálů, ke kterým běžný smrtelník nemá přístup, což umožňuje podstatně zpřesnit závěry a výstupy.

Konečnou fází projektu je pak formální dokumentace výstupů pomocí závěrečné zprávy. Forma a osnova zprávy jsou předmětem diskuzí již v rámci první fáze, kdy se diskutuje zadání auditu. Po vytvoření je zpráva předána klientovi k oponentuře a po schválení může být její manažerské shrnutí prezentováno vrcholovému managementu.