Audyt IT pomaga znaleźć problemy, zanim zatrzymają pracę firmy
Audyt IT w małej firmie to przegląd komputerów, sieci, serwerów, backupu, kont użytkowników, poczty, oprogramowania i zabezpieczeń. Jego celem nie jest samo spisanie sprzętu, ale wykrycie miejsc, które mogą doprowadzić do awarii, utraty danych, przestoju lub problemu z bezpieczeństwem.
W wielu firmach infrastruktura IT rozwija się stopniowo. Najpierw pojawia się kilka komputerów, później drukarka sieciowa, program księgowy, system sprzedażowy, NAS, monitoring, poczta firmowa, Microsoft 365, dostęp zdalny, program ERP, kasa fiskalna, terminal płatniczy i backup. Po kilku latach często okazuje się, że nikt nie ma pełnej dokumentacji, część haseł jest zapisana w różnych miejscach, sprzęt jest przestarzały, a kopia zapasowa nigdy nie była testowana.
Audyt IT porządkuje ten stan. Pozwala sprawdzić, co firma posiada, co działa poprawnie, co wymaga poprawy i które ryzyka trzeba usunąć w pierwszej kolejności.
Kiedy mała firma powinna zrobić audyt IT?
Audyt IT warto wykonać nie tylko po awarii. Najlepiej zrobić go wcześniej, szczególnie jeśli firma korzysta z komputerów, poczty, danych firmowych, systemu sprzedażowego, programu ERP, serwera lub dysku NAS.
Najczęstsze sytuacje, w których warto przeprowadzić audyt IT:
- Firma nie ma aktualnej dokumentacji sprzętu, licencji i dostępów.
- Nie wiadomo, czy backup naprawdę działa.
- Komputery są stare, wolne lub często się zawieszają.
- Pracownicy korzystają ze wspólnych kont.
- Poczta firmowa nie ma MFA.
- Firma nie wie, kto ma dostęp do danych.
- Serwer lub NAS działa od lat bez przeglądu.
- Sieć WiFi działa niestabilnie.
- Drukarki, skanery, POS lub system sprzedaży przerywają pracę.
- Firma chce wdrożyć KSeF, ERP, POS lub Microsoft 365.
- Doszło do zmiany pracowników i trzeba uporządkować dostępy.
- Firma rozważa outsourcing IT lub stałą obsługę informatyczną.
Audyt IT jest szczególnie przydatny w małych firmach, które nie mają własnego działu informatycznego. W takim przypadku wiele decyzji technicznych zapada doraźnie, a problemy wychodzą dopiero wtedy, gdy pojawia się awaria.
Co powinien obejmować audyt IT w małej firmie?
Audyt IT powinien obejmować wszystkie elementy, które wpływają na ciągłość pracy, bezpieczeństwo danych i codzienną obsługę użytkowników.
| Obszar audytu | Co sprawdzić |
|---|---|
| Komputery i laptopy | Stan sprzętu, systemy, aktualizacje, dyski, wydajność |
| Serwery i NAS | Role, dostępność, dyski, uprawnienia, dane firmowe |
| Backup | Zakres kopii, harmonogram, test odtwarzania |
| Sieć LAN i WiFi | Routery, switche, adresacja IP, stabilność, dostęp dla gości |
| Poczta i konta użytkowników | MFA, stare konta, przekierowania, uprawnienia |
| Oprogramowanie i licencje | Legalność, aktualność, liczba użytkowników, wersje |
| Bezpieczeństwo | Antywirus, hasła, phishing, ransomware, dostęp zdalny |
| Urządzenia branżowe | Drukarki, skanery, kasy fiskalne, terminale, POS |
| Dokumentacja | Lista sprzętu, hasła, konfiguracje, procedury awaryjne |
| Raport po audycie | Priorytety, ryzyka i rekomendacje działań |
Taki przegląd daje firmie realny obraz infrastruktury. Nie chodzi o tworzenie długiego raportu dla samego raportu, ale o wskazanie konkretnych problemów i działań do wykonania.
Komputery, laptopy i stanowiska pracy
Komputery są podstawowym narzędziem pracy w większości firm. Jeżeli działają wolno, mają stare dyski, nieaktualne systemy lub brak zabezpieczeń, wpływa to na pracę całego zespołu.
Podczas audytu komputerów warto sprawdzić:
- Model i wiek urządzenia.
- Stan dysku SSD lub HDD.
- Ilość pamięci RAM.
- Wersję systemu Windows.
- Aktualizacje systemowe.
- Oprogramowanie antywirusowe.
- Lokalne konta administratorów.
- Szyfrowanie dysku.
Częstym problemem w małych firmach jest brak standardu stanowisk. Jeden komputer ma inne programy, drugi inne hasła, trzeci inne uprawnienia, a czwarty pracuje na przestarzałej wersji systemu. Audyt pozwala uporządkować ten stan i zaplanować wymianę sprzętu lub modernizację.
Serwer, NAS i dane firmowe
Jeżeli firma korzysta z serwera, dysku NAS lub wspólnego zasobu sieciowego, trzeba sprawdzić nie tylko to, czy urządzenie działa. Ważne jest również to, co się na nim znajduje, kto ma dostęp i czy dane są odpowiednio zabezpieczone.
W audycie serwera lub NAS warto uwzględnić:
- Model urządzenia i wiek sprzętu.
- Stan dysków.
- Konfigurację RAID.
- Temperatury i błędy sprzętowe.
- Udostępnione foldery.
- Uprawnienia użytkowników.
- Aktualizacje systemu.
- Dostęp zdalny.
- Konta administratorów.
- Dokumentację konfiguracji.
Szczególnie ważny jest stan dysków. Serwer lub NAS może działać poprawnie przez długi czas, ale jeśli dyski zgłaszają błędy, firma może być blisko utraty danych.
Backup i odtwarzanie danych
Backup jest jednym z najważniejszych elementów audytu IT. W wielu firmach kopia zapasowa teoretycznie istnieje, ale nikt nie wie, co dokładnie obejmuje, kiedy ostatnio się wykonała i czy da się z niej odtworzyć dane.
Podczas audytu backupu trzeba sprawdzić:
- Jakie dane są kopiowane.
- Jak często wykonywana jest kopia.
- Gdzie przechowywany jest backup.
- Czy kopia obejmuje serwer, NAS, komputery, program ERP, bazy danych i pocztę.
- Czy backup jest chroniony przed ransomware.
- Czy istnieje kopia poza główną lokalizacją.
- Czy ktoś monitoruje błędy backupu.
- Czy wykonano test odtwarzania.
- Ile czasu zajmie przywrócenie pracy.
- Kto odpowiada za backup.
Największym błędem jest założenie, że kopia działa tylko dlatego, że kiedyś została skonfigurowana. Backup bez testu odtwarzania daje pozorne bezpieczeństwo. W sytuacji awarii liczy się nie sama informacja, że „backup jest”, ale możliwość szybkiego przywrócenia danych i pracy firmy.
Więcej o znaczeniu kopii zapasowych opisaliśmy w artykule Backup w firmie. Jak zabezpieczyć dane przed awarią, błędem pracownika i cyberatakiem?.
Sieć LAN, WiFi i urządzenia sieciowe
Sieć firmowa jest często traktowana jako coś, co „po prostu ma działać”. Problem pojawia się wtedy, gdy drukarki znikają z sieci, system sprzedaży traci połączenie, WiFi zrywa pracę, a użytkownicy nie mogą dostać się do serwera.
Podczas audytu sieci warto sprawdzić:
- Router główny.
- Switche.
- Punkty dostępowe WiFi.
- Okablowanie.
- Adresację IP.
- DHCP i DNS.
- Sieć dla gości.
- Dostęp do urządzeń administracyjnych.
- Stabilność połączeń.
- Aktualizacje urządzeń sieciowych.
W małych firmach częstym błędem jest jedna wspólna sieć dla wszystkiego: komputerów, gości, drukarek, kas fiskalnych, monitoringu i urządzeń prywatnych. To wygodne na początku, ale z czasem zwiększa ryzyko problemów z bezpieczeństwem i stabilnością.
