Карта ИТ-зрелости за 4 недели. 9 доменов, по которым я делаю аудит

Зачем эта карта

Когда владелец впервые звонит мне с фразой «у нас ИТ перестал быть управляемым», я не задаю вопрос «что именно болит». Я задаю 9 вопросов по 9 доменам и за 30 минут понимаю, какой из них горит ярче остальных. Дальше 4 недели работы. За них я превращаю ощущение «ИТ не управляется» в карту с приоритетами и бюджетом на год.

Эта запись для владельца или CEO компании 50–500 человек, который думает заказать аудит ИТ и хочет понять, по какой методологии я его делаю. Без маркетинговых обёрток. С контрольными точками, шаблоном отчёта и понедельной разбивкой работ.

Почему 9 доменов, а не 12 и не 4

Я пробовал разные нарезки. Чек-листы ITIL на 34 практики, ISACA CMMI на 22 process area, COBIT 2019 на 40 целей governance и management. На масштабе 50–500 человек это перегруз. За 4 недели по таким моделям успеешь только интервью провести. И не пробьёшь главного, приоритизацию.

Меньше девяти тоже плохо. Если свести всё к «инфраструктура, безопасность, процессы, бюджет», упустишь критичные вещи. Данные растворятся в инфраструктуре, риски в безопасности, команда в бюджете. А именно эти три домена, по моим наблюдениям, дают самые болезненные находки чаще всего.

Долго у меня было восемь доменов. Девятый я выделил отдельной осью после того, как раз за разом утыкался в одну и ту же корневую причину. У бизнеса нет ИТ-стратегии и нет управления ИТ как функции. Раньше я растворял это внутри других доменов. Бюджет считал в «Бюджете», подрядчиков в «Команде», соответствие целям нигде. Получалось, что самую частую причину всех остальных провалов карта прямо не показывала.

Поэтому «Стратегия и управление ИТ» теперь стоит первым доменом и держит самый большой вес в скоринге. Когда у ИТ нет связки с целями бизнеса и нет того, кто принимает решения по понятному ритму, остальные восемь доменов чинятся точечно и через полгода снова разваливаются. Лечить инфраструктуру при отсутствии управления всё равно что тушить пожары без пожарной части.

Мост к COBIT 2019. Governance против management

COBIT 2019 делит 40 целей на пять доменов. Четыре из них про management. Это APO (выравнивание и планирование), BAI (создание и внедрение), DSS (поставка и поддержка), MEA (мониторинг и оценка). Пятый домен стоит особняком и называется EDM, от Evaluate, Direct and Monitor. То есть оценивать, направлять, контролировать.

EDM и есть governance. Не операционное управление ИТ, а рамка над ним. Пять целей. Настройка и поддержка системы управления, обеспечение отдачи от вложений, оптимизация рисков, оптимизация ресурсов, вовлечение заинтересованных сторон. Мой домен «Стратегия и управление ИТ» проверяет ровно этот слой. Существует ли governance над ИТ вообще, или есть только тушение операционных пожаров.

Девять. Столько помещается в одну страницу карты и в одно совещание с владельцем длиной полтора часа. Каждый домен оценивается по шкале 1–5 (от «хаос» до «оптимизация»). Карта по итогу выглядит как радарная диаграмма с девятью лучами.

Шкала зрелости

1. Хаос. Процессов нет, всё держится на конкретных людях. Знание не задокументировано.

2. Реактивный. Появились первые регламенты, но работают только когда вспомнили.

3. Управляемый. Регламенты соблюдаются, есть метрики, владелец видит картинку раз в месяц.

4. Измеримый. Метрики собираются автоматически, принимаются решения по данным, цели на год понятны.

5. Оптимизированный. Процессы улучшаются на данных, есть культура разбора результатов и постоянного улучшения.

Домен 1. Стратегия и управление ИТ

Самый частый корень всех проблем и потому первый домен. Что я считаю здесь. Связку ИТ с целями бизнеса, наличие governance (кто принимает ИТ-решения и по какому ритму), бюджетный контроль на уровне управления, управление подрядчиками как функцию, прозрачность ИТ для владельца. Это не про технику. Это про то, управляется ли ИТ как функция бизнеса или живёт сам по себе.

На ознакомительном звонке прошу владельца ответить на один вопрос. Какие у ИТ цели на этот год и как они связаны с целями компании. Если в ответ список задач из тикетов, зрелость 1, целей нет. Если «цели есть, но в голове у руководителя ИТ», ставлю 2. Если «цели записаны, согласованы со мной раз в год, я вижу отчёт раз в месяц», ставлю 3 и выше.

