IT audit firmy: Co to je a proc ho potrebujete

Vite, v jakem stavu je IT infrastruktura vasi firmy? Mate prehled o vsech zarizeních, licencích a bezpecnostnich rizicich? Pokud ne, je cas na IT audit. Neni to zadna byrokracie -- je to prakticky nastroj, ktery vas ochrání pred nepríjemnymi prekvapeniml.

Co je IT audit

IT audit je systematicka kontrola celé IT infrastruktury firmy. Technik projde vsechny pocitace, servery, site, softwarove licence, zalohy, zabezpeceni a procesy. Vysledkem je zprava s konkretniml nalezy a doporuceniml, serazenymi podle priorit.

Neni to jednorázova akce, ale pravidelny proces. Stejne jako chodite na lekarskou prohlidku, i vase IT infrastruktura potřebuje pravidelnou kontrolu.

Co IT audit zahrnuje

Hardware a zarizeni

• Soupis vsech pocitacu, notebooku, serveru, tiskarren a sitovych zarizení.
• Stari a stav hardware -- ktere pocitace jsou na konci zivotnosti?
• Kompatibilita s aktualnimi operacními systemy.
• Stav disku a ramezu -- predikce poruch drive, nez nastanou.

Software a licence

• Prehled nainstalovanecho softwaru na vsech stanicich.
• Kontrola licenci -- mate za vsechno zaplaceno? Pouzivate nejake licence zbytecne?
• Verze softwaru -- jsou aktualizovane?
• Neautorizovany software -- nainstalovano neco, co tam nepatri?

Sit a konektivita

• Topologie site -- jak je vse propojeno?
• Kvalita a rychlost pripojení k internetu.
• Wi-Fi pokryti a zabezpecení.
• Firewall a jeho konfigurace.

Bezpecnost

• Antivirova ochrana -- je aktivní a aktualizovana na vsech stanirich?
• Sprava hesel -- pouzivaji zamestnanci silna hesla? Je nastaveno dvoufaktorove overení?
• Pristupova prava -- kdo má pristup kam?
• SPF, DKIM, DMARC u e-mailovych domern.

Zalohy a obnova

• Existuji zalohy? Kam se zaluhuji?
• Jak casto se zaluhuji?
• Byly zalohy nekdy testovany obnovením?
• Je plan obnovy po havarii (disaster recovery plan)?

Typicke nalezy IT auditu

Z nasi praxe jsou nejcastejsi nalezy u malych firem:

• Neaktualizovane systemy: Windows bez poslednich bezpecnostnich zahra, zastaraly antivirus.
• Chybejici nebo netestovane zalohy: Firma si mysli, ze zalohy bezi, ale nikdo to nekontroluje.
• Slaba hesla a zadne 2FA: Heslo "firma123" pro sdileny ucet na vsech pocitacich.
• Neridene pristupove prava: Byvaly zamestnanci maji stale pristup k firemnim systemum.
• Chybejici dokumentace: Nikdo nevi, kde jsou hesla k serveru nebo kdo má klice od serverorvny.
• Zastaraly hardware: Pocitace starsi 6 let, ktere jsou pomalé a nespolehlivé.
• Nevyuzite licence: Firma plati za software, ktery nikdo nepouziva.

Jak se nalezy prioritizuji

Kvalitni IT audit nalezy roztridi do kategorii podle zavaznosti:

• Kriticke: Bezprostredni hrozba -- chybejici zalohy, otevreny RDP port na internetu, admin ucet bez hesla. Resit okamzite.
• Vysoke: Vyznamne riziko -- zastaralé systemy, slaba hesla. Resit do 30 dni.
• Stredni: Prostor pro zlepseni -- chybejici monitoring, nevyuzite licence. Resit do 90 dni.
• Nizke: Doporucení pro zlepseni -- upgrade hardware, optimalizace site. Plranovat do rozpoctu.

Jak casto delat IT audit

Doporucujeme provadět IT audit:

• Jednou rocne: Kompletni audit cele infrastruktury.
• Pri zmene IT dodavatele: Novy dodavatel by mel zacit auditem, aby vedel, s cim pracuje.
• Po bezpecnostnim incidentu: Zjistit, co se stalo a jak tomu predejit priste.
• Pred velkymi zmenami: Migrace do cloudu, stehovani kancelari, fúze s jinou firmou.

Co audit stoji a jak dlouho trva

Pro firmu s 10-20 pocitaci trva zakladni IT audit 1-2 dny. Vysledná zprava je typicky hotova do tydne. Naklady se pohybuji od 5 000 do 20 000 Kc v zavislosti na rozsahu. Je to zlomek nakladu, ktere usetrite dikyvcasné detekci problemu.

Shrnuti

IT audit neni byrokracie ani zbytecny naklad. Je to investice do stability a bezpecnosti vasi firmy. Odhalí problemy drive, nez zpusobi skodu, a da vam jasny plan, co zlepsit a v jakem poradi.