Poczta firmowa, Microsoft 365 i konta użytkowników
Poczta firmowa jest jednym z najważniejszych i najczęściej atakowanych elementów infrastruktury IT. Przejęcie skrzynki e-mail może prowadzić do kradzieży danych, fałszywych faktur, wyłudzeń, resetowania haseł i podszywania się pod pracownika.
W audycie poczty i kont użytkowników warto sprawdzić:
- Czy konta mają włączone MFA.
- Czy istnieją stare lub nieużywane konta.
- Czy konta byłych pracowników zostały wyłączone.
- Czy działają podejrzane przekierowania poczty.
- Czy domena ma poprawne SPF, DKIM i DMARC.
- Czy użytkownicy mają odpowiednie licencje.
- Czy każdy pracownik ma własne konto.
- Czy dostęp do danych odpowiada roli pracownika.
- Czy administratorzy mają osobne konta.
- Czy firma korzysta z menedżera haseł.
Jeżeli firma korzysta z Microsoft 365, audyt powinien objąć również OneDrive, SharePoint, Teams, konta administratorów i uprawnienia do plików. Sam fakt, że pliki są w chmurze, nie oznacza automatycznie pełnej ochrony przed usunięciem, błędem użytkownika lub atakiem.
Więcej o zabezpieczeniu kont opisaliśmy w artykule MFA w firmie. Jak zabezpieczyć konta pracowników, pocztę, ERP i KSeF?.
Oprogramowanie, ERP, POS i licencje
Oprogramowanie firmowe powinno być legalne, aktualne i dopasowane do sposobu pracy firmy. W audycie warto sprawdzić zarówno programy biurowe, jak i systemy specjalistyczne: ERP, programy księgowe, magazynowe, POS, antywirusy i narzędzia do backupu.
Podczas audytu licencji i oprogramowania warto sprawdzić:
- Jakie programy są używane.
- Czy licencje są aktualne.
- Czy liczba licencji odpowiada liczbie użytkowników.
- Czy firma używa przestarzałych wersji.
- Czy programy są wspierane przez producenta.
- Czy są dostępne aktualizacje.
- Czy użytkownicy nie korzystają ze wspólnych kont.
- Czy systemy będą gotowe na KSeF lub inne zmiany prawne.
W przypadku programów ERP, takich jak WAPRO ERP lub Comarch ERP Optima, audyt powinien uwzględniać nie tylko licencje, ale też backup baz danych, uprawnienia użytkowników, integracje, wydruki, faktury i sposób pracy z księgowością.
Bezpieczeństwo: phishing, ransomware i dostęp zdalny
Cyberbezpieczeństwo w małej firmie nie musi oznaczać skomplikowanych systemów klasy korporacyjnej. Najpierw trzeba sprawdzić podstawy: hasła, MFA, aktualizacje, backup, antywirus, uprawnienia i dostęp zdalny.
Podstawowe pytania audytu bezpieczeństwa:
- Czy komputery mają aktualne zabezpieczenia?
- Czy użytkownicy rozpoznają phishing?
- Czy backup jest odporny na ransomware?
- Czy dostęp zdalny jest zabezpieczony?
- Czy porty administracyjne nie są wystawione bez potrzeby do internetu?
- Czy hasła są silne i unikalne?
- Czy firma ma procedurę po incydencie?
- Czy wiadomo, komu zgłaszać podejrzane wiadomości?
Dostęp zdalny wymaga szczególnej kontroli. Dotyczy to połączeń RDP, VPN, zdalnego pulpitu, paneli administracyjnych i pracy z domu. Źle skonfigurowany dostęp zdalny może być poważnym ryzykiem, szczególnie jeśli nie ma MFA, silnych haseł i ograniczeń dla użytkowników.
Więcej na temat rozpoznawania fałszywych wiadomości opisaliśmy w artykule Phishing w firmie. Jak rozpoznać fałszywe wiadomości i chronić dane przed wyłudzeniem?.
