Добавить в корзинуПозвонить
Найти в Дзене
ALP ITSM
288 подписчиков

Почему ИТ-аудит должен проверять процессы компании

4
15 мин
Каждый скрытый инцидент — это мина замедленного действия. В статье разбираем, как культура наказаний убивает бизнес и как ИТ-аудит помогает перестать искать виноватых и создать систему, которая работает на предупреждение и исключает повторные сбои. Привет, на связи Дмитрий Бессольцев, руководитель компании ALP ITSM. Уже 30 лет мы помогаем бизнесу наводить порядок в ИТ, выстраиваем рабочие процессы вместо «героизма отдельных людей», находим повторяющиеся инциденты и устраняем корневые причины. На наших проектах хорошо видно, как управленческие решения и отношение к ошибкам напрямую влияют на устойчивость бизнеса — и что можно сделать, чтобы ИТ стало опорой, а не источником постоянного стресса. Чаще всего, когда говорят о надежности ИТ, вспоминают сервера, лицензии, безопасность, модный стек технологий. На практике именно здесь и проявляется парадокс. Компания вкладывается в инфраструктуру, но продолжает жить в режиме аварий и простоев. Причина почти всегда одна и та же. Ломается не жел
Оглавление

Каждый скрытый инцидент — это мина замедленного действия. В статье разбираем, как культура наказаний убивает бизнес и как ИТ-аудит помогает перестать искать виноватых и создать систему, которая работает на предупреждение и исключает повторные сбои.

Привет, на связи Дмитрий Бессольцев, руководитель компании ALP ITSM. Уже 30 лет мы помогаем бизнесу наводить порядок в ИТ, выстраиваем рабочие процессы вместо «героизма отдельных людей», находим повторяющиеся инциденты и устраняем корневые причины. На наших проектах хорошо видно, как управленческие решения и отношение к ошибкам напрямую влияют на устойчивость бизнеса — и что можно сделать, чтобы ИТ стало опорой, а не источником постоянного стресса.

Чаще всего, когда говорят о надежности ИТ, вспоминают сервера, лицензии, безопасность, модный стек технологий. На практике именно здесь и проявляется парадокс. Компания вкладывается в инфраструктуру, но продолжает жить в режиме аварий и простоев. Причина почти всегда одна и та же. Ломается не железо, а процессы и распределение ответственности.

Инфраструктура — это только половина дела

На нашей практике было много компаний, которые закупали дорогие серверы, внедряли DLP-системы (системы предотвращения утечек данных) и писали толстые регламенты — но продолжали страдать от инцидентов и простоев. В одном из проектов, куда нас пригласили помочь, проблема тоже сначала воспринималась как техническая. Снижение скорости разработки, уменьшение количества релизов. Внутри команды обсуждали компетенции отдельных сотрудников, качество планирования и постановки задач, нагрузку. Но аудит показал, что ключевая причина не в коде и не в инструментах. Узкое место находилось в структуре принятия решений. Критические согласования проходили через определенных людей, а приоритеты менялись реактивно. В результате команда работала, но система не давала предсказуемого результата.

В другом проекте компания активно инвестировала в инфраструктуру, но сбои продолжались. При обследовании выяснилось, что ключевые задачи замкнуты на одного системного администратора. Не было формализованных процессов и резервирования. Мы рекомендовали перераспределить функции, описать рутинные задачи, завести документацию. Это помогло усилить отказоустойчивость системы и снизить риски незаменимости специалиста.

Опыт таких проектов показывает, что главная уязвимость бизнеса — не в железе и не в софте, а в том, как организация относится к процессам и людям, которые совершают ошибки.

Инфраструктура — это форма, а содержание определяют люди и процессы

Дорогие серверы, продвинутые DLP-системы и многостраничные регламенты не гарантируют стабильности. Мы видели немало компаний, которые вкладывали миллионы в технологии, но продолжали тонуть в инцидентах. Типичный пример: бизнес жалуется на низкую скорость разработки и редкие релизы, ища проблему в квалификации программистов или качестве ТЗ. Аудит же вскрыл иную реальность — «бутылочное горлышко» находилось в управлении. Из-за избыточной централизации принятия решений (зависело от нескольких сотрудников) и хаотичной смены приоритетов (реактивное планирование) команда просто не могла работать эффективно, какими бы мощными ни были их инструменты.