Этот домен ложится на governance-домен COBIT 2019. Там он называется EDM, от Evaluate, Direct and Monitor. То есть оценивать, направлять, контролировать. EDM отделён от четырёх management-доменов как раз потому, что governance и операционное управление — разные вещи. Можно отлично тушить инциденты и при этом не иметь никакого governance над ИТ. Я проверяю наличие именно рамки управления, а не качество операционки. Операционку считаю в домене «Процессы».

Контрольные точки

Связь с бизнесом. Есть ли у ИТ цели на год, привязанные к целям компании? Кто их ставит и пересматривает?
Governance. Кто принимает ключевые ИТ-решения? Есть ли понятный ритм, или решения возникают стихийно и замкнуты на одного человека?
Прозрачность для владельца. Видит ли владелец, на что ИТ тратит деньги и время? Регулярно или по запросу с задержкой?
Бюджетный контроль. Управляется ли ИТ-бюджет на уровне решений, а не только учёта. Кто отвечает за приоритеты трат.
Управление подрядчиками. Подрядчики — это управляемая функция с паспортами договоров и KPI, или набор счетов, которые просто оплачивают.
Соответствие целям. Делает ли ИТ то, что нужно бизнесу, или то, что интересно команде. Кто это сверяет.

Домен 2. Инфраструктура

Что я считаю в этом домене. Парк физических и виртуальных серверов, среда виртуализации (VMware, Proxmox, oVirt, KVM-bare), СХД, корпоративная сеть (коммутаторы, маршрутизаторы, Wi-Fi), резервное копирование и мониторинг. Сюда же внешние площадки. Облако, DC, ЦОД, удалённые офисы.

На ознакомительном звонке прошу владельца ответить на один вопрос. Что случится, если завтра сервер с 1С не загрузится. Если ответ «не знаю», это зрелость 1. Если «есть бэкап ночной», ставлю 2. Если «есть бэкап, проверяли restore квартально, RTO 4 часа», ставлю 3 и выше.

Контрольные точки (7 штук)

Возраст железа. Сколько серверов старше 5 лет? Сколько на расширенной гарантии? Что с запчастями в РФ?
Виртуализация. Версия гипервизора, поддерживается ли вендором, есть ли pre-paid поддержка с РФ-партнёром.
СХД. Тип (SAN/NAS/HCI), уровень RAID, RPO/RTO для каждого тира.
Бэкап. Стратегия 3-2-1, есть ли offsite, тестовый restore — когда последний раз делался.
Мониторинг. Zabbix / Prometheus / самописное? Доходит ли алёрт до дежурного за 5 минут?
Сеть. Топология, VLAN, дублирование магистралей, CDN, DNS, доступ извне.
Площадки. Собственная серверная или ЦОД? SLA от провайдера? Резервный канал?

Домен 3. Безопасность

Этот домен я делю на четыре подобласти. Регуляторика (152-ФЗ ИСПДн и 187-ФЗ КИИ), технический контроль доступа, инциденты за последние 12 месяцев и корпоративная политика. За 4 недели по каждой подобласти собирается 1–2 страницы оценки.

152-ФЗ. У вас зарегистрированы ИСПДн в Роскомнадзоре? Категория ПДн определена? Уровень защищённости (УЗ-2 или УЗ-3) выставлен? Модель угроз актуальная или ей уже несколько лет? Чаще всего встречаю компании, которые живут на модели угроз пяти-семилетней давности, хотя реальный стек за это время сменился дважды.

187-ФЗ. Это для критической информационной инфраструктуры. Ваша отрасль из списка банки, ТЭК, транспорт, здравоохранение, связь? Тогда попадаете с большой вероятностью. Категорирование проведено? Акт ФСТЭК есть? План устранения замечаний закрыт?

Частая находка по КИИ

Категорирование КИИ устаревает. Делают его один раз, а через пару лет периметр в холдинге меняется. Появляются новые объекты, старые выводят, а категория значимости остаётся прежней. Я всегда проверяю дату последнего акта категорирования и сверяю текущий перечень объектов с актуальной редакцией требований. За нарушение требований по обеспечению безопасности значимых объектов отвечает ч. 1 ст. 13.12.1 КоАП РФ. Для юрлица это 50–100 тыс ₽ и предписание ФСТЭК. Привести такой блок в порядок параллельно с программой замещения занимает порядка нескольких месяцев на проектах такого масштаба.

