ИТ-аудит в начале года: что проверить в инфраструктуре, чтобы не потерять бизнес
Почему именно начало года — идеальный момент для аудита
Есть странная магия в январе. Как будто нажали “Reset” — и у бизнеса появляется шанс сделать то, на что весь прошлый год не хватало времени: навести порядок. ИТ-инфраструктура — ровно из этой категории.
Знаешь, как бывает: пока всё работает, мы считаем это “нормой”. А когда что-то ломается — внезапно выясняется, что “норма” держалась на одном человеке, одном диске и одной привычке “потом обновлю”.
Эффект “чистого листа” и свежие бюджеты
В начале года у руководителей обычно два состояния:
- хотим стабильности,
- хотим прогнозируемости по деньгам.
ИТ-аудит как раз про это. Он превращает инфраструктуру из “черного ящика” в понятную карту: где риск, где запас прочности, где узкое место.
Три сценария, где аудит окупается за неделю
Простой
Если у вас кассы, CRM, телефония, 1С, склад — простой даже на пару часов превращается в прямые потери. И это тот случай, где “экономия” на аудите — как экономия на тормозах.
Утечка
Обычно утечки происходят не из-за “суперхакеров”, а из-за банального: старые учётки, общие пароли, доступы подрядчиков, отсутствие MFA.
Потеря данных
Самая коварная история: бэкап вроде есть, но восстановиться никто не пробовал. Это как купить огнетушитель и ни разу не проверить, что он не пустой.
Как проводить ИТ-аудит без хаоса
ИТ-аудит — это не “перерыть всё и остановить работу”. Нормальный аудит похож на медосмотр: быстро понять, где опасно, и что лечить в первую очередь.
Быстрый аудит за 1–2 дня vs полноценный за 1–2 недели
- Быстрый аудит (1–2 дня) — найти критические риски и “красные флаги”. Подходит, если нужно быстро понять: мы в безопасности или на тонком льду?
- Полноценный аудит (1–2 недели) — инвентаризация, нагрузочные места, финальная дорожная карта. Подходит, если хотите план модернизации и защиту бюджета.
Главные метрики: доступность, RPO/RTO, SLA
Если говорить по-человечески:
- Доступность — как часто всё работает.
- RPO — сколько данных вы готовы потерять (например, 1 час).
- RTO — за сколько вы должны восстановиться (например, 2 часа).
Если эти слова не зафиксированы — у вас, по сути, нет правил игры. А значит, в кризис будет импровизация. Обычно дорогая.
Что собрать до старта (минимальный набор данных)
Чтобы аудит был быстрым и без угадываний, соберите:
- список критичных сервисов (1С, CRM, телефония, почта, кассы, VPN и т.д.),
- где это размещено (сервер/облако/виртуалки),
- кто админит и где хранятся доступы,
- как устроены бэкапы (куда, как часто, чем проверяется),
- схема сети (хотя бы “на салфетке”).
Чек-лист №1: Бэкапы и восстановление — “подушка безопасности” бизнеса
Если бы я мог выбрать только одну вещь для проверки — это были бы бэкапы. Потому что всё остальное можно починить, а потерянные данные — часто уже нет.
Правило 3-2-1 и почему “просто копия” не бэкап
Классика:
- 3 копии данных
- на 2 разных носителях
- 1 копия — вне основной площадки
И важное: бэкап без изоляции — слабая защита. Если шифровальщик добрался до сети, он доберётся и до сетевой папки с “резервными копиями”.
Тест восстановления: единственная проверка, которой верят
Самый честный вопрос в ИТ-аудите звучит так:
“Когда вы последний раз восстанавливали систему из бэкапа?”
Если ответ: “не помню” или “никогда” — это риск №1.
Минимальный тест:
- восстановить одну виртуальную машину/сервис в тестовую среду,
- проверить консистентность (особенно базы),
- замерить время восстановления (RTO).
Типовые ошибки и как их быстро исправить
Что мы чаще всего видим на аудитах (и это нормально, вы не одни):
- бэкапы лежат на том же сервере/СХД — нет смысла,
- нет отдельного аккаунта/прав под бэкап — лишние риски,
- нет ретеншна (хранения по срокам) — всё забивается,
- нет уведомлений об ошибках — “тихо умерло” неделю назад.
Быстрые фиксы:
- вынести копии на отдельное хранилище/площадку,
- включить уведомления,
- зафиксировать расписание и хранение,
- делать тест восстановления раз в квартал (минимум).
Чек-лист №2: Доступы и права — “кто может выключить ваш бизнес”
Доступы — это как ключи от здания. Если у вас есть ключи “у всех и навсегда”, вы просто ещё не сталкивались с плохим сценарием.
MFA на админов и критичные сервисы
MFA — это не “модно”, это “гигиена”.
В первую очередь:
- админ-учётки,
- почта,
- VPN,
- панель виртуализации,
- облака,
- бухгалтерия/CRM.
Ревизия учёток: уволенные, подрядчики, “вечные” доступы
Аудит начинается с простого:
- есть ли список админов,
- кто из них уже не работает,
- кому доступ выдавался “на месяц, но прошёл год”.
Удивительно, но иногда один удалённый подрядчик с забытым доступом — это вся ваша “кибербезопасность” в минус.
Принцип минимальных прав и отдельные админ-контуры
Правило простое: каждый должен иметь доступ ровно к тому, что нужно.
И отдельная “зрелая” практика:
- отдельные админ-учётки (не “я как пользователь, но ещё и админ”),
- отдельный контур управления (где возможно),
- журналирование действий админов.