У нас был проект, где масштабные вложения в «железо» не спасали от постоянных сбоев. Аудит показал, что вся ИТ-система держалась на одном администраторе, а процессы и документация отсутствовали как класс. Мы внедрили регламенты, формализовали рутинные операции и распределили зоны ответственности. Это повысило отказоустойчивость и избавило компанию от «рабства» перед незаменимым сотрудником. Главный вывод таких проектов: основные риски бизнеса кроются не в коде, не в оборудовании, а в отношении к процессам и культуре работы с человеческими ошибками. Не надо искать виновных, надо исправлять систему.

Наказание — путь к деградации системы

Рефлекторный поиск виноватых после ИТ-сбоя — типичная ошибка управления. Когда сотрудник понимает, что за ошибку в базе или переход по фишинговой ссылке последует кара, его приоритетом становится самосохранение, а не спасение компании. Попытки «замести следы» или исправить все втайне лишают бизнес важного ресурса — времени. В итоге мелкий инцидент превращается в неуправляемую катастрофу.

Атмосфера страха — это, во-первых, проблема HR, а, во-вторых, риск для безопасности. Никакой мониторинг не заменит честную обратную связь от сотрудника. В рамках ИТ-аудитов мы постоянно наблюдаем одну и ту же картину: на бумаге процессы безупречны, но в реальности о сбоях узнают слишком поздно — когда скрывать проблему становится невозможно и она перерастает в громкое разбирательство.

Один из наших аудитов выявил классический пример того, как страх парализует процессы. Сотрудница, обнаружив ошибку в выгрузке 1С, предпочла промолчать, опасаясь выговора. Из-за сложившейся в отделе «культуры поиска виноватых» проблема вскрылась лишь спустя несколько дней при сверке данных. В итоге — срыв сроков отчетности и затяжной конфликт. При этом цена вопроса при своевременном обращении составляла всего несколько минут технической правки. Это типичный случай, когда карательная система управления бьет по самому бизнесу.

Совместно с руководством и HR-департаментом мы внедрили принципиально иную парадигму: фиксация ошибок перестала сопровождаться санкциями. Теперь в центре внимания не поиск виновных, а анализ системных сбоев. Готовность руководства исследовать несовершенство процессов, а не клеймить «нерадивых» исполнителей — это высший маркер зрелости бизнеса. Сотрудники перестают скрывать инциденты, а скорость устранения проблем вырастает в разы — с недель до суток.

Уровни зрелости компании

В нашей практике ИТ-инфраструктуры большинства компаний можно классифицировать по трем уровням зрелости. Несмотря на внешнее техническое сходство, их различия проявляются именно в моменты кризиса. Реальное состояние процессов и культуры выдает то, как организация реагирует на инцидент.

Уровень 0: «Стихийный». Процессы не формализованы и держатся на личном опыте сотрудников. Знания передаются устно, и это создает зависимость от конкретных людей.

В одной из компаний мы зафиксировали переходное состояние между нулевым и первым уровнями, то есть в ней регламенты существовали только на бумаге. Операционная работа велась в мессенджерах, а контроль доступа был децентрализован. По итогам аудита мы сформировали каркас процессов: внедрили полноценный Service Desk, установили параметры SLA и четко распределили роли. Это помогло бизнесу обрести фундамент для управления через метрики и системные улучшения. То есть появилась возможность перейти на следующий уровень зрелости.

Уровень 1: Формальный. Это стадия «бумажной» безопасности. В шкафах хранятся папки с регламентами и политиками, а каждый новый сотрудник исправно ставит подпись в листе ознакомления. На этом контроль и заканчивается: правила остаются на бумаге, не пересекаясь с реальными бизнес-процессами.

