Overige IT audits
Wat is een IT Audit?
Met een IT-audit beoordelen wij de organisatie, governance, het applicatielandschap en/of de IT infrastructuur. IT-auditing is een specialisme binnen het auditing-vakgebied. BKBO beheerst dit specialisme.
Wat is een SSC Audit?
Een Shared Service Centrum audit is een bijzondere vorm van een IT audit. Het is een manier om de organisatie, de governance, het applicatielandschap, de infrastructuur en met name de kwaliteit van de beheersing van de IT van een SSC te beoordelen. Door de verdergaande digitalisering is continue monitoring essentieel. Daarom is herhaling van een SSC audit van groot belang: iets dat goed is, moet ook goed blijven.
Wat is het probleem?
Een SSC krijgt bij de oprichting mee dat het allemaal goedkoper moet: applicatiesanering, werken in de cloud, flexibel en mobiel werken en met minder medewerkers is dan het verhaal. Het SSC moet simpelweg goedkoper werken dan de samenstellende IT afdelingen daarvoor deden.
Aan de andere kant gaan de ontwikkelingen erg snel. Taken worden gedecentraliseerd, IT functies worden samengevoegd en uitbesteding is aan de orde van de dag. Steeds meer processen worden stukje bij beetje verder gedigitaliseerd. Het SSC groeit organisch tot een steeds grotere organisatie, waarbij de IT alsmaar complexer wordt. Steeds meer verschillende diensten worden toegevoegd. Steeds meer deelnemers sluiten zich aan en worden aan het bestaande netwerk toegevoegd.
Overzicht houden wordt steeds lastiger. Het gaat piepen en kraken. Belangen van shared service centra en opdrachtgevers gaan onvermijdelijk uiteen lopen. Om te kunnen beheersen moet je investeren in je bedrijfsmiddelen, je mensen, je serverpark en je tooling. Kortom de beheersing van de IT processen komt steeds meer onder druk te staan. Dit heeft niet alleen gevolgen voor de performance, het personeel en de effectiviteit maar ook voor de informatiebeveiliging.
In de praktijk constateren we dan ook dat de performance onder druk staat door een niet adequaat ontworpen active directory die teveel trusts kent en dat er veel schort aan het opleidingsniveau van o.a. de beheerders. State of the art tooling vereist state of the art medewerkers en niet alles valt op te lossen met inhuur. We zien dat fileshares en databases tussen deelnemers niet goed gescheiden zijn, dat de OTAP straat onvoldoende is doordacht, dat exchange servers onveilig zijn geconfigureerd en dat de IT infrastructuur slecht is gehardend. Wachtwoordrestricties voor admins worden niet goed toegepast en systeem/netwerkbeheerders moeten een veelheid aan admin accounts gebruiken. We zien dat programma’s voor handige eindgebruikers te starten zijn.
Wat kunnen wij u bieden?
Wij kennen de markt, de situatie waarin u zich als deelnemer of als SSC bevindt en weten waar u tegenaan loopt. Wij combineren kennis van uw bedrijfsprocessen met onze ervaring als IT auditor. BKBO is aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA) en wij hanteren de gedragsregels van de Register EDP-auditor (RE): NOREA Code of Ethics voor de IT auditor.
Met een SSC audit krijgen het SSC en haar opdrachtgevers:
- Zicht op de technische kwetsbaarheden. Wij reiken u maatregelen aan om deze te beheersen;
- Betere dienstverlening door een analyse van de IT processen in relatie tot de best practices van ITIL waardoor de efficiency en effectiviteit naar de deelnemers beter op orde kan worden gebracht;
- Betere kwaliteit van de geleverde diensten en gegevens doordat het netwerk, de infrastructuur en de databases kritisch worden geanalyseerd waardoor u maatregelen kunt nemen om de integriteit van gegevens te verbeteren;
- Een algeheel hoger niveau van informatiebeveiliging.
Hoe pakken wij dat aan?
In de afbakeningsfase worden afspraken gemaakt over het doel, de scope en de diepgang van de audit. Ook moet overeenstemming worden verkregen over het te hanteren normenkader, tenzij dit reeds is voorgeschreven.
Na de vaststelling van de scope leggen we onze werkzaamheden vast in een auditplan. Ook wijst u als opdrachtgever een vast contactpersoon aan bij wie de auditor voor de verdere voorbereiding en uitvoering van de audit kan aankloppen. BKBO levert een “boodschappenlijstje” welke bewijsstukken we graag van uw kant aangeleverd zien. Deze kunnen vervolgens door uw medewerkers worden verzameld om beschikbaar stellen. Daarna start onze documentenstudie.
Dan doen we een gezamenlijke kick-off. Verwacht niet dat medewerkers automatisch weten hoe zij met een audit om moeten gaan. Mensen die nog nooit een audit hebben meegemaakt kunnen hier zenuwachtig van worden. Het is daarom verstandig om alle betrokkenen bij de audit vooraf te informeren.
Hierna volgen diepte-interviews voor de setting, de governance en de ITIL processen. Incident en problem management, access management, servicedesk en contractbeheer spelen daarbij een rol, maar ook security, configuratie, availability en release management. We nemen de gehele ITIL v3 bibliotheek door. Tegelijkertijd doen we netwerkscans op uw active directory, uw wifi en vulnerabilityscans op uw complete infrastructuur en onderzoeken we de segmentering en de hardening en de scheiding op het niveau van fileshares, exchange en databases. Door onze jarenlange auditexpertise en actuele kennis hebben wij slechts twee à drie dagen nodig om samen met u de situatie te bekijken. Na de audit houden we een slotbijeenkomst om onze eerste bevindingen aan u kenbaar te maken.
We analyseren op kantoor de uitkomsten en formuleren de bevindingen en afwijkingen. Vervolgens stellen wij een conceptrapportage op. Deze leggen we aan u voor in een gezamenlijke eindbespreking. We nemen de risico’s door en we lichten onze aanbevelingen toe. De resultaten van het eindgesprek worden vervolgens door ons verwerkt in een eindrapportage voor het SSC en de deelnemers.
Wilt u meer weten?
Graag beantwoorden wij al uw vragen. U kunt daarvoor bellen met BKBO op telefoonnummer:
BKBO, 073 – 211 03 37
U kunt ook meteen een offerte aanvragen via info@bkbo.nl