Audyt IT w firmie - co sprawdzić, zanim dojdzie do awarii?

Większość awarii IT nie wydarza się „nagle”. Zwykle jest finałem drobnych zaniedbań: backup od miesięcy się nie wykonuje, kończy się miejsce na dysku serwera, certyfikat SSL wygasa w weekend, router działa na starej wersji firmware, a konto byłego pracownika nadal ma dostęp do firmowych zasobów. Audyt IT ma jeden cel: znaleźć te słabe punkty zanim zrobią z firmy zakładnika przestoju.

1) Inwentaryzacja

Audyt zaczyna się od podstaw: jeśli nie wiesz, jakie zasoby masz, nie zabezpieczysz ich.

Sprawdź i spisz:

komputery, laptopy, telefony, drukarki, urządzenia sieciowe (router/switch/AP),
serwery (fizyczne i wirtualne) oraz usługi (AD, DNS, DHCP, pliki, bazy),
aplikacje biznesowe (ERP/CRM, księgowość, magazyn, poczta),
konta i subskrypcje (Microsoft 365/Google, hosting, domeny, certyfikaty),
kluczowych dostawców (operator internetu, firma IT, hostingodawca).

Efekt audytu na tym etapie: kompletna lista zasobów + „co jest krytyczne”.

2) Backup i Disaster Recovery

To najważniejszy punkt audytu, bo bez sprawdzonego backupu każdy problem może zamienić się w katastrofę.

Audytuj:

co jest backupowane (serwery, bazy, pliki, chmura, stacje robocze),
jak często (RPO) i jak szybko można odtworzyć (RTO),
gdzie trafiają kopie (czy jest kopia offsite / odseparowana),
czy backup jest odporny na ransomware (immutability, oddzielne uprawnienia),
kiedy ostatnio testowano odtwarzanie (i czy test zakończył się sukcesem).

Czerwone flagi:

„backup jest, ale nie wiemy gdzie”,
brak testów odtwarzania,
kopia na tym samym NAS/serwerze,
brak backupu M365/Google (częsty błąd).

3) Bezpieczeństwo kont i dostępów

W większości firm największe ryzyko nie siedzi w „hakerach”, tylko w źle zarządzanych dostępach.

Sprawdź:

czy jest MFA dla poczty, VPN, paneli administracyjnych,
czy istnieją konta wspólne (np. „biuro@”, „admin” używane do maila),
czy uprawnienia są minimalne (least privilege),
proces offboardingu: co dzieje się z dostępem po odejściu pracownika,
czy admini mają osobne konta administracyjne,
kto ma dostęp do backupów i czy jest on ograniczony.

Efekt audytu: lista kont uprzywilejowanych + plan uporządkowania ról.

4) Aktualizacje i podatności

Brak patchowania to jedna z najczęstszych przyczyn incydentów i włamań.

Audytuj:

aktualność systemów (Windows/macOS/Linux),
aktualność aplikacji (przeglądarki, Office, narzędzia firmowe),
aktualność WordPress/wtyczek (jeśli dotyczy),
firmware routerów, switchy, access pointów,
systemy EOL (end-of-life) – czy coś jest już bez wsparcia.

Wynik audytu: lista krytycznych zaległości + harmonogram patchowania.

5) Sieć i Wi-Fi

Problemy z siecią potrafią rozwalić pracę całego biura, a brak segmentacji zwiększa ryzyko ransomware.

Sprawdź:

czy sieć jest podzielona na segmenty (VLAN) – osobno goście, IoT, biuro, serwery,
czy Wi-Fi gości jest odseparowane,
czy hasła do Wi-Fi są rotowane (lub jest 802.1X),
czy są redundancje (drugi internet/failover) jeśli biznes tego potrzebuje,
czy konfiguracja jest udokumentowana i ma backup.

Czerwone flagi:

„wszystko w jednej sieci”,
ten sam SSID dla gości i pracowników,
brak logów i brak monitoringu sieci.

6) Endpointy (komputery) i standardy pracy

Komputery użytkowników to najczęstszy punkt startu incydentu.

Audytuj:

czy urządzenia mają szyfrowanie dysków (BitLocker/FileVault),
czy jest EDR/antywirus klasy biznes,
czy pracownicy mają uprawnienia administratora lokalnego,
czy są standardy sprzętowe i obraz systemu,
gdzie są trzymane dane (lokalnie czy w chmurze/na serwerze).

Wynik: polityka endpointów + plan standaryzacji.

7) Monitorowanie i alerty

Jeżeli o awarii dowiadujesz się od pracowników, audyt powinien to bezlitośnie wskazać.

Sprawdź:

monitoring serwerów/usług (CPU, RAM, dyski, dostępność),
monitoring backupów (czy ostatnia kopia się wykonała),
alerty o kończących się certyfikatach SSL i domenach,
logi bezpieczeństwa (nietypowe logowania, błędy MFA, blokady),
czy jest system zgłoszeń (ticketing) i raporty SLA.

Efekt: lista braków monitoringu + plan wdrożenia alertów.

8) Poczta i chmura

Dla wielu firm poczta to krytyczny system. Przejęcie konta e-mail to często „pierwszy krok” do oszustw i ransomware.

Audytuj:

MFA i zasady dostępu,
antyphishing/antispam,
konfigurację SPF/DKIM/DMARC (ochrona domeny przed podszywaniem),
uprawnienia do dysków i udostępnień,
polityki retencji, kopie zapasowe danych chmurowych.

9) Procedury i dokumentacja

Firma bez dokumentacji żyje na ryzyku.

Sprawdź:

czy istnieje dokumentacja infrastruktury (choćby minimalna),
gdzie są przechowywane hasła (menedżer haseł vs plik w Wordzie),
procedury awaryjne (internet padł, poczta padła, ransomware),
procedury onboarding/offboarding,
umowy i kontakty do dostawców + dane dostępowe.

Wynik: „runbook” na 2–3 strony, który ratuje firmę w kryzysie.

10) Licencje, zgodność i ryzyka formalne

Często pomijane, a potrafi wybuchnąć podczas kontroli, audytu lub po incydencie.

Sprawdź:

legalność licencji i subskrypcji,
wygasające domeny i certyfikaty,
umowy powierzenia i wymagania RODO (jeśli przetwarzacie dane),
polityki bezpieczeństwa (choćby podstawowe).

Jak wygląda dobry wynik audytu IT?

Audyt nie powinien kończyć się „ładnym PDF-em”. Powinien dać:

Listę problemów pogrupowaną wg ryzyka (krytyczne / ważne / do poprawy),
Rekomendacje z priorytetami (co w 7 dni, 30 dni, 90 dni),
Plan wdrożenia: kto robi, ile to trwa, co jest potrzebne,
Elementy mierzalne: monitoring, SLA, RPO/RTO, przeglądy cykliczne.

Podsumowanie

Audyt IT to najlepsza inwestycja „zanim zaboli”. Pozwala wykryć brakujące backupy, luki w dostępach, zaległe aktualizacje, ryzyka sieciowe i brak procedur – czyli dokładnie te rzeczy, które najczęściej kończą się awarią lub incydentem bezpieczeństwa. Kluczowe jest to, żeby audyt zakończył się planem działań, a nie samą listą problemów.

Jeśli szukasz kompleksowej obsługi informatycznej w Warszawie, sprawdź ofertę firmy E-Support.