Яркий пример из нашей практики — производственная компания, где информационная безопасность существовала только в отчетах. На деле же учетные записи уволенных сотрудников оставались активными неделями – у них оставался допуск на это время ко всем папкам документации и разработок, права в 1С превратились в «культурные слои» без ревизии, а логисты могли редактировать финансовую отчетность. Отсутствие контроля доступов компенсировалось лишь верой в добросовестность персонала, а это создавало колоссальные риски для бизнеса.

В рамках аудита мы провели полную инвентаризацию учетных записей и выявили все избыточные права доступа. Чтобы перевести безопасность из «бумажной» плоскости в практическую, мы интегрировали ИТ-службу в HR-цикл: теперь уведомление об увольнении сотрудника автоматически запускает процесс блокировки. Также был назначен персонально ответственный за этот участок. Итог: доступы аннулируются в течение суток, а риски утечек и нецелевого использования данных сведены к минимуму.

Уровень 2: Управляемый. На этой стадии инфраструктура обретает прозрачность: внедрен Service Desk, налажено регулярное резервное копирование, а сотрудники проходят курсы по цифровой гигиене. Руководство опирается на конкретные метрики — от скорости обработки заявок до доступности главных сервисов и результатов тестовых фишинговых рассылок.

Но здесь сохраняется барьер в коммуникациях. ИТ-департамент выступает в роли «директора школы», который спускает правила сверху. В ответ бизнес-подразделения часто воспринимают требования безопасности как помеху, мешающую основной деятельности.

Даже наличие внешних атрибутов — канбан-досок, распределенных ролей и функций — не гарантирует управляемости. В одном из кейсов мы столкнулись с парадоксом: процессы формально соблюдались, но при замедлении разработки никто не мог локализовать проблему. Аудит показал, что «бутылочное горлышко» скрывалось в самих коммуникациях: разработчиков подключали слишком поздно, спецификации постоянно переделывались, а принятие решений было централизовано. Это классический признак переходного этапа: каркас системы уже возведен, но прозрачности внутри него нет. Без постоянной поддержки такие процессы быстро деградируют до хаоса.

В одном из кейсов мы столкнулись с классической иллюзией контроля: руководство было убеждено в стабильности ИТ, несмотря на постоянный фон из жалоб и сбоев. Вся ИТ-служба фактически была «черным ящиком», замкнутым на одном системном администраторе, который расставлял приоритеты по своему усмотрению. С помощью аудита мы оцифровали реальный путь заявки и выявили провалы в задачах. Внедрение единого канала обращений и системы учета времени реакции (SLA) вскрыло узкие места. Это вернуло бизнесу рычаги управления и устранило риск отката к хаотичному «ручному» режиму.

Уровень 3: Партнерский. На этой стадии ИТ и информационная безопасность интегрированы в общую бизнес-стратегию. Культура доверия позволяет сотрудникам оперативно сообщать о рисках или собственных промахах без страха санкций. Диалог между ИТ-директором и собственником переходит в плоскость управления капиталом и снижении рисков, а не обсуждения технических характеристик. Регламенты здесь — это не бюрократический балласт, а навигаторы, которые оптимизируют ежедневные операции.

Переход к сервисной модели трансформирует роль персонала: из источника скрытых угроз сотрудники превращаются в первую линию активной защиты. Но даже при высоком уровне технической зрелости бизнес часто спотыкается о дефицит горизонтальных коммуникаций. В одном из проектов мы зафиксировали проблему «вертикальных эскалаций»: это когда любые разногласия по архитектуре или безопасности решались на уровень топ-менеджмента. ИБ-специалисты и ИТ-менеджеры не контактировали напрямую, все проходило через топ-менеджмент. Из-за этого любой спор по требованиям превращался в управленческий инцидент. Отсутствие прямого диалога между архитекторами и ИТ-руководителями перегружало руководство и тормозило принятие решений, которые должны были закрываться на рабочем уровне.

