Podstawy, które musisz wiedzieć o audycie infrastruktury IT

W dzisiejszym coraz bardziej scyfrowanym świecie, infrastruktura IT może znacząco wpłynąć na poprawę wyników finansowych firmy (wzrasta efektywność pracy całej firmy - poprawa wydajności). Z drugiej strony, awaria i idące za tym utrata lub wyciek danych mogą być jak betonowe buty włożone w czasie pływania – skutecznie utopić firmę w problemach. Dzięki temu artykułowi dowiesz się:

• Co to jest infrastruktura IT i z jakich składa się elementów?
• Ile kosztuje firmę dzień przestoju infrastruktury IT?
• Audyt infrastruktury IT, czyli jaki jest cel jego wykonywania ?
• Jakie obszary może obejmować audyt infrastruktury IT?

Co to jest infrastruktura IT?  

Najprościej rzecz ujmując, infrastruktura informatyczna to kompleks rozwiązań sprzętowo-programowych oraz organizacyjnych, które współgrając ze sobą, umożliwiają funkcjonowanie firmy z punktu widzenia informatyki. Do technologicznej infrastruktury IT możemy zaliczyć: serwery, sieci (LAN, WAN, MAN), macierze dyskowe i ich backup (tworzenie kopii zapasowych) oraz oprogramowanie (system operacyjne, aplikacje i bazy danych). Co więcej, możemy ją podzielić na 2 rodzaje: tradycyjną, którą wskazuje się jako droższą lub chmurową, której przypisuje się mniejsze bezpieczeństwo.

Tu też warto zauważyć, że niezależnie od rodzaju wybranej infrastruktury, każda firma powinna dążyć do jej optymalizacji. Tylko tak możliwe jest zapewnienie bezpieczeństwa, minimalizacja lub całkowity brak przestojów w pracy i wirtualizacja, wpływająca na zwiększenie dostępności i lepsze przygotowanie do szybkiego usuwania awarii.  

Nie mniejsze znaczenie w całej infrastrukturze ma fizyczna lokalizacja, redundancja poszczególnych komponentów, a także specjaliści IT, którzy z jednej strony trzymają pieczę nad stanem i poprawnością działania wcześniej wymienionych elementów. Z drugiej, wykorzystują analitykę, dobre praktyki płynące z doświadczeń lub szkoleń i potrafią zaproponować różne rozwiązania w zależności od potrzeb biznesu.  

Dlaczego musisz zadbać o bezpieczeństwo sieci, a raczej infrastruktury sieciowej.

Audyt IT vs. dzień przestoju w wyniku awarii infrastruktury IT?  

To pytanie należy postawić, gdy myślimy nad zasadnością przeprowadzenia audytu infrastruktury IT. Bo generalnie to ona zapewnia ciągłość pracy w większości dzisiejszych firm. Jeżeli policzysz koszt przestoju i okaże się, że jest on bardzo wysoki, to prawdopodobnie dołożysz większych starań, aby zapewnić dobrą kondycję infrastrukturze IT.  

Prawdopodobnie nie jesteś instytucją bankową, ale posłużymy się tym przykładem, aby lepiej zobrazować wagę sytuacji. Wyobraźmy sobie, że jednemu z banków pada infrastruktura IT.  W takiej sytuacji nie będzie możliwe robienie przelewów, zawieranie umów kredytowych, założenie czy zamknięcie konta i prawdopodobnie wypłacanie pieniędzy z bankomatów. Zauważ, że są to tylko działania związane z obsługą klienta. A co z pracownikami banku i wykonywanie ich codziennych obowiązków? A teraz wyobraź sobie, jak ta sytuacja wpływa na wizerunek, jeśli taki stan rzeczy przeciągnie się w czasie, np. tak do tygodnia.  

Audyt informatyczny - jaki jest cel wykonywania audytów infrastruktury IT?  

Minimalizacja ryzyka czasowego braku dostępu do infrastruktury IT to tylko jeden z wielu powodów, jaki może przyświecać przeprowadzeniu audytu. Może to być także chęć sprawdzenia poziomu bezpieczeństwa i odporności na coraz popularniejsze cyberataki (wykrycie krytycznych luk bezpieczeństwa). Te mogą spowodować wyciek wrażliwych danych albo szantaż wpłacenia okupu w zamian za odblokowanie infrastruktury (atak ransomware).  

Ograniczenie kosztów funkcjonowania infrastruktury IT jest również częstym celem audytów głównie dlatego, że rozpoznaje się zbędne licencje, oprogramowania czy nawet sprzęt. Audyt bezpieczeństwa można też przeprowadzać ze względu na przygotowanie do certyfikacji, np. ISO 27001. Ale też dopasowanie do wymogów ustaw i norm, jeśli chodzi o posiadane licencje, i tym samym uniknięcie kar finansowych wynikających z zaniedbań. I w końcu powodem może być potrzeba rozbudowy lub przebudowy albo całkowita zmiana rodzaju infrastruktury IT np. przejście na rozwiązanie chmurowe.  

Po każdym audycie sporządzany jest raport. Niby to oczywistość, ale warto podkreślić, że dopiero wdrożenie opisanych tam zaleceń wpłynie na poprawę obecnej sytuacji. Co więcej, ze względu na tak dynamicznie zmieniające się otoczenie, audyty powinno przechodzić się regularnie.  

Jakie obszary może obejmować profesjonalny audyt infrastruktury IT?  

Na początku warto zauważyć, że audyty infrastruktury IT opierają się najczęściej na spisie wykorzystywanych zasobów i analizie sprawności oraz wydajności jej elementów - wszystkich lub tylko wybranych.  

I tak weryfikacji mogą podlegać (zakres audytu):  

• zainstalowane oprogramowanie  
• logi sprzętowe i systemu operacyjnego  
• poprawki i patche systemu operacyjnego (poprawki krytyczne, bezpieczeństwa i in.)  
• poprawność instalacji, temperatura pracy, redundancja zasilania itp.  
• switche połączeń LAN lub SAN – redundancja-okablowanie – sprawdzenie logów  
• macierze dyskowe – poziomy RAID, zajętość macierzy, poziom firmware itp.  
• lokalizacja serwerowni i rekomendacja kolokacji
• zapotrzebowanie na licencje CAL i innych licencji
• stosowanie rozwiązań antywirusowych oraz EDR (Endpoint Detection and Response) - narzędzie służące wykrywaniu i reagowaniu na podejrzane aktywności na urządzeniach końcowych
• zabezpieczenia brzegowe i poziom zabezpieczenia przed atakami z zewnątrz
• wydajność obecnych serwerów vs. zmiana na nowsze wydajniejsze modele

Usunięcie krytycznych luk bezpieczeństwa wykrytych podczas audytu infrastruktury IT poprawi bezpieczeństwo informacji w Twojej firmie (prewencja przed utratą danych). Nasze bogate doświadczenie pozwala naszym specjalistom IT przeprowadzić audyt infrastruktury IT na najwyższym poziomie.

‍