Jak przygotować organizację do przeglądu infrastruktury IT, żeby nie utknąć na brakach dokumentacji

W wielu rozbudowanych organizacjach proces oceny infrastruktury technologicznej napotyka na poważne przeszkody jeszcze przed rozpoczęciem właściwych prac. Zamiast obawiać się przestarzałego sprzętu, zarządzający często odkrywają, że największym ryzykiem jest brak scentralizowanej wiedzy o własnym środowisku informatycznym. Rozproszona dokumentacja, wiedza ukryta w głowach pojedynczych administratorów i niepełna świadomość powiązań między aplikacjami skutecznie paraliżują analityków. Zespoły działają lokalnie i rozwiązują bieżące problemy, ale bez zbiorczego widoku architektury całe środowisko staje się całkowicie nieprzejrzyste. W takiej sytuacji weryfikacja dostępnych zasobów zmienia się w bardzo trudne i czasochłonne śledztwo.

Uporządkowanie podstawowych obszarów przed wejściem analityków

Pierwszym etapem przygotowań do zewnętrznej oceny musi być szczegółowa inwentaryzacja wszystkich posiadanych technologii. Proces ten obejmuje nie tylko fizyczny spis serwerów czy przełączników sieciowych, ale również pełną ewidencję oprogramowania, wykupionych licencji oraz przypisanych do nich kont użytkowników. Taka rzetelna lista ułatwia weryfikację dotychczasowej dokumentacji technicznej. Pozwala także błyskawicznie wychwycić nieewidencjonowane elementy wpięte do firmowej sieci LAN, czyli zjawisko tak zwanego szarego IT.

Kolejnym ważnym zadaniem pozostaje precyzyjne określenie kompetencji za poszczególne fragmenty wdrożonych systemów. W tym celu świetnie sprawdza się wykorzystanie macierzy RACI, która dzieli role na osoby realizujące zadanie, odpowiadające za jego wynik, konsultujące zmiany oraz wyłącznie informowane o postępach. Przypisanie tych czterech etykiet do konkretnych inżynierów lub menedżerów likwiduje decyzyjny chaos. Znika częsty problem, w którym nikt nie czuje się ostatecznie odpowiedzialny za funkcjonowanie krytycznej aplikacji biznesowej.

Głębokiej weryfikacji ze strony ekspertów wymagają także procedury tworzenia i testowania kopii zapasowych. Sama pisemna deklaracja o regularnym backupie nie wystarczy, aby przejść weryfikację. Analitycy sprawdzają konkretne miejsca przechowywania nośników, częstotliwość replikacji plików oraz udokumentowane wyniki testów odtwarzania całego środowiska. Kopie utrzymywane w chmurze obliczeniowej lub na tradycyjnych taśmach magnetycznych LTO muszą pozostawać fizycznie i logicznie odseparowane od głównego środowiska pracy. Tylko taka separacja zapewnia realną odporność na paraliżujące ataki z użyciem oprogramowania ransomware.

Schemat sieci, zależności i rzeczywisty zakres przeglądu

Prostemu spisowi urządzeń umykają zjawiska, które może pokazać tylko zaktualizowany schemat logiczny i fizyczny topologii sieci. Zestawienie połączeń między maszynami ujawnia ukryte dotąd ścieżki przepływu informacji pomiędzy różnymi oddziałami. To właśnie na stykach zróżnicowanych technologii i protokołów komunikacyjnych rodzą się najtrudniejsze w diagnozie błędy konfiguracji. Dokładna mapa połączeń pozwala zidentyfikować krytyczne punkty awarii oraz oszacować ryzyko przestoju całego przedsiębiorstwa.

Ustalając granice weryfikacji, organizacja powinna od razu uwzględnić wszelkie integracje z podmiotami trzecimi. Współcześnie żaden audyt informatyczny nie może pominąć zewnętrznych dostawców przestrzeni chmurowych ani firm przejmujących część codziennych zadań administracyjnych. Praktyka inżynierska pokazuje, że to granice odpowiedzialności między wewnętrznym działem a wykonawcą bywają najbardziej problematyczne w utrzymaniu bezpieczeństwa. Obserwacje krakowskiej firmy smartCOM potwierdzają, że projektowanie nowej infrastruktury Data Center czy systemów telefonii IP zawsze obnaża historyczne braki w udokumentowaniu przepływu danych.

Sytuacja staje się jeszcze bardziej wymagająca w przypadku małopolskich instytucji publicznych i organów administracji. W podmiotach tego typu pojawiają się rygorystyczne oczekiwania dotyczące pozostawiania wyraźnych śladów decyzyjnych i gotowości do postępowań przetargowych. Weryfikatorzy szukają dowodów na bezwzględną zgodność z minimalnymi wymaganiami Krajowych Ram Interoperacyjności oraz najnowszymi wytycznymi dyrektywy NIS2. Wymusza to posiadanie spójnych opisów prowadzonych polityk ochrony, rejestrów incydentów oraz planów szkoleń dla całego personelu.

Rzetelna praca przygotowawcza przed przyjazdem analityków nie ma nic wspólnego z mechanicznym porządkowaniem segregatorów i gorączkową kosmetyką starych polityk bezpieczeństwa. Jej ostatecznym celem jest bezkompromisowe ujawnienie rzeczywistego poziomu ryzyk technologicznych oraz faktycznego stanu nadzoru nad sprzętem i oprogramowaniem. Uczciwe podejście do własnych braków dokumentacyjnych daje czas na zaplanowanie i wdrożenie działań naprawczych. Pozwala to uniknąć poważnych kryzysów, gdy zewnętrzni eksperci zaczną testować architekturę produkcyjną i szukać punktów wejścia do sieci.