ИТ-аудит — первый шаг к разработке стратегии развития

В одном проекте заказчик честно признался: «Мы не видим общей картины — где теряем ресурсы и в чем слабые места ИТ». Мы провели диагностику процессов — от регистрации инцидентов до управления изменениями — и выявили слабые зоны: единоличную ответственность, отсутствие SLA, хаотичную фиксацию задач. Вместе с клиентом мы сформировали дорожную карту развития: не только по устранению рисков, но и по превращению ИТ в предсказуемую и партнерскую функцию для бизнеса. Аудит стал точкой опоры для дальнейшей трансформации.

Модель уровней сама по себе полезна, но бизнесу нужен план действий. В рамках ИТ-аудита мы не просто ставим диагноз, а разрабатываем дорожную карту снижения рисков.

Что это значит на практике:

  1. Диагностика процессов. Мы смотрим, как реально проходят заявки в Service Desk, как быстро блокируются доступы уволенных, как реагируют на сбои вне рабочего времени. В одном кейсе, когда мы начали разбираться с обработкой заявок, выяснилось, что часть обращений приходит по почте, часть — в личку, часть — на словах. Истории обращений нет, статистики тоже. Один из респондентов прямо сказал: «Я написал, но понятия не имею, кто это делает и когда ответят». Для пользователей работа ИТ выглядела как лотерея.
  2. Поиск «узких мест». Часто выясняется, что проблема не в плохом сервере, а в том, что системный администратор перегружен рутиной и просто не успевает следить за бэкапами. В одной компании не было ИТ-директора: один человек вел сервера, обслуживал почту и параллельно принимал звонки от пользователей. Бэкапы проверялись «по настроению». Когда вышел из строя один из серверов, оказалось, что последние резервные копии были битые — просто некому было регулярно контролировать их состояние.
  3. Разработка стратегии. По итогам аудита мы формируем ИТ-стратегию, которая опирается на общую бизнес-стратегию компании: какие сервисы должны работать без простоев, какие риски недопустимы. Для собственника это ответ на вопрос «во что и зачем мы инвестируем в ИТ», для ИТ‑директора — понятная дорожная карта изменений с приоритетами, сроками и ресурсами. Уже внутри этой рамки появляются конкретные шаги: сначала настраиваем управление доступами и ответственность, затем обучаем людей, и только потом вкладываемся в сложные технические решения.

Принципы ИТ-культуры

Работая над развитием ИТ-инфраструктуры клиентов, я выделил два принципа, которые отличают зрелую ИТ-культуру от «метода кнута и пряника».

1. Сегментированное обучение вместо «курса для всех»
Типичная ошибка — прогнать всех сотрудников через один и тот же скучный инструктаж по ИБ или работе в 1С. Топ-менеджеру, бухгалтеру и курьеру рассказывают одно и то же. Результат — скука и игнорирование.

В одном проекте мы рекомендовали провести обучение по ИТ‑безопасности с учетом специфики отделов. Маркетингу — про фишинговые ссылки и рекламные интеграции, бухгалтерии — про поддельные письма и доступ к 1С, логистике — про мобильные устройства и работу «в поле». До этого все получали один и тот же PDF — длинный, формальный и фактически нечитабельный.

В ходе аудита стало очевидно, что сотрудники не получают системного обучения, а коммуникация по ИТ‑темам носит реактивный характер. Мы предложили сегментировать обучение по ролям (ИТ, бизнес, линейный персонал), собрать понятную базу знаний и переформатировать коммуникации с пользователями. Дополнительно добавили элементы геймификации для повышения вовлеченности. Вместо давления и контроля появилась внутренняя мотивация и прозрачные правила, а ИТ перестало восприниматься как помеха и стало поддержкой.

В проектах мы рекомендуем разделять обучение в зависимости от того, какой персонал обучаем. Топ-менеджер и линейный персонал не могут одинаково смотреть на вопросы безопасности:

  • Топ-менеджмент должен работать с рисками, как инциденты влияют на репутацию, стоимость простоев и юридическую ответственность.
  • ИТ-специалисты должны знать, как реагировать на уязвимости, стандарты конфигураций, принципы контроля базовой гигиены и как ее контролировать.
  • Линейный персонал необходимо научить, распознавать фишинг, как безопасно работать с кассой, кому звонить при сбое.