Инциденты. Прошу список инцидентов безопасности за 12 месяцев. Не «у нас всё хорошо», а конкретный реестр. Кто-то подобрал пароль, кто-то открыл фишинговое письмо, кто-то слил БД в открытый репозиторий. Реестра нет? Это тоже отдельный пункт.

Доступы. Принцип наименьших привилегий соблюдается? Кто имеет админ-права на проде? Есть ли отзыв доступов при увольнении за 24 часа? MFA на критичных системах включён?

Домен 4. Данные

Слепое пятно у большинства компаний. Владелец знает, что у него есть 1С, CRM, склад, почта. Что данные где-то хранятся. На вопрос «кто отвечает за корректность данных в CRM» наступает пауза.

В этом домене я считаю реестры данных (что и где), BI-витрины, хранилища (DWH), ETL-процессы, ownership (кто отвечает за корректность), retention (сроки хранения и удаления).

Что собираю

Реестр источников. Какие системы дают primary source для каких сущностей. Где «правильный» клиент, в 1С или в CRM?
BI. Есть ли регулярная отчётность владельцу? Откуда берутся цифры в этих отчётах? Кто формирует?
Хранилище. Если есть DWH — какие источники, как обновляется, как контролируется качество.
ETL. Документированы ли потоки данных? Кто владеет?
Ownership. На каждый ключевой data set должен быть один человек, который отвечает за корректность. Если на data set «отвечает ИТ», это значит «не отвечает никто».
Retention. 152-ФЗ требует ограниченный срок хранения ПДн. Соблюдается?

Домен 5. Бизнес-приложения

ERP (на российском рынке обычно 1С), CRM, документооборот, складские и отраслевые системы. Прошу составить инвентарь. Что внедрено, на чём (десктоп / web / cloud), сколько пользователей, кто администрирует, кто внешний интегратор.

Главный вопрос звучит так. Для каких бизнес-процессов система реально используется, а для каких куплена, но не работает. На моей практике типична картина. Внедрили CRM пару лет назад, лицензии оплачивают, а реально работает в ней меньшая часть отдела продаж. Остальные сидят в Excel и в мессенджерах.

Контрольные точки

Версия и поддержка вендора. Какая редакция, 1С 8.3 ПРОФ или КОРП.
Внешние интеграторы. Что делают, по какому договору, с какой частотой.
Кастомизации. Задокументированы ли? Кто понимает код?
Интеграции между системами. Sync, async, по какому протоколу (HTTP REST, очереди, файловый обмен).
Затраты в год на лицензии и сопровождение по каждой системе.

Домен 6. Процессы

ITIL на масштабе 50–500 человек. Я веду шесть практик из 34: incident, change, problem, asset, service level management, continual improvement. Подробнее об этом наборе я писал в записи ITIL без толстого тома (когда опубликую — приведу ссылку здесь).

В аудите проверяю каждую практику по двум осям. Документирована да или нет, исполняется в реальности да или нет. Отсюда четыре состояния.

Документирована	Исполняется	Что это значит
Нет	Нет	Хаос. Зрелость 1.
Нет	Да	Знание живёт в головах, работает на конкретных людях. Зрелость 2. Бус-фактор.
Да	Нет	Полка регламентов. Зрелость 2. Часто хуже первого варианта — есть иллюзия порядка.
Да	Да	Управляемый процесс. Зрелость 3+. Метрики покажут точнее.

Самый частый антипаттерн звучит как «документирована, не исполняется». Когда ИТ-директор когда-то заказал регламент у консультанта, документ лежит на портале, никто им не пользуется. Владельцу при аудите его показывают как доказательство зрелости. Я в первые 15 минут интервью с любым из исполнителей понимаю, действительно ли регламент живёт.

Домен 7. Команда

Штат ИТ, его численность, роли, квалификация. Аутстаф и подрядчики, по каким направлениям, какой бюджет, какой риск зависимости. Bus factor, сколько критичных функций держится на одном человеке. Договоры, есть ли NDA и неконкурентные соглашения с ключевыми инженерами.

Bus factor проверяется одним вопросом владельцу. «Если ваш системный администратор завтра не выйдет на работу, через сколько часов компания потеряет работоспособность?» Если ответ «не знаю», это уже тревожный звоночек. Если «через 2 часа», нужно разговаривать про дублирование.

Домен 8. Бюджет

OPEX и CAPEX по статьям. Прозрачность для финансового директора и владельца. Сравнение с отраслевыми бенчмарками. Идентификация рисков сверхтрат.

