IT-BERATUNG
IT-Audit + fachliche Evaluierung + mehr
Fachliche Prüfung nach Vorgehensmodell
Um ein standardisiertes und modulares Vorgehen zu ermöglichen, wird das IT-Audit thematisch in verschiedene Teil-Audits unterteilt, die sinnvollerweise bereits im Vorfeld der Beauftragung abgestimmt werden. Die einzelnen Themen sind dabei in Teilen voneinander unabhängig. Jedes Thema enthält eine Überprüfung und Bewertung, eine Aufstellung der Schwachstellen und eine Maßnahmenempfehlung und kann somit getrennt von allen anderen betrachtet werden. Die Teilergebnisse aus den Überprüfungen sind so gestaltet, dass sie jeweils zu Zwischenergebnissen und anschließend zu einem Gesamtergebnis aggregiert werden können.
IT-Audits
sichern die Wettbewerbsfähigkeit
It-Audits verfolgen üblicherweise folgende Ziele:
- Quantifizierung des Sicherheitsniveaus respektive des Reifegrades der Gesamt-IT,
- die Auflistung der wesentlichen Schwachstellen im untersuchten Unternehmen und
- die Formulierung von kurz- und langfristigen Maßnahmen zur Behebung der erkannten Problemstellungen.
Innovationsmanagement
Standardisiertes Vorgehen
Auf Basis COBIT, IDW, ISO27001 und weitereHohe Vergleichbarkeit
der ErgebnisseStrukturierter Ansatz
auf Basis Balanced Score CardSicherstellung von Compliance
Prüfung und Bewertung des Compliance ManagementsBusiness Continuity im Fokus
Sicherstellung der IT-technischen Arbeitsfähigkeit
Dr. Uwe Alkemper
Partner und Leiter IT-Beratung
Flankierende Maßnahmen
Zur Sicherstellung der notwendigen Leistungsfähigkeit sowie Sicherheit der untersuchten Systeme und Software-Lösungen bieten wir als flankierende Maßnahmen unserer IT-Audits auch die Durchführung von Performance Tests und Penetration Tests an.
Performance Tests
Software wird üblicherweise entwickelt, um bestimmte Anforderungen zu erfüllen. Insbesondere bei größeren Systemen mit hoher Anwenderzahl, vielen Lese- und/oder Schreibvorgängen ist es wichtig, die Zielstellung mit Blick auf die gewünschte Leistungsfähigkeit zu überprüfen. In diesem Kontext bieten wir sowohl die Entwicklung der notwendigen Prüfszenarien als auch deren Durchführung an. Das Ergebnis des Performance Tests liefert Grenzwerte wie bspw. die maximale User-Anzahl, eine priorisierte Liste mit akuten und potentiellen Problemen und die jeweils dazu passenden Maßnahmen.
Penetration Tests
Sogenannte Penetration Tests dienen der Überprüfung der Anfälligkeit eines Systems gegen Angriffe von außen, die das Ziel haben, dem System zu schaden oder dieses zu kompromittieren. Wir unterscheiden dabei zwischen Tests auf bekannter Infrastruktur (White Box) und uns nicht bekannter Infrastruktur (Black Box). In beiden Fällen ist eine klare Zielsetzung und das Vorgehen im Kontext des entsprechenden Evaluierungsprojektes wichtig, um am Ende zu aussagekräftigen Ergebnissen zu kommen. Das Ergebnis des Penetration Tests ist eine Risiko-Analyse; diese liefert eine priorisierte Liste mit akuten und potentiellen Problemen und dazu passende Maßnahmen.
Evaluierung von Plattformanbietern
Im Rahmen eines Auftrags zur Überprüfung der Entwicklungs-Prozesse, der IT-Sicherheit und allgemein der Einhaltung von Branchenstandards wurde eine Internet-Plattform respektive das dahinterstehende Unternehmen auditiert. Mit Blick auf die Entwicklungsprozesse wurden die Anforderungen in Form initialer Fragebögen und darauf aufbauend Interviews konzipiert und in Form einer Balanced Score Card vorab definiert. Vorbereitung, Durchführung der Interviews vor Ort beim Kunden und nachfolgende Bewertung hatten einen zeitlichen Umfang von ca. 3 Wochen.
Schlaglicht
Vorgehensmodell
Bewertung
Das Ziel jeder Überprüfung durch conventic ist eine quantitative Aussage über den Zustand eines Systems oder Teil-Systems mit einer Bewertung. Zu diesem Zweck werden für jedes Prüfthema Bewertungskriterien im Voraus definiert, mit Gewichtungsfaktoren versehen und im Rahmen des praktischen Vorgehens auf der Basis von strukturierten Fragen, deren Verifizierung oder Falsifizierung, bewertet. Das Ergebnis wird dann als Balanced Score Card angezeigt und über die verschiedenen Prüfthemen zu einem Gesamt-Ergebnis aggregiert.
Maßnahmen
Aus gefundenen Problemstellungen lassen sich Maßnahmen zur Verbesserung oder Vermeidung ableiten. Diese Maßnahmen werden mit Prioritäten versehen, die sich aus dem Verhältnis von Kosten/Nutzen, Akzeptanz und Umsetzbarkeit im Unternehmen ergeben. Das Ergebnis ist ein priorisierter Maßnahmenkatalog mit der Beschreibung der wichtigsten und empfohlenen Maßnahmen, wie sie aus dem IT-Audit resultieren.