2. Двусторонняя коммуникация
ИТ-отдел должен быть открыт к обратной связи. В компаниях с высокой культурой ИТ информация постоянно доводится разными способами — от регулярных дайджестов, с помощью простых инструкций, базы знаний и удобному сервис-деск, который информирует пользователя о ходе решения заявки.

Как работает позитивная мотивация

Приведу пример, как можно повысить цифровую грамотность и мотивировать сотрудников. Вместо того чтобы пугать штрафами за непрохождение тестов, руководство одной из компаний, где стояла задача обучения сотрудников цифровой безопасности, объявило конкурс: отдел, который первым пройдет курс по кибербезопасности с лучшими результатами, получает корпоративный бонус (пицца-вечеринка и небольшие премии).

В другом проекте мы использовали похожий подход, но без привязки к премиям. Для сотрудников запустили простой рейтинг прохождения обучения с видимым прогрессом команд и еженедельным упоминанием лидеров на общем собрании. Никаких штрафов — только признание и здоровая конкуренция между отделами. Вовлеченность выросла в разы, а уровень прохождения приблизился к 100%.

Эффект был мгновенным. Обучение перестало быть «обязаловкой» и превратилось в командный спорт. Люди в чатах сами подгоняли коллег: «Проходи быстрее, мы отстаем!».
Бюджет акции был копеечным по сравнению со стоимостью рисков, которые она закрыла. Это пример того, как простое управленческое решение работает лучше дорогих систем контроля.

Первый шаг для руководителя

Для трансформации ИТ-службы в надежный актив компании рекомендуется сосредоточиться на следующих управленческих решениях:

  • Пересмотр культуры реагирования на инциденты. Переход от поиска виновных к анализу системных причин сбоя. Нужно сформировать среду, где оперативное и честное сообщение об ошибке поощряется, а не карается. Это будет устранять угрозы на ранних стадиях.
  • Проведение комплексного ИТ-аудита. Фокус должен быть смещен с инвентаризации оборудования на аудит бизнес-процессов. Необходимо проверить корректность распределения прав доступа, готовность персонала к кибератакам и фактическую (а не документальную) работоспособность систем резервного копирования.
  • Пример из практики: В одном из проектов задачей ставилось получение объективной картины работы департамента разработки. Целью было не внедрение новых методологий, а выявление зон перегрузки и размытой ответственности. Итогом аудита стала модель текущего состояния, позволившая принимать решения на основе верифицированных данных.
  • Интеграция ИТ в бизнес-планирование. Когда ИТ-директор или привлеченный эксперт (vCIO) участвует в обсуждении стратегических целей. Это помогает заранее идентифицировать технологические риски и синхронизировать развитие инфраструктуры с задачами бизнеса.

Формирование культуры ИТ-безопасности и зрелых процессов — это долгосрочный процесс, направленный на системное снижение рисков. ИТ-аудит в данном контексте выступает инструментом оценки текущего состояния инфраструктуры. Переход от интуитивного управления к принятию решений на основе фактов – это трансформация ИТ из источника неопределенности в предсказуемый актив. В конечном счете, информационная безопасность основывается не на системе ограничений, а на едином взаимодействии, обеспечивающем защиту интересов бизнеса.

Что можно сделать уже сейчас

ИТ‑аудит это не про недоверие к айтишникам, а про честный разговор о рисках и деньгах. Он показывает, где компания живет в режиме постоянного «героизма» и случайных побед, а где можно за счет небольших изменений в процессах и ответственности резко снизить вероятность повторных сбоев.

Если вы чувствуете, что ИТ‑инфраструктура росла стихийно, инциденты стали «нормой», а разборы после ошибок не приводят к системным изменениям, начните с аудита процессов обработки инцидентов, управления доступами и резервного копирования.

А если перед вами стоит задача выбора подрядчика, будет полезна наша инструкция по выбору поставщика: какие критерии важны, где чаще всего «прячутся» риски и как сравнивать предложения не только по цене.