Drukarki, kasy fiskalne, terminale i urządzenia branżowe
Infrastruktura IT to nie tylko komputery. W firmie działają też drukarki, skanery, terminale płatnicze, kasy fiskalne, systemy POS, monitoring, czytniki kodów, wagi i inne urządzenia branżowe. Ich awaria często blokuje sprzedaż lub obsługę klienta.
W audycie warto uwzględnić:
- Drukarki i urządzenia wielofunkcyjne.
- Skanery dokumentów.
- Kasy fiskalne.
- Terminale płatnicze.
- Systemy POS.
- Czytniki kodów kreskowych.
- Wagi sklepowe.
- Monitoring i rejestratory.
- Urządzenia sieciowe obsługujące sprzedaż.
- Umowy serwisowe i dane gwarancyjne.
W sklepie lub gastronomii awaria kasy, terminala albo POS-a może zatrzymać obsługę klientów. Dlatego warto wiedzieć, jaki sprzęt jest używany, kto go serwisuje, jakie ma numery seryjne i czy istnieje procedura awaryjna.
Więcej o systemach sprzedażowych opisaliśmy na stronie system POS dla gastronomii, handlu i usług.
Dokumentacja IT i procedury awaryjne
Brak dokumentacji to częsty problem w małych firmach. Dopóki wszystko działa, nikt tego nie zauważa. Problem pojawia się przy awarii, zmianie pracownika, zmianie dostawcy IT albo konieczności szybkiego odtworzenia konfiguracji.
Podstawowa dokumentacja IT powinna zawierać:
- Listę komputerów, serwerów i urządzeń.
- Numery seryjne i lokalizacje sprzętu.
- Dane gwarancyjne.
- Schemat sieci.
- Listę kont administracyjnych.
- Informacje o licencjach.
- Opis backupu.
- Procedurę odtwarzania danych.
- Dane dostępu do usług, przechowywane w bezpieczny sposób.
- Informację, kto odpowiada za poszczególne systemy.
Dokumentacja nie musi być skomplikowana. Ważne, aby była aktualna, bezpiecznie przechowywana i dostępna dla osób odpowiedzialnych za utrzymanie firmy.
Co powinno znaleźć się w raporcie po audycie IT?
Po audycie firma powinna otrzymać nie tylko listę problemów, ale przede wszystkim plan działania. Dobry raport powinien być zrozumiały dla właściciela lub managera, a nie tylko dla informatyka.
Raport po audycie IT powinien zawierać:
- Podsumowanie stanu infrastruktury.
- Listę najważniejszych ryzyk.
- Podział problemów według priorytetu.
- Informację, co może zatrzymać pracę firmy.
- Rekomendacje techniczne.
- Rekomendacje organizacyjne.
- Listę sprzętu do wymiany lub modernizacji.
- Wnioski dotyczące backupu.
- Wnioski dotyczące bezpieczeństwa.
- Proponowany plan działań.
Najlepiej podzielić zalecenia na trzy grupy: pilne, ważne i rozwojowe. Dzięki temu firma wie, co trzeba zrobić od razu, co zaplanować w najbliższym czasie, a co może poczekać.
Audyt IT jako pierwszy krok do outsourcingu IT
Audyt IT często jest pierwszym krokiem do uporządkowania obsługi informatycznej. Pozwala sprawdzić, co firma ma, co działa źle i jakie działania trzeba zaplanować. Na tej podstawie można zdecydować, czy wystarczy jednorazowa modernizacja, czy potrzebna jest stała obsługa IT.
Outsourcing IT może obejmować:
- Stały monitoring infrastruktury.
- Obsługę komputerów i użytkowników.
- Zarządzanie backupem.
- Aktualizacje systemów.
- Wsparcie przy awariach.
- Opiekę nad serwerami i NAS.
- Konfigurację poczty i Microsoft 365.
- Zabezpieczenie kont i MFA.
- Obsługę sieci.
- Doradztwo przy zakupie sprzętu i oprogramowania.