Чек-лист №3: Сеть — кровеносная система компании
Сеть редко “умирает красиво”. Обычно она деградирует: то касса подвисает, то CRM открывается по минуте, то VoIP хрипит. И люди начинают думать, что “так и должно быть”.
Не должно.
Точки отказа и резервирование
Проверьте:
- один ли у вас коммутатор “держит всё”,
- один ли интернет-канал,
- один ли firewall без резерва,
- есть ли запасные блоки питания/линки.
Бизнесу не нужен идеальный дата-центр. Бизнесу нужна предсказуемость отказов.
Сегментация (VLAN/ACL/Firewall) простыми словами
Представьте офис как дом:
- кухня — это бухгалтерия,
- гостиная — пользователи,
- сейф — серверная.
Сегментация — это когда у кухни нет ключей от сейфа, и гостиная не ходит через бухгалтерию.
В ИТ это делается VLAN’ами, ACL и правилами на firewall.
Мониторинг сети: что измерять, чтобы видеть проблему раньше клиентов
Минимум, который должен быть:
- загрузка каналов,
- ошибки/дропы на портах,
- задержки и потери,
- состояние линков и устройств,
- алерты (чтобы не узнавать о падении от директора).
Чек-лист №4: Серверы и виртуализация — где обычно “тихо умирает” производительность
Самый частый самообман: “у нас мощный сервер, значит всё будет быстро”.
А потом оказывается, что диски упёрлись в I/O, и “мощность” просто не доходит до приложений.
Диски и I/O: почему CPU часто ни при чём
Проверьте:
- SMART/ресурс SSD,
- latency дисков,
- заполненность пулов,
- наличие “узких” одиночных дисков под критичные ВМ,
- правильные настройки кэша/контроллеров (актуально для виртуализации).
Если сервер — это мотор, то диски — это коробка передач. И да, именно она часто “не тянет”.
Обновления гипервизора/прошивок и план окна обслуживания
Обновления нужны не ради “новой версии”.
Они нужны ради:
- безопасности,
- исправления багов,
- стабильности.
Проверьте:
- есть ли окно обслуживания (хотя бы раз в месяц),
- есть ли план отката,
- есть ли тестовый контур.
Емкость на год: планирование ресурсов без гадания
Начало года — идеальный момент посчитать:
- рост данных,
- рост пользователей,
- новые сервисы,
- запас по CPU/RAM/Storage на 20–30%.
Это помогает не “тушить пожары”, а планировать.
Чек-лист №5: Инфобез — без паранойи, но по-взрослому
Безопасность — это не “купить один продукт”. Это набор привычек и минимальных правил.
Патчи, EDR/AV, журналы и хранение логов
Проверьте:
- обновления ОС и ключевых сервисов,
- антивирус/EDR на серверах и рабочих местах,
- централизованные логи (хотя бы критичные),
- хранение логов (чтобы расследовать инцидент, а не гадать).
Резервные каналы связи и защита периметра
Если бизнес зависит от интернета (а он зависит), то:
- резервный канал — это не роскошь,
- защита периметра — это базовая необходимость.
Минимальный набор “защитных привычек” для сотрудников
Сотрудники — не “слабое звено”, если им дать правила:
- менеджер не должен вводить пароль “qwerty”,
- фишинг-письма должны быть распознаваемыми,
- доступы не должны пересылаться в мессенджерах без контроля.
Что вы получите на выходе: результат аудита, который реально работает
Хороший аудит — это не “толстый отчёт на 80 страниц, который никто не читает”.
Хороший аудит — это:
Карта рисков (красный/желтый/зелёный)
Чтобы руководитель мог открыть и за 5 минут понять:
- где бизнес под угрозой,
- что лечим срочно,
- что можно запланировать.
План быстрых побед на 30 дней
Quick wins обычно такие:
- включить MFA,
- настроить алерты,
- вынести/изолировать бэкапы,
- убрать “вечные” доступы,
- закрыть очевидные дыры в сети.
Дорожная карта на квартал и год
Это уже спокойная часть:
- модернизация,
- резервирование,
- стандартизация,
- документация,
- обучение.
И да — именно с этого момента ИТ становится управляемым.
Заключение
Начало года — это шанс сделать то, что редко получается “в течение года”: перестать работать на удаче.
ИТ-аудит — не про поиск виноватых. Он про зрелость: вы заранее понимаете, где риски, сколько стоит их устранение, и что нужно сделать, чтобы бизнес не останавливался от одной случайности.
Если хотите, в Tredit мы можем упаковать аудит так, чтобы он был не “про технические слова”, а про бизнес-смысл: риски, сроки, стоимость, приоритеты и понятный план. Потому что инфраструктура — это не железки. Это фундамент.
FAQ
1) Как часто нужно делать ИТ-аудит?
Минимум — раз в год. Практично — лёгкая проверка раз в квартал (бэкапы, доступы, обновления) и полноценный аудит раз в год.
2) Можно ли провести аудит без остановки работы компании?
Да. Большая часть проверок делается наблюдением, сбором метрик и анализом конфигураций. Работы, требующие окна обслуживания, выносятся отдельно и планируются.
3) Что самое критичное, если времени мало?
Три вещи: бэкапы + тест восстановления, доступы и MFA, точки отказа в сети/серверной части.
4) Чем аудит отличается от “просто настройки админа”?
Аудит — это диагностика и карта рисков с приоритетами. Настройка — это уже лечение. Без аудита лечение часто превращается в “делаем то, что первое пришло в голову”.
5) Как понять, что аудит дал результат?
Если на выходе есть:
- карта рисков,
- список конкретных задач,
- сроки/стоимость/эффект,
- и вы реально закрыли хотя бы 3–5 quick wins в первый месяц — аудит сработал.
