IT due diligence — це технічна перевірка інформаційних систем, кібербезпеки та цифрових активів цільової компанії, що виявляє критичні вразливості, технічний борг та приховані витрати на модернізацію. Допомагає оцінити реальну вартість технологічних активів та визначити обсяг необхідних інвестицій після закриття угоди.
Основні напрями перевірки:
1. Ландшафт та архітектура ІТ-рішень
- Аналіз загального ландшафту інформаційних систем Цільової компанії (основна інформаційна система, віддалені інформаційні системи, кол-центр, CRM тощо);
- Технологічний огляд Платформи (веб-сайт, мобільні додатки, пов'язане програмне забезпечення та додатки) з точки зору: загальної архітектури, використання сучасних та застарілих технологій, мікросервісної архітектури, рівня документації, стратегії продукту, беклогу розробки;
- Аналіз архітектури та інтеграційних можливостей системи;
- Виявлення архітектурних обмежень (потенціал масштабованості, "вузькі місця").
2. Безперервність бізнесу та відновлення після збоїв
- Аналіз планів безперервності бізнесу та відновлення після збоїв, результати тестування (якщо проводилося);
- Оцінка схеми резервування інфраструктури;
- Аналіз стійкості інформаційних систем та інфраструктури;
- Оцінка процесу управління потужностями.
3. Інформаційна безпека
- Аналіз організаційних заходів, впроваджених для забезпечення належного рівня безпеки;
- Оцінка та аналіз операційних ІТ-правил та політик безпеки;
- Оцінка та аналіз відповідних аспектів безпеки у стандартних процесах ІТ-операцій Цільової компанії (управління користувачами, управління доступом та авторизацією, управління проблемами), а також моделі обслуговування та підтримки;
- Аналіз наданої сертифікаційної інформації (наприклад, ISO27001).
4. Процес розробки програмного забезпечення
- Аналіз використовуваної методології розробки програмного забезпечення;
- Оцінка процесу управління змінами та процесу управління конфігураціями;
- Оцінка процесу управління релізами та розгортанням;
- Оцінка процесу тестування системи (навантажувальне тестування, інтеграційне тестування, приймальне тестування користувачами);
- Аналіз процесу пріоритезації запитів на зміни, оцінка виконаних завдань, аналіз використовуваних KPI;
- Оцінка системної документації.
5. Людські ресурси (ІТ)
- Аналіз організаційної структури ІТ-департаменту;
- Аналіз залежності від ключового ІТ-персоналу, залежності від ІТ-персоналу холдингової компанії;
- Аналіз залежності від аутсорсерів у розробці та підтримці систем та інфраструктури;
- Оцінка внутрішніх компетенцій в ІТ;
- Статус працевлаштування ключового ІТ-персоналу (наприклад, спеціальний податковий режим Дія Сіті), політика винагород.
6. Управління програмним забезпеченням та ІТ-активами
- Виявлення потенційних ризиків порушення ліцензійних політик вендорів;
- Аналіз прав інтелектуальної власності на власноруч розроблені програмні рішення;
- Аналіз операційних витрат на ІТ (OPEX: обслуговування, ліцензування, оренда, ІТ-витрати, витрати на консалтингові послуги), капітальних витрат на ІТ (CAPEX: закуплене ІТ-обладнання та ІТ-проекти, з підтверджувальною договірною документацією та коментарями щодо змін у звітності про витрати). Аналіз ключових тенденцій та значних потреб в інвестиціях в ІТ-капітал у коротко- та середньостроковій перспективі.
Опціональні модулі
7. Огляд технічної кібербезпеки
Аналіз архітектури мережі та інфраструктури (включаючи огляд топології мережі, сегментації, правил брандмауера, конфігурації мережевих пристроїв тощо).
Технічне тестування безпеки* додатків високого ризику (це може включати огляд архітектури рішення, огляд безпечної конфігурації, тестування методом "чорної скриньки", автоматизоване сканування вразливостей, ручне тестування на проникнення з дійсними обліковими даними користувача, що імітує внутрішнього зловмисника тощо).
Моніторинг публічних джерел та даркнету на предмет скомпрометованих даних компанії та її клієнтів, включаючи витік комерційних таємниць, облікових даних користувачів, фінансових та персональних даних тощо.
8. Огляд конфіденційності та захисту даних
Високорівневий огляд та оцінка документації із захисту даних (наприклад, документація та плани щодо порушення даних, політика конфіденційності, умови надання послуг тощо).
9. Аналіз вихідного коду
10. Сканування DevOps
- Фокус на процесах розробки в організації з точки зору спроможності та ефективності для досягнення визначених майбутніх цілей;
- Глибоке занурення в методи роботи:
- Процеси вимог;
- Операційні процеси;
- Вибір інструментів;
- Процеси релізів;
- Процеси управління змінами;
- Процеси розробки.
11. Ліцензії з відкритим кодом
- За допомогою сканування ліцензій з відкритим кодом можна отримати уявлення про використання, версії та вплив на безпеку використовуваних біблотек;
- Глибоке занурення в:
- Використовувані бібліотеки та версії;
- Операційний ризик;
- Ліцензійний ризик;
- Ризик безпеки.
✓ Результат
Звіт з оцінкою технологічної зрілості компанії та переліком критичних ризиків. Зазвичай він охоплює наступні елементи: