Fachliche Prüfung nach Vorgehensmodell

Um ein standardisiertes und modulares Vorgehen zu ermöglichen, wird das IT-Audit thematisch in verschiedene Teil-Audits unterteilt, die sinnvollerweise bereits im Vorfeld der Beauftragung abgestimmt werden.

Die einzelnen Themen sind in dabei in Teilen voneinander unabhängig. Jedes Thema enthält eine Überprüfung und Bewertung, eine Aufstellung der Schwachstellen und eine Maßnahmenempfehlung und kann somit getrennt von allen anderen betrachtet werden.

Die Teilergebnisse aus den Überprüfungen sind so gestaltet, dass sie jeweils zu Zwischenergebnissen und anschließend zu einem Gesamtergebnis aggregiert werden können.

IT-Audits

sichern die Wettbewerbsfähigkeit

It-Audits verfolgen üblicherweise folgende Ziele:

  • Quantifizierung des Sicherheitsniveaus respektive des Reifegrades der Gesamt-IT,
  • die Auflistung der wesentlichen Schwachstellen im untersuchten Unternehmen und
  • die Formulierung von kurz- und langfristigen Maßnahmen zur Behebung der erkannten Problemstellungen.

Standardisiertes Vorgehen 
Auf Basis COBIT, IDW, ISO27001 und weitere
Hohe Vergleichbarkeit der Ergebnisse
Strukturierter Ansatz auf Basis Balanced Score Card
Sicherstellung von Compliance
Prüfung und Bewertung des Compliance Managements
Business Continuity im Fokus
Sicherstellung der IT-technischen Arbeitsfähigkeit
Die Basis ist die Erfahrung einer  Vielzahl von IT- und Audit-Projekten. Nach einiger Zeit erkennt man Muster und wo man nach den üblichen Verdächtigen suchen muss. Dabei wollen wir Schwachstellen aufzeigen, um das auditierte Unternehmen zu verbessern. Es geht nicht darum, zu ermitteln, wer die Schuld trägt, denn in vielen Unternehmen liegt die Ursache einfach in der langen Historie. Ein Einstieg an dieser Stelle lohnt nicht und bringt nichts.
Dr. Uwe Alkemper
Leiter IT-Beratung

Flankierende Maßnahmen

Zur Sicherstellung der notwendigen Leistungsfähigkeit sowie Sicherheit der untersuchten Systeme und Software-Lösungen bieten wir als flankierende Maßnahmen unserer IT-Audits auch die Durchführung von Performance Tests und Penetration Tests an.

Performance Tests

Software wird üblicherweise entwickelt, um bestimmte Anforderungen zu erfüllen. Insbesondere bei größeren Systemen mit hoher Anwenderzahl, vielen Lese- und/oder Schreibvorgängen ist es wichtig, die Zielstellung mit Blick auf die gewünschte Leistungsfähigkeit zu überprüfen. In diesem Kontext bieten wir sowohl die Entwicklung der notwendigen Prüfszenarien als auch deren Durchführung an.

Das Ergebnis des Performance Tests liefert Grenzwerte wie bspw. die maximale User-Anzahl, eine priorisierte Liste mit akuten und potentiellen Problemen und die jeweils dazu passenden Maßnahmen.

Penetration Tests

Sogenannte Penetration Tests dienen der Überprüfung der Anfälligkeit eines Systems gegen Angriffe von außen, die das Ziel haben, dem System zu schaden oder dieses zu kompromittieren. Wir unterscheiden dabei zwischen Tests auf bekannter Infrastruktur (White Box) und uns nicht bekannter Infrastruktur (Black Box). In beiden Fällen ist eine klare Zielsetzung und das Vorgehen im Kