Audyt IT przeprowadzony porządnie kończy się dokumentem, na podstawie którego firma podejmuje konkretne decyzje — co naprawić w pierwszej kolejności, co wymienić, co zostawić. Audyt zrobiony powierzchownie kończy się PDF-em, który nikt nie czyta.
Co powinien obejmować audyt IT
- Inwentaryzacja — sprzęt, oprogramowanie, licencje, użytkownicy, dostępy.
- Topologia sieci — fizyczna, logiczna, polityki VLAN, segmentacja.
- Serwery i usługi — wersje OS, patche, role, monitoring, kopie zapasowe.
- Bezpieczeństwo — polityka haseł, MFA, ochrona endpointów, zarządzanie tożsamością.
- Procesy — jak działa helpdesk, kto jest właścicielem których systemów, jak wygląda onboarding/offboarding.
- Ryzyka i rekomendacje — lista priorytetowych działań z oszacowaniem kosztu i wpływu.
Etapy audytu
Typowy audyt MŚP trwa 2–4 tygodnie: 1) kickoff i ankieta, 2) wizyta i wywiady, 3) analiza techniczna, 4) draft raportu, 5) prezentacja wyników i akceptacja. Klient powinien wyznaczyć osobę kontaktową i przygotować dostęp do systemów.
Czego oczekiwać w raporcie
Dobry raport to nie 80 stron lania wody, tylko: wykaz ryzyk z priorytetami, mapa infrastruktury, lista konkretnych rekomendacji z szacunkiem nakładu i terminów, mierzalne kryteria sukcesu. Powinien być zrozumiały dla zarządu, a nie tylko dla działu IT.
Audyt to nie kontrola
Audyt nie jest po to, żeby udowodnić błąd jakiegoś pracownika. Jest po to, żeby zobaczyć, gdzie firma traci czas, gdzie jest ryzyko i gdzie inwestycja przyniesie największy zwrot. Najlepiej, gdy klient i audytor pracują wspólnie nad obrazem stanu obecnego.