CONSULTATIO Leistung: IT Audit

IT-Audit

In den letzten zehn Jahren haben Unternehmen aller Branchen stark in die IT-Services investiert, in der Hoffnung, sich einen Wettbewerbsvorteil zu verschaffen. Die Einführung neuer Technologien geht jedoch auch immer mit neuen Risiken einher, darunter Hacker-Angriffe und Datenschutzverletzungen.

Da solche Vorfälle jedes Unternehmen schwer schädigen können, sind Technology Risk Management und ein Verständnis der Bedeutung von IT-Audits immer wichtiger geworden. Dabei geht es primär um folgende Bereiche:

 

  • IT-Organisation, IT-Umfeld und IT-Strategie
  • IT-Betrieb
  • Zugriffsberechtigungen
  • Change Management

Unsere Schwerpunkte

Interner IT-Security-Check

Unsere effiziente Lösung zur Identifizierung von möglichen Schwachstellen. Wir überprüfen, wie gut Ihre IT-Systeme gegen aktuelle Bedrohungen aufgestellt sind und liefern Antworten auf Fragen wie: Bestehen vermeidbare Haftungsrisiken aufgrund mangelnder IT-Sicherheit? Wie sicher sind meine eigenen Kerndaten und die Daten meiner Kunden? Bin ich gegen Betriebsspionage geschützt? Was passiert, wenn ein Laptop gestohlen oder verloren wird? Bin ich vor Datendiebstahl durch interne Personen geschützt?

Sie erhalten eine Zusammenfassung mit den Ergebnissen des umfassenden internen IT-Security-Checks, in welchem die Risiken aufgezeigt werden und der dringende Handlungsbedarf identifiziert wird, inklusive Vorschläge für Verbesserungsmaßnahmen hinsichtlich:
 

  • Basis Sicherheitsmanagement
  • Benutzerberechtigungen
  • Netzwerk/WLAN, Endgeräte-Sicherheit
  • Betriebssystemsicherheit
  • Schwachstellen-Scan
  • Mitarbeitersensibilisierung

 

Externer IT-Security-Check

Häufigstes Angriffsziel von Hackern sind externe IT-Systeme und Datennetze der Unternehmen. Zuerst simulieren wir in Ihrem Auftrag einen realistischen Angriff auf Ihre Server und Anwendungen, anschließend identifizieren wir Schwachstellen und Sicherheitslücken, die Angreifer ausnutzen würden. So entdecken wir die Hintertüren in Ihren Computersystemen und liefern Empfehlungen, wie diese geschlossen werden können:

 

  • Risikoabschätzung
  • Priorisierung
  • Ausführlicher Bericht
  • Lösungsvorschläge

 

Business Impact Analyse (BIA)

Eine BIA identifiziert die Auswirkungen, die ein Verlust geschäftskritischer Funktionen für Ihren Betrieb hätte.

Wie gut funktionieren Ihre kritischen Geschäftsprozesse und Ressourcen in Hinblick auf die Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität der Daten? Wie sehen wechselseitige Abhängigkeiten von Systemen, Geschäftsprozessen und Abteilungen aus? Wie schnell müssen die kritischen Informationssysteme und Prozesse wieder einsatzbereit sein, bevor ein signifikanter Schaden (finanzieller Verlust, Imageschaden) entsteht?

 

Geschäftsprozesse und Organisationseinheiten auswählen

Mögliche Schäden analysieren

Wiederanlaufparameter festlegen

Abhängigkeiten berücksichtigen

Geschäftsprozesse anhand ihrer Kritikalität priorisieren

Ressourcen für Normal- und Notbetrieb erheben

Kritikalität und Wiederanlaufzeiten für Ressourcen bestimmen

 

IT-Revision

Unsere Experten unterstützen Sie bei der Durchführung von IT-Revisionsagenden - von einzelnen IT-System- und Prozessaudits bis hin zu einer umfassenden IT-Revision. Dabei erstellen wir ein IT-Revisionsprogramm, führen die erforderlichen IT-Revisionstätigkeiten durch und bauen eine interne IT-Revisionsdatenbank für einen nachhaltigen Betrieb auf.

Zertifizierungen

Im Rahmen des ISAE3402 Audits (SOC1/SOC2) prüfen unsere Experten die Übereinstimmung Ihres Dienstleistungssystems mit der Richtlinie des Instituts Österreichischer Wirtschaftsprüfer und den Inhalten der ISAE 3402 in Zusammenhang mit der:

 

  • Erbringung der Dienstleistungen, die von der Beschreibung Ihres Dienstleistungssystems umfasst sind
  • Vorbereitung einer Beschreibung ihres Dienstleistungssystems, die begleitende Erklärung der gesetzlichen Vertreter sowie die Vollständigkeit und Richtigkeit der Beschreibung und Erklärung
  • Darstellung der Funktionen, die von der Beschreibung des Dienstleistungssystems umfasst sind
  • Festlegung bzw. Identifikation der Kontrollziele
  • Konzeption, Einrichtung und operative Wirksamkeit der Kontrollen, die - unter Berücksichtigung von Risikoaspekten - zur Erreichung der festgelegten Kontrollziele im Einsatz sind
  • Auswahl und Festlegung geeigneter Beurteilungskriterien, die als Basis für die Abgabe der Erklärung der gesetzlichen Vertreter herangezogen werden.

 

 

Die Spezialisten

Christoph Schillinger
Christoph Schillinger BA
Prokurist und Steuerberater
Peter Kopp
Mag. Peter Kopp
Geschäftsführender Gesellschafter, Wirtschaftsprüfer und Steuerberater

Lieber auf Nummer sicher gehen.