Короткий ответ: IT-аудит офиса на 30-100 сотрудников должен быстро показать, где бизнес может остановиться: сеть, серверы, рабочие места, учетные записи, backup, мониторинг, документация и договоренности с подрядчиками. Результат аудита - не толстый отчет ради отчета, а список рисков с приоритетом, владельцем и понятным следующим действием.
Что проверить в первую очередь
| Зона | Что смотреть | Сигнал риска |
|---|---|---|
| Сеть | Схема, точки отказа, оборудование, Wi-Fi, интернет-каналы | Непонятно, через что идут критичные сервисы |
| Серверы | Роли, загрузка, возраст, место, обновления, зависимости | Один сервер держит несколько критичных функций без плана отказа |
| Рабочие места | Типовые конфигурации, износ, поддерживаемые ОС, локальные данные | Важные файлы живут только на компьютерах сотрудников |
| Учетные записи | Кто имеет доступ, как закрываются доступы бывших сотрудников | Есть общие учетные записи или непонятные владельцы прав |
| Backup | Что копируется, куда, как часто и когда проверялось восстановление | Видно только успешное выполнение задания, но нет проверки восстановления |
| Мониторинг | Какие сервисы контролируются и кто реагирует на тревоги | О проблемах узнают от пользователей |
| Документация | Инвентарь, схемы, контакты, договоры, инструкции восстановления | Ключевые сведения хранятся в памяти одного человека |
Какой результат должен дать аудит
Хороший аудит разделяет наблюдения на три группы: критичные риски, плановые улучшения и технический долг, который можно принять на время. Это помогает не превращать проверку в бесконечный список замечаний.
- Критичные риски: могут остановить продажи, склад, бухгалтерию, телефонию, доступ к документам или работу руководства.
- Плановые улучшения: снижают вероятность сбоев, но не требуют немедленной аварийной реакции.
- Принятый технический долг: известные ограничения, которые бизнес осознанно оставляет до следующего бюджета.
Минимальный состав отчета
| Раздел | Что должно быть внутри |
|---|---|
| Карта инфраструктуры | Ключевые серверы, сеть, интернет, внешние сервисы и зависимости |
| Список рисков | Описание, влияние на бизнес, вероятность, приоритет |
| План действий | Что сделать сейчас, что запланировать, что отложить |
| Ответственные | Кто принимает решение, кто выполняет, кто проверяет результат |
| Проверка восстановления | Какие данные и сервисы реально можно восстановить |
Типовые ошибки
Проверять только железо. Офис может остановиться не из-за сервера, а из-за забытых доступов, слабой документации или непроверенного backup.
Не связывать риск с бизнесом. Фраза "устаревшее оборудование" мало помогает. Нужен ответ, какой процесс пострадает и сколько времени компания будет восстанавливаться.
Смешивать аудит и внедрение. Аудит должен сначала показать картину и приоритеты. Закупки и изменения идут отдельным планом после согласования.
Не проверять владельцев решений. Если никто не отвечает за сервер, интернет-канал или внешний сервис, риск остается даже при исправной технике.
Итог: для офиса на 30-100 сотрудников IT-аудит полезен тогда, когда после него понятно, что может остановить работу, что уже защищено, что нужно исправить первым и какие расходы действительно обоснованы.