Setiap bulan Desember saya melakukan percakapan yang sama dengan klien yang tidak memperhatikan tumpukan teknologi mereka sepanjang tahun. Audit teknologi akhir tahun bukanlah pekerjaan yang glamor, dan itulah sebabnya audit tersebut dilewati hingga terjadi kerusakan. Bisnis yang menjalankan pemeriksaan ini setahun sekali, dengan sengaja, menangkap mantan karyawan yang masih memiliki akses admin, pencadangan yang diam-diam gagal selama enam bulan, dan langganan yang tidak disetujui oleh siapa pun. Tidak ada yang membutuhkan waktu lebih dari satu sore.
Saya memperlakukan ini seperti saya memperlakukan layanan mobil. Tidak ada sesuatu pun dalam daftar periksa yang menarik. Semua itu merupakan perbedaan antara perbaikan kecil dan membosankan saat ini dan kegagalan publik yang mahal di kemudian hari. Bisnis-bisnis yang telah saya amati selama ini adalah bisnis-bisnis yang pada akhirnya terkena dampak risiko yang sama besarnya dengan audit tersebut.
Berikut adalah daftar periksa yang sebenarnya saya gunakan, sesuai urutan saya menjalankannya.
1. Langganan dan Lisensi
Tarik setiap tagihan berulang pada kartu perusahaan dan cocokkan dengan orang yang dapat menjelaskan mengapa tagihan tersebut ada.
- Batalkan apa pun yang tidak dapat dijelaskan oleh siapa pun dalam waktu tiga puluh detik.
- Periksa jumlah kursi terhadap jumlah karyawan sebenarnya; perangkat lunak jarang mengurangi alokasi kursinya sendiri ketika orang-orang keluar.
- Konfirmasikan tanggal perpanjangan untuk segala hal yang bersifat tahunan, dan kalenderkan sekarang, bukan saat faktur tiba.
Ini adalah disiplin yang sama di balik langganan merayap dalam anggaran perangkat lunak Anda, dan bulan Desember adalah titik pemeriksaan alami untuk menjalankannya, karena sebagian besar pembaruan tahunan berkumpul di sekitar akhir tahun kalender.
2. Akses Pengguna untuk Staf yang Berangkat
Ini adalah satu-satunya item dengan risiko tertinggi dalam daftar dan yang paling sering diremehkan oleh pemiliknya.
- Tarik daftar semua orang yang keluar dari perusahaan tahun ini, di setiap sistem: email, penyimpanan cloud, repositori kode, perangkat lunak keuangan, akses gedung fisik, WhatsApp Business jika dibagikan.
- Konfirmasikan bahwa akses benar-benar dicabut, bukan hanya seperti yang dinyatakan dalam daftar periksa penghentian.
- Berikan perhatian khusus pada sistem yang dibuat sendiri oleh orang yang meninggal. Email pribadi mantan karyawan sebagai kontak pemulihan di domain perusahaan merupakan temuan nyata dan umum.
Saya telah melihat seorang karyawan yang keluar tetap memiliki akses ke drive bersama delapan bulan setelah keluar, hanya ditemukan karena klien bertanya mengapa templat kontrak lama diedit setelah hari terakhir orang tersebut.
3. Integritas Cadangan
Cadangan yang belum pernah dipulihkan adalah cadangan yang sebenarnya tidak Anda miliki.
- Pilih database atau penyimpanan file Anda yang paling penting dan coba pemulihan nyata ke lingkungan pengujian.
- Konfirmasikan bahwa titik pemulihan adalah yang terbaru, bukan cuplikan dari tahun lalu yang tidak dirotasi oleh siapa pun.
- Periksa apakah pekerjaan pencadangan benar-benar selesai, bukan hanya dijadwalkan. Terjadwal dan sukses adalah fakta yang berbeda.
Lakukan tes ini minimal setiap tahun. Ini adalah asuransi termurah terhadap kejutan terburuk, dan ini adalah satu-satunya item dalam daftar periksa ini yang tidak dapat dipalsukan oleh spreadsheet untuk Anda.
4. Domain dan Sertifikat
- Cantumkan setiap domain yang dimiliki bisnis dan konfirmasi tanggal perpanjangan serta akun yang mereka perbarui; domain yang habis masa berlakunya pada akun pribadi karyawan yang sudah pergi adalah penyebab berulang dari pemadaman yang memalukan.
- Periksa masa berlaku sertifikat SSL di semua situs yang berhubungan dengan pelanggan dan konfirmasikan perpanjangan otomatis benar-benar dikonfigurasi, bukan diasumsikan.
- Konfirmasikan siapa yang memiliki akses admin ke akun registrar domain itu sendiri, karena hal ini sering dilupakan dalam tinjauan akses di atas.
5. Kontrak dan Tanggal VendorBuatlah satu tabel sederhana untuk tahun depan:
| Penjual | Jenis kontrak | Tanggal perpanjangan atau pemberitahuan | Pemilik |
|---|---|---|---|
| Penyedia hosting | Tahunan | Maret | pimpinan TI |
| Gerbang pembayaran | Bergulir bulanan | T/A, tinjau tingkat harga | Keuangan |
| Vendor perangkat lunak inti | Tahunan, perpanjangan otomatis | Januari, diperlukan pemberitahuan 60 hari | Pemilik |
Kolom yang paling penting adalah periode pemberitahuan. Banyak kontrak perusahaan yang diperpanjang secara otomatis kecuali Anda membatalkannya 60 atau 90 hari sebelum masa berlakunya berakhir, dan jika Anda melewatkan jendela tersebut, Anda akan terjebak dalam satu tahun lagi alat yang mungkin ingin Anda tinggalkan.
6. Dasar-dasar Keamanan
Bukan tes penetrasi penuh, hanya tes dasar yang membusuk secara diam-diam selama setahun:
- Otentikasi dua faktor diaktifkan pada setiap sistem yang menyentuh uang atau data pelanggan.
- Penggunaan kembali kata sandi di seluruh sistem penting, terutama apa pun yang dibagikan di antara banyak staf.
- Kunci atau integrasi API apa pun yang tidak lagi digunakan tetapi masih memiliki kredensial aktif.
Menempatkannya di Kalender
Inti dari checklist adalah tidak memerlukan memori. Letakkan daftar persis ini, atau versi Anda, pada entri kalender berulang untuk minggu pertama bulan Desember setiap tahun, yang ditugaskan kepada satu pemilik yang disebutkan namanya, bukan "tim". Daftar periksa yang tidak dimiliki siapa pun tidak akan dijalankan. Jika audit ini memunculkan pertanyaan struktural yang lebih besar, seperti apakah akan membangun kembali atau mengganti sistem inti, ini adalah saat yang tepat untuk melakukan perulangan pada mitra daripada melakukan perbaikan pada satu tahun berikutnya.
Bawa pulang
Audit teknologi akhir tahun tidak memerlukan konsultan atau akhir pekan. Dibutuhkan satu sore, daftar persisnya, dan satu orang yang bertanggung jawab untuk menjalankannya. Lakukan tinjauan akses dan pengujian pemulihan cadangan terlebih dahulu jika Anda hanya punya waktu untuk dua item; itulah yang berubah menjadi insiden asli jika dilewati.