На ознакомительном звонке прошу один артефакт. Бюджет ИТ на текущий год с разбивкой по статьям. Если такого артефакта нет, это отдельная находка. Если есть, смотрю долю в выручке (ориентир порядка величин для производства 0.8–1.5%, для торговли 0.5–1.0%, для финтеха 3–6%), долю CAPEX к OPEX, прозрачность статей.

Бенчмарки беру из публичных отчётов Gartner с поправкой на РФ и из открытых данных Минцифры по госкомпаниям. Сверяю их с собственной базой по проектам в ИТ-руководстве.

Домен 9. Риски

Сценарии простоя по критическим системам. Утечка ПДн. Уход ключевых сотрудников. Действия регулятора (внеплановая проверка ФСТЭК, Роскомнадзора, отраслевого регулятора). Санкции и уход вендора.

На каждый сценарий считаю три параметра. Вероятность (низкая, средняя, высокая), последствия (в рублях и в днях простоя), готовность (есть план реагирования или нет). Получается матрица 8–12 строк.

Этот домен почти всегда вытаскивает 2–3 риска уровня «высокая вероятность × катастрофические последствия × нет плана». Самый частый, уход ключевого человека (см. домен «Команда»). Второй, санкционный отказ вендора при отсутствии плана миграции.

Что выдаётся на выходе

За 4 недели я отдаю владельцу четыре документа:

Карта зрелости. Радарная диаграмма по 9 доменам с оценкой 1–5 на каждом. Презентация на 1 час с пошаговым разбором.
Бюджет ИТ на 12 месяцев. С разбивкой по статьям, обоснованием по каждому пункту, сравнением с бенчмарком отрасли.
Дорожная карта 6–18 месяцев. С приоритетами по доменам, ожидаемыми результатами, рисками и зависимостями. Не «список хотелок», а проектный план с датами и владельцами.
Шаблон ежемесячного отчёта владельцу. 1 страница A4. Что произошло за месяц, какие метрики где (KPI по uptime, инцидентам, бюджету), куда движемся. Чтобы владелец мог читать раз в месяц и принимать решения.

Шаблон ежемесячного отчёта сам по себе становится отдельной находкой для большинства клиентов. По моим наблюдениям владелец получает от ИТ либо ничего, либо 30-страничный документ, который не дочитывают до конца. Одна страница, которую можно прочитать за 4 минуты, заходит лучше.

4 недели по неделям

Неделя	Что делаю	Артефакты
1	Интервью с владельцем, CFO, IT-руководителем, ключевыми исполнителями ИТ. Осмотр серверной/ЦОД. Запрос артефактов. Это договоры с подрядчиками, бюджеты, инвентарь, регламенты.	Стенограммы интервью. Опись артефактов. Первичный список находок.
2	Анализ собранных артефактов. Глубокое погружение в 3 самых горящих домена (определяются по неделе 1). Доп. интервью при нехватке данных.	Карта зрелости, драфт. Список рисков уровня P1/P2.
3	Расчёт бюджета на 12 месяцев. Дорожная карта 6–18 месяцев. Шаблон ежемесячного отчёта. Сверка с CFO по бюджету.	Бюджет, драфт. Дорожная карта, драфт. Шаблон отчёта.
4	Финальная сборка. Презентация владельцу, 1 час с разбором по доменам. Согласование приоритетов и бюджета. Сдача документов.	Все 4 финальных артефакта. Зафиксированный протокол приоритетов.

На пятой неделе обычно начинается фаза реализации. Иногда с моим участием как vCIO, иногда со штатной командой клиента. Аудит и реализация — это два разных контракта, я их не смешиваю в одной оферте.

Зачем читал

Если узнали в описании свою компанию, запишитесь на 30-минутный ознакомительный звонок через форму контакта. На нём я задам по одному вопросу на каждый из 9 доменов и за полчаса скажу, какой из них горит у вас ярче. Бесплатно и без обязательств.

Если у вас уже есть проблема в одном из доменов, посмотрите смежные записи. Про инфраструктуру и RCA я писал в истории про apt purge dovecot-sieve. Про модель найма CIO рассказываю в сравнении vCIO и штатного CIO.

Первый разговор

Я работаю с этим напрямую — ознакомительный звонок 30 минут

Расскажете ситуацию — отвечу за 4 часа в рабочее время. Звонок бесплатный, без обязательств. Если задача не моя — порекомендую коллег, у которых она хорошо ляжет.

Ознакомительный звонок 30 минут Следующая статья — Противопоставление · vCIO