U niektórych osób audyt budzi bardzo złe skojarzenia. Szczególnie jeśli ma go prowadzić wyspecjalizowana firma zewnętrzna, która zna się na temacie i na pewno będzie zadawać setki szczegółowych pytań. Może jednak zamiast traktować audyt jako zło konieczne, lepiej wykorzystać go do ulepszenia procedur, procesów i infrastruktury, czyli udoskonalić dzięki niemu swoją pracę i biznes.

Ogólna definicja nie jest skomplikowana. Audyt to niezależna ocena stanu obecnego danej organizacji, systemu, produktu pod względem zgodności z określonymi standardami, normami, przepisami czy listami kontrolnymi. Ma on prowadzić do powstania końcowego raportu, który zgromadzi wszelkie uwagi, oceni słabe i mocne strony oraz przedstawi kompleksowy wizerunek badanego obszaru, zagadnienia czy organizacji. Zastanówmy się zatem, jak audyt ośrodka data center może wpłynąć na działanie organizacji, w jaki sposób go wykonać i czy jest on wystarczający.

> Cel ogólny

Ośrodek przetwarzania danych jest integralną i niezbędną częścią organizacji IT. Jego regularne audyty są więc bardzo istotne, gdyż dzięki nim można sprawdzić, jak wygląda aktualna sytuacja dotycząca infrastruktury, zasobów technicznych, procesów, a także personelu. Pokazują one, co działa dobrze, co wymaga uwagi i usprawnień, a co jest nie do przyjęcia i prowadzi do powstania ryzyk mogących zagrozić całej organizacji. Audyty pomagają również w przygotowaniu kalendarza szkoleń dla pracowników data center mających wesprzeć ich w codziennej pracy, tak aby uniknąć problemów pracowniczych.

Ważność i przydatność audytu jest ściśle powiązana z umiejętnością wykazania adekwatności, skuteczności i wydajności stosowanych rozwiązań, środków kontroli, procedur i całego obszaru pracy operacyjnej. Audyt, który nie obierze sobie za cel podstawowy minimalizowania ryzyka wynikającego np. z przerwy w działaniu ośrodka, nieautoryzowanego dostępu czy zagrożeń środowiskowych, będzie bezskutecznym i niepotrzebnym wydatkiem.

> Przygotowania do audytu

Nie ma jednego standardu, który mógłby pokryć wszystkie obszary audytu dotyczącego różnych aspektów działania data center. Mimo wszystko istnieją standardy, na których wiele organizacji opiera swoje listy kontrolne używane podczas oceniania ośrodka. Na samym początku należy odpowiedzieć sobie na pytanie: czego potrzebujemy? Czy chcemy otrzymać standardowy raport dotyczący naszej infrastruktury i kwestii operacyjno-pracowniczych, czy może potrzebujemy certyfikatu, który potwierdzi ogólnoświatową klasyfikację względem czterech poziomów TIER, nadawaną przez Uptime Institute? Na stronie instytutu znajduje się informacja, że w chwili obecnej już ponad 2500 obiektów w 11 krajach świata sklasyfikowano według ich metody. Dołączenie do grona sklasyfikowanych ośrodków daje na pewno ogólnoświatową rozpoznawalność na rynku i formalnie potwierdza spełnienie wymaganych standardów odnośnie do projektu, konstrukcji i kwestii operacyjnych.

Nie każdemu jednak zależy na wyżej wymienionych aspektach. W większości przypadków dana firma chce po prostu udoskonalić swoją działalność, by uzyskać lepszą wydajność i stabilność, a tym samym zminimalizować ryzyka i straty oraz zmaksymalizować zyski. Wtedy należy zdefiniować, co chcemy poddać ocenie i w jakim zakresie, oraz oszacować, czy mamy zasoby w firmie, które umożliwią samodzielne wykonanie audytu, czy może będzie nam potrzebna pomoc z zewnątrz.

Ze względu na złożoność zagadnienia, duże zaangażowanie finansowe, czasowe i obciążenie naszych zasobów ludzkich zdefiniowanie ostatecznego celu audytu jest niewątpliwie bardzo ważne. Warto więc przed podjęciem ostatecznej decyzji poświęcić odpowiednią ilość czasu na zapoznanie się z różnymi typami audytów dostępnych na rynku, porównanie ich zawartości i obszarów oceny. Praca na tym etapie to pierwszy krok do wykonania odpowiedniego audytu, który spełni na końcu wszystkie nasze wstępne założenia i wymagania.

> Zakres kontroli

Rozsądne uwzględnienie wszystkich aspektów biznesowych, tj. działanie data center, infrastruktura krytyczna, zasoby IT, zarządzanie, zasoby ludzkie, powinno określić zakres audytu serwerowni. Główne obszary, które należy uwzględnić, są następujące:

• zgodność założeń projektowych ze stanem rzeczywistym;
• zasilanie;
• chłodzenie;
• architektura i bezpieczeństwo sieci;
• procedury operacyjne lub kryzysowe;
• zarządzanie zmianą lub incydentami;
• zarządzanie pojemnością;
• utrzymanie infrastruktury (wsparcie serwisowe);
• zarządzanie zasobami IT;
• bezpieczeństwo fizyczne;
• ochrona przeciwpożarowa;
• lokalizacja, budynek i otoczenie;
• monitoring DC;
• zarządzanie ciągłością działania;
• plany DRP (ang. disaster recovery plan);
• zarządzanie personelem DC;
• dokumentacja.

Przykładowe wymagania dla kilku z wyżej wymienionych obszarów przedstawiono w tabeli (ramka Wybrane wymagania dla kilku obszarów audytu DC). Każde wymaganie można ocenić nie tylko na zasadzie spełnienia warunku bądź nie, ale również według kilkustopniowej skali wymagalności danego zapisu w danym przypadku (np. wymagane, rekomendowane, opcjonalne). Takie podejście pozwoli na wystawienie rzetelniejszej oceny, która bezpośrednio wskaże obszary do poprawy, jeśli dana cecha będzie np. wymagana, ale spełniona tylko częściowo.

[...]

Autor jest specjalistą ds. utrzymania infrastruktury data center. Zajmuje się problematyką budowy, utrzymania i zarządzania centrami przetwarzania danych oraz koordynowaniem zmian dotyczących krytycznej infrastruktury IT.