Главное Авторские колонки Вакансии Вопросы
ALP ITSM 7 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Почему ИТ-аудит должен проверять процессы компании

Устойчивый бизнес — это не про «безошибочную работу». Ошибки все равно будут, вопрос в том, что с ними делают. Пока в компании заняты поиском «крайнего», ИТ‑риски только растут. Как только начинают разбираться в причинах, картина меняется. В статье рассказываем, как выстроить работу так, чтобы сбои не повторялись.
Мнение автора может не совпадать с мнением редакции

Меня зовут Дмитрий Бессольцев, я руковожу ALP ITSM. Мы много лет приходим в компании, когда ИТ уже живет в режиме вечного пожара, и помогаем из этого выбираться. Где‑то восстанавливаем сервера после шифровальщика, где‑то разгребаем клубок из личных договоренностей и «серых» доступов. И почти везде видим одну и ту же историю: ИТ формально есть, но доверия к нему нет.

В этой статье опираюсь на такие истории. Рассказываю, чем заканчивается карательный подход к инцидентам, как выглядит нормальный ИТ‑аудит без бумажной показухи и с чего вообще имеет смысл начинать собственнику, который хочет не «раздать по шапке», а навести порядок в ИТ по‑взрослому.

Инфраструктура — это форма, а содержание определяют люди и процессы

Дорогие серверы, продвинутые DLP-системы и многостраничные регламенты не гарантируют стабильности. Мы видели немало компаний, которые вкладывали миллионы в технологии, но продолжали тонуть в инцидентах. Типичный пример: бизнес жалуется на низкую скорость разработки и редкие релизы, ища проблему в квалификации программистов или качестве ТЗ. Аудит же вскрыл иную реальность — «бутылочное горлышко» находилось в управлении. Из-за избыточной централизации принятия решений (зависело от нескольких сотрудников) и хаотичной смены приоритетов (реактивное планирование) команда просто не могла работать эффективно, какими бы мощными ни были их инструменты.

У нас был проект, где масштабные вложения в «железо» не спасали от постоянных сбоев. Аудит показал, что вся ИТ-система держалась на одном администраторе, а процессы и документация отсутствовали как класс. Мы внедрили регламенты, формализовали рутинные операции и распределили зоны ответственности. Это повысило отказоустойчивость и избавило компанию от «рабства» перед незаменимым сотрудником. Главный вывод таких проектов: основные риски бизнеса кроются не в коде, не в оборудовании, а в отношении к процессам и культуре работы с человеческими ошибками. Не надо искать виновных, надо исправлять систему.

Наказание — путь к деградации системы

Рефлекторный поиск виноватых после ИТ-сбоя — типичная ошибка управления. Когда сотрудник понимает, что за ошибку в базе или переход по фишинговой ссылке последует кара, его приоритетом становится самосохранение, а не спасение компании. Попытки «замести следы» или исправить все втайне лишают бизнес важного ресурса — времени. В итоге мелкий инцидент превращается в неуправляемую катастрофу.

Атмосфера страха — это, во-первых, проблема HR, а, во-вторых, риск для безопасности. Никакой мониторинг не заменит честную обратную связь от сотрудника. В рамках ИТ-аудитов мы постоянно наблюдаем одну и ту же картину: на бумаге процессы безупречны, но в реальности о сбоях узнают слишком поздно — когда скрывать проблему становится невозможно и она перерастает в громкое разбирательство.

Один из наших аудитов выявил классический пример того, как страх парализует процессы. Сотрудница, обнаружив ошибку в выгрузке 1С, предпочла промолчать, опасаясь выговора. Из-за сложившейся в отделе «культуры поиска виноватых» проблема вскрылась лишь спустя несколько дней при сверке данных. В итоге — срыв сроков отчетности и затяжной конфликт. При этом цена вопроса при своевременном обращении составляла всего несколько минут технической правки. Это типичный случай, когда карательная система управления бьет по самому бизнесу.

Совместно с руководством и HR-департаментом мы внедрили принципиально иную парадигму: фиксация ошибок перестала сопровождаться санкциями. Теперь в центре внимания не поиск виновных, а анализ системных сбоев. Готовность руководства исследовать несовершенство процессов, а не клеймить «нерадивых» исполнителей — это высший маркер зрелости бизнеса. Сотрудники перестают скрывать инциденты, а скорость устранения проблем вырастает в разы — с недель до суток.

Уровни зрелости компании

В нашей практике ИТ-инфраструктуры большинства компаний можно классифицировать по трем уровням зрелости. Несмотря на внешнее техническое сходство, их различия проявляются именно в моменты кризиса. Реальное состояние процессов и культуры выдает то, как организация реагирует на инцидент.

Уровень 0: «Стихийный». Процессы не формализованы и держатся на личном опыте сотрудников. Знания передаются устно, и это создает зависимость от конкретных людей.

В одной из компаний мы зафиксировали переходное состояние между нулевым и первым уровнями, то есть в ней регламенты существовали только на бумаге. Операционная работа велась в мессенджерах, а контроль доступа был децентрализован. По итогам аудита мы сформировали каркас процессов: внедрили полноценный Service Desk, установили параметры SLA и четко распределили роли. Это помогло бизнесу обрести фундамент для управления через метрики и системные улучшения. То есть появилась возможность перейти на следующий уровень зрелости.

Уровень 1: Формальный. Это стадия «бумажной» безопасности. В шкафах хранятся папки с регламентами и политиками, а каждый новый сотрудник исправно ставит подпись в листе ознакомления. На этом контроль и заканчивается: правила остаются на бумаге, не пересекаясь с реальными бизнес-процессами.

Яркий пример из нашей практики — производственная компания, где информационная безопасность существовала только в отчетах. На деле же учетные записи уволенных сотрудников оставались активными неделями — у них оставался допуск на это время ко всем папкам документации и разработок, права в 1С превратились в «культурные слои» без ревизии, а логисты могли редактировать финансовую отчетность. Отсутствие контроля доступов компенсировалось лишь верой в добросовестность персонала, а это создавало колоссальные риски для бизнеса.

В рамках аудита мы провели полную инвентаризацию учетных записей и выявили все избыточные права доступа. Чтобы перевести безопасность из «бумажной» плоскости в практическую, мы интегрировали ИТ-службу в HR-цикл: теперь уведомление об увольнении сотрудника автоматически запускает процесс блокировки. Также был назначен персонально ответственный за этот участок. Итог: доступы аннулируются в течение суток, а риски утечек и нецелевого использования данных сведены к минимуму.

Уровень 2: Управляемый. На этой стадии инфраструктура обретает прозрачность: внедрен Service Desk, налажено регулярное резервное копирование, а сотрудники проходят курсы по цифровой гигиене. Руководство опирается на конкретные метрики — от скорости обработки заявок до доступности главных сервисов и результатов тестовых фишинговых рассылок.

Но здесь сохраняется барьер в коммуникациях. ИТ-департамент выступает в роли «директора школы», который спускает правила сверху. В ответ бизнес-подразделения часто воспринимают требования безопасности как помеху, мешающую основной деятельности.

Даже наличие внешних атрибутов — канбан-досок, распределенных ролей и функций — не гарантирует управляемости. В одном из кейсов мы столкнулись с парадоксом: процессы формально соблюдались, но при замедлении разработки никто не мог локализовать проблему. Аудит показал, что «бутылочное горлышко» скрывалось в самих коммуникациях: разработчиков подключали слишком поздно, спецификации постоянно переделывались, а принятие решений было централизовано. Это классический признак переходного этапа: каркас системы уже возведен, но прозрачности внутри него нет. Без постоянной поддержки такие процессы быстро деградируют до хаоса.

В одном из кейсов мы столкнулись с классической иллюзией контроля: руководство было убеждено в стабильности ИТ, несмотря на постоянный фон из жалоб и сбоев. Вся ИТ-служба фактически была «черным ящиком», замкнутым на одном системном администраторе, который расставлял приоритеты по своему усмотрению. С помощью аудита мы оцифровали реальный путь заявки и выявили провалы в задачах. Внедрение единого канала обращений и системы учета времени реакции (SLA) вскрыло узкие места. Это вернуло бизнесу рычаги управления и устранило риск отката к хаотичному «ручному» режиму.

Уровень 3: Партнерский. На этой стадии ИТ и информационная безопасность интегрированы в общую бизнес-стратегию. Культура доверия позволяет сотрудникам оперативно сообщать о рисках или собственных промахах без страха санкций. Диалог между ИТ-директором и собственником переходит в плоскость управления капиталом и снижении рисков, а не обсуждения технических характеристик. Регламенты здесь — это не бюрократический балласт, а навигаторы, которые оптимизируют ежедневные операции.

Переход к сервисной модели трансформирует роль персонала: из источника скрытых угроз сотрудники превращаются в первую линию активной защиты. Но даже при высоком уровне технической зрелости бизнес часто спотыкается о дефицит горизонтальных коммуникаций. В одном из проектов мы зафиксировали проблему «вертикальных эскалаций»: это когда любые разногласия по архитектуре или безопасности решались на уровень топ-менеджмента. ИБ-специалисты и ИТ-менеджеры не контактировали напрямую, все проходило через топ-менеджмент. Из-за этого любой спор по требованиям превращался в управленческий инцидент. Отсутствие прямого диалога между архитекторами и ИТ-руководителями перегружало руководство и тормозило принятие решений, которые должны были закрываться на рабочем уровне.ИТ-аудит — первый шаг к разработке стратегии развития

В одном проекте заказчик честно признался: «Мы не видим общей картины — где теряем ресурсы и в чем слабые места ИТ». Мы провели диагностику процессов — от регистрации инцидентов до управления изменениями — и выявили слабые зоны: единоличную ответственность, отсутствие SLA, хаотичную фиксацию задач. Вместе с клиентом мы сформировали дорожную карту развития: не только по устранению рисков, но и по превращению ИТ в предсказуемую и партнерскую функцию для бизнеса. Аудит стал точкой опоры для дальнейшей трансформации.

Модель уровней сама по себе полезна, но бизнесу нужен план действий. В рамках ИТ-аудита мы не просто ставим диагноз, а разрабатываем дорожную карту снижения рисков.

Что это значит на практике:

  1. Диагностика процессов. Мы смотрим, как реально проходят заявки в Service Desk, как быстро блокируются доступы уволенных, как реагируют на сбои вне рабочего времени. В одном кейсе, когда мы начали разбираться с обработкой заявок, выяснилось, что часть обращений приходит по почте, часть — в личку, часть — на словах. Истории обращений нет, статистики тоже. Один из респондентов прямо сказал: «Я написал, но понятия не имею, кто это делает и когда ответят». Для пользователей работа ИТ выглядела как лотерея.
  2. Поиск «узких мест». Часто выясняется, что проблема не в плохом сервере, а в том, что системный администратор перегружен рутиной и просто не успевает следить за бэкапами. В одной компании не было ИТ-директора: один человек вел сервера, обслуживал почту и параллельно принимал звонки от пользователей. Бэкапы проверялись «по настроению». Когда вышел из строя один из серверов, оказалось, что последние резервные копии были битые — просто некому было регулярно контролировать их состояние.
  3. Разработка стратегии. По итогам аудита мы формируем ИТ-стратегию, которая опирается на общую бизнес-стратегию компании: какие сервисы должны работать без простоев, какие риски недопустимы. Для собственника это ответ на вопрос «во что и зачем мы инвестируем в ИТ», для ИТ‑директора — понятная дорожная карта изменений с приоритетами, сроками и ресурсами. Уже внутри этой рамки появляются конкретные шаги: сначала настраиваем управление доступами и ответственность, затем обучаем людей, и только потом вкладываемся в сложные технические решения.

Принципы ИТ-культуры

Работая над развитием ИТ-инфраструктуры клиентов, я выделил два принципа, которые отличают зрелую ИТ-культуру от «метода кнута и пряника».

1. Сегментированное обучение вместо «курса для всех»

Типичная ошибка — прогнать всех сотрудников через один и тот же скучный инструктаж по ИБ или работе в 1С. Топ-менеджеру, бухгалтеру и курьеру рассказывают одно и то же. Результат — скука и игнорирование.

В одном проекте мы рекомендовали провести обучение по ИТ‑безопасности с учетом специфики отделов. Маркетингу — про фишинговые ссылки и рекламные интеграции, бухгалтерии — про поддельные письма и доступ к 1С, логистике — про мобильные устройства и работу «в поле». До этого все получали один и тот же PDF — длинный, формальный и фактически нечитабельный.

В ходе аудита стало очевидно, что сотрудники не получают системного обучения, а коммуникация по ИТ‑темам носит реактивный характер. Мы предложили сегментировать обучение по ролям (ИТ, бизнес, линейный персонал), собрать понятную базу знаний и переформатировать коммуникации с пользователями. Дополнительно добавили элементы геймификации для повышения вовлеченности. Вместо давления и контроля появилась внутренняя мотивация и прозрачные правила, а ИТ перестало восприниматься как помеха и стало поддержкой.

В проектах мы рекомендуем разделять обучение в зависимости от того, какой персонал обучаем. Топ-менеджер и линейный персонал не могут одинаково смотреть на вопросы безопасности:

  • Топ-менеджмент должен работать с рисками, как инциденты влияют на репутацию, стоимость простоев и юридическую ответственность.
  • ИТ-специалисты должны знать, как реагировать на уязвимости, стандарты конфигураций, принципы контроля базовой гигиены и как ее контролировать.
  • Линейный персонал необходимо научить, распознавать фишинг, как безопасно работать с кассой, кому звонить при сбое.

2. Двусторонняя коммуникация

ИТ-отдел должен быть открыт к обратной связи. В компаниях с высокой культурой ИТ информация постоянно доводится разными способами — от регулярных дайджестов, с помощью простых инструкций, базы знаний и удобному сервис-деск, который информирует пользователя о ходе решения заявки.

Как работает позитивная мотивация

Приведу пример, как можно повысить цифровую грамотность и мотивировать сотрудников. Вместо того чтобы пугать штрафами за непрохождение тестов, руководство одной из компаний, где стояла задача обучения сотрудников цифровой безопасности, объявило конкурс: отдел, который первым пройдет курс по кибербезопасности с лучшими результатами, получает корпоративный бонус (пицца-вечеринка и небольшие премии).

В другом проекте мы использовали похожий подход, но без привязки к премиям. Для сотрудников запустили простой рейтинг прохождения обучения с видимым прогрессом команд и еженедельным упоминанием лидеров на общем собрании. Никаких штрафов — только признание и здоровая конкуренция между отделами. Вовлеченность выросла в разы, а уровень прохождения приблизился к 100%.

Эффект был мгновенным. Обучение перестало быть «обязаловкой» и превратилось в командный спорт. Люди в чатах сами подгоняли коллег: "Проходи быстрее, мы отстаем!".Бюджет акции был копеечным по сравнению со стоимостью рисков, которые она закрыла. Это пример того, как простое управленческое решение работает лучше дорогих систем контроля.

Первый шаг для руководителя

Для трансформации ИТ-службы в надежный актив компании рекомендуется сосредоточиться на следующих управленческих решениях:

  • Пересмотр культуры реагирования на инциденты. Переход от поиска виновных к анализу системных причин сбоя. Нужно сформировать среду, где оперативное и честное сообщение об ошибке поощряется, а не карается. Это будет устранять угрозы на ранних стадиях.
  • Проведение комплексного ИТ-аудита. Фокус должен быть смещен с инвентаризации оборудования на аудит бизнес-процессов. Необходимо проверить корректность распределения прав доступа, готовность персонала к кибератакам и фактическую (а не документальную) работоспособность систем резервного копирования.
    Пример из практики: В одном из проектов задачей ставилось получение объективной картины работы департамента разработки. Целью было не внедрение новых методологий, а выявление зон перегрузки и размытой ответственности. Итогом аудита стала модель текущего состояния, позволившая принимать решения на основе верифицированных данных.
  • Интеграция ИТ в бизнес-планирование. Когда ИТ-директор или привлеченный эксперт (vCIO) участвует в обсуждении стратегических целей. Это помогает заранее идентифицировать технологические риски и синхронизировать развитие инфраструктуры с задачами бизнеса.

Формирование культуры ИТ-безопасности и зрелых процессов — это долгосрочный процесс, направленный на системное снижение рисков. ИТ-аудит в данном контексте выступает инструментом оценки текущего состояния инфраструктуры. Переход от интуитивного управления к принятию решений на основе фактов — это трансформация ИТ из источника неопределенности в предсказуемый актив. В конечном счете, информационная безопасность основывается не на системе ограничений, а на едином взаимодействии, обеспечивающем защиту интересов бизнеса.

ИТ‑аудит — это, по сути, приглашение к честному разговору внутри компании. Либо вы продолжаете жить в режиме вечных «пожаров», где каждая ошибка превращается в личную драму и поиск виноватого, либо признаете, что проблема системная, и смотрите на нее через призму процессов, культуры и ответственности.

Если по ощущениям ИТ давно стало «черным ящиком», инциденты повторяются, а разборы не меняют картину, стоит начать с небольшого, но конкретного шага. Экспресс‑аудит ключевых процессов — обработки инцидентов, работы с доступами, резервирования, — уже дает почву для управленческих решений. Это шанс превратить ИТ из источника постоянного стресса в понятный сервис с прогнозируемыми рисками и понятной ценой ошибки.

Если вы на этом этапе думаете о привлечении внешних экспертов или смене подхода к ИТ, будет полезно дополнительно посмотреть наши материалы о выборе ИТ‑партнера и модели взаимодействия. Они помогут сформировать свои критерии и заходить в диалог с подрядчиками не с позиции «сделайте, чтобы не ломалось», а с позиции бизнеса, который понимает, чего он хочет от ИТ.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
О проекте Проекты Реклама Связаться с редакцией
16+
Редакция team@spark.ruТехническая поддержка help@spark.ruПродвижение adv@spark.ruТелефон +7 495 137-07-07
Учредитель сетевого издания Барабанова.Ю.Б., ИНН 500111143150
Редакционные материалы ООО Редакция Спарк Ру
Сообщения и материалы сетевого издания Spark (за исключением авторских колонок) (зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 января 2025 года за номером ЭЛ №ФС77-89031 сопровождаются пометкой Spark_news или Редакция Spark.ru, или Spark.
Правовая информация Правила пользования сайтом Политика обработки персональных данных Правила рекомендательных технологий