Audyt przed migracją nie powinien być dokumentem dla samego IT. Jego zadaniem jest połączenie technicznych zależności z decyzjami biznesowymi. Firma powinna wiedzieć, które systemy są krytyczne, które dane są wrażliwe, które integracje są nieopisane i które procesy nie mogą zostać przerwane w czasie przełączenia.
W artykule
Audyt powinien opisać zasoby, zależności i ryzyka
Najgorszy moment na odkrycie zależności między systemami to dzień migracji. Wiele firm ma aplikacje, które korzystają z lokalnych udziałów sieciowych, baz danych, starych sterowników, integracji z pocztą albo stałych adresów IP. Audyt ma wykryć takie elementy wcześniej i przypisać im decyzję: migrujemy, modernizujemy, zostawiamy lokalnie, archiwizujemy albo wycofujemy.
Priorytety audytu przed migracją
Wykres pokazuje, które obszary najczęściej decydują o powodzeniu migracji. To model kontrolny SafeClouds dla środowisk MŚP.
Najwyższy priorytet ma inwentaryzacja, bo bez niej nie da się policzyć kosztów, ryzyka ani kolejności przenoszenia usług.
Ukryte koszty pojawiają się tam, gdzie nie ma danych wejściowych
Oferta chmurowa często wygląda atrakcyjnie, gdy porównuje się tylko koszt serwera lub użytkownika. Później pojawiają się opłaty za dodatkową przestrzeń, transfer, backup, logi, wyższe poziomy wsparcia, licencje, integracje, konsultacje, narzędzia migracyjne i utrzymanie środowiska hybrydowego. Audyt powinien oddzielić koszty jednorazowe od stałych.
| Obszar | Co sprawdzić | Dlaczego to ważne | Efekt audytu |
|---|---|---|---|
| Serwery i aplikacje | Systemy, wersje, zasoby, zależności, właściciele. | Starsza aplikacja może nie działać w docelowym modelu. | Lista usług do migracji, modernizacji lub pozostawienia. |
| Dane | Typy danych, wrażliwość, retencja, archiwa, duplikaty. | Nie wszystko trzeba przenosić do tej samej klasy usługi. | Klasyfikacja i plan porządkowania. |
| Sieć | Łącze, VPN, DNS, zależności od lokalizacji, opóźnienia. | Chmura nie pomoże, jeśli dostęp do niej jest niestabilny. | Wymagania sieciowe i plan przełączenia. |
| Bezpieczeństwo | MFA, role, administratorzy, logi, backup, polityki dostępu. | Migracja może zwiększyć powierzchnię ataku. | Minimalny zestaw zabezpieczeń przed startem. |
| Umowy | SLA, DPA, podwykonawcy, eksport danych, wsparcie. | Warunki prawne i operacyjne są częścią ryzyka. | Lista wymagań wobec dostawcy. |
Audyt powinien kończyć się decyzjami, nie tylko opisem
Dobry raport po audycie ma prowadzić do działania. Przy każdym zasobie powinien pojawić się rekomendowany wariant: migracja bez zmian, migracja po poprawkach, migracja po modernizacji, pozostawienie lokalnie, archiwizacja lub wyłączenie. Dzięki temu zarząd nie dostaje listy problemów, ale plan kolejnych kroków.
Dokumenty po audycie
- Mapa systemów i zależności.
- Lista danych i poziomów wrażliwości.
- Szacunek kosztów jednorazowych i miesięcznych.
- Plan migracji etapami.
Decyzje do podjęcia
- Które usługi idą do chmury jako pierwsze.
- Co zostaje lokalnie i dlaczego.
- Jaki poziom RTO/RPO jest akceptowalny.
- Kto zatwierdza zmiany uprawnień.
Najczęściej pomijany punkt: plan wyjścia
Plan exit nie oznacza braku zaufania do dostawcy. Oznacza odpowiedzialne zarządzanie ryzykiem. Firma powinna wiedzieć, jak odzyska dane, w jakim formacie, w jakim czasie i jak zamknąć konta bez utraty dokumentacji.
Wnioski: audyt zmniejsza niepewność
Audyt IT przed migracją nie musi blokować projektu. Przeciwnie - dobrze wykonany przyspiesza decyzje, bo usuwa mgłę informacyjną. Zamiast dyskusji „czy chmura jest bezpieczna”, firma rozmawia o konkretnych danych, systemach, kosztach, wymaganiach i kolejności prac. To różnica między zakupem narzędzia a wdrożeniem zmiany organizacyjnej.
Najlepszy audyt przed migracją to taki, po którym wiadomo nie tylko, co przenieść do chmury, ale też czego nie przenosić i dlaczego.
Źródła i punkty odniesienia:
- ENISA Cloud Security Guide for SMEs - ryzyka, korzyści i pytania kontrolne przy wyborze dostawcy usług chmurowych.
- Era Informatyki - Audyt cyberbezpieczeństwa w kontekście dyrektywy NIS2 - polski materiał o zakresie audytu, zarządzaniu ryzykiem i obowiązkach organizacyjnych.
- Ministerstwo Cyfryzacji - nowelizacja ustawy o KSC i NIS2 - aktualny polski kontekst podmiotów kluczowych i ważnych.