Więcej o stałej obsłudze informatycznej opisaliśmy na stronie outsourcing IT.
FAQ: audyt IT w małej firmie
Czym jest audyt IT?
Audyt IT to przegląd infrastruktury informatycznej firmy, obejmujący sprzęt, sieć, serwery, backup, konta użytkowników, pocztę, oprogramowanie, bezpieczeństwo i dokumentację. Jego celem jest wykrycie problemów zanim doprowadzą do awarii.
Czy mała firma potrzebuje audytu IT?
Tak, jeśli korzysta z komputerów, poczty, danych firmowych, systemu sprzedażowego, programu księgowego, serwera, NAS lub Microsoft 365. Nawet mała awaria może zatrzymać sprzedaż, księgowość albo obsługę klientów.
Jak często wykonywać audyt IT?
Podstawowy audyt warto wykonać raz w roku albo przed większymi zmianami, na przykład wdrożeniem KSeF, ERP, POS, Microsoft 365, nowego serwera lub przejściem na outsourcing IT.
Czy audyt IT obejmuje backup?
Tak. Backup jest jednym z najważniejszych elementów audytu. Trzeba sprawdzić, co jest kopiowane, jak często, gdzie przechowywana jest kopia i czy można ją odtworzyć.
Czy audyt IT obejmuje cyberbezpieczeństwo?
Tak. Audyt powinien sprawdzić hasła, MFA, pocztę, phishing, antywirusa, aktualizacje, dostęp zdalny, uprawnienia użytkowników i ochronę przed ransomware.
Czy audyt IT kończy się raportem?
Tak. Po audycie firma powinna otrzymać podsumowanie stanu infrastruktury, listę ryzyk, priorytety działań i rekomendacje techniczne oraz organizacyjne.
Krótki słownik pojęć
Audyt IT
Przegląd infrastruktury informatycznej firmy, którego celem jest wykrycie problemów, ryzyk i obszarów wymagających poprawy.
Backup
Kopia zapasowa danych, która pozwala odtworzyć pliki, systemy lub bazy po awarii, błędzie użytkownika albo cyberataku.
MFA
Uwierzytelnianie wieloskładnikowe, czyli dodatkowe potwierdzenie logowania poza samym hasłem.
NAS
Sieciowy magazyn danych, często używany w firmach do przechowywania plików i wykonywania kopii zapasowych.
Ransomware
Złośliwe oprogramowanie szyfrujące dane i żądające okupu za ich odblokowanie.
VPN
Bezpieczne połączenie zdalne do zasobów firmowych.
Outsourcing IT
Stała lub okresowa obsługa informatyczna firmy realizowana przez zewnętrzny zespół specjalistów.
Podsumowanie
Audyt IT w małej firmie pozwala sprawdzić, czy komputery, sieć, serwery, backup, poczta, konta użytkowników i oprogramowanie są przygotowane na codzienną pracę oraz sytuacje awaryjne. Największą wartością audytu jest wykrycie problemów zanim spowodują przestój, utratę danych lub zagrożenie bezpieczeństwa.
W praktyce audyt powinien odpowiedzieć na kilka podstawowych pytań: czy firma wie, jaki ma sprzęt, czy backup działa, kto ma dostęp do danych, czy poczta jest zabezpieczona, czy systemy są aktualne i co zrobić w razie awarii.
IT-LOGIC pomaga firmom przeprowadzać audyty IT, porządkować infrastrukturę, zabezpieczać dane i wdrażać rozwiązania ograniczające ryzyko przestojów. Audyt może być pierwszym krokiem do bezpieczniejszej, stabilniejszej i lepiej udokumentowanej obsługi informatycznej firmy.
Chcesz sprawdzić, czy firmowe komputery, sieć, backup, poczta i zabezpieczenia są dobrze przygotowane na awarię?
Sprawdź naszą ofertę: outsourcing IT oraz bezpieczeństwo IT dla firm.
Potrzebujesz pomocy w audycie lub uporządkowaniu infrastruktury IT? Skontaktuj się z IT-LOGIC: 22 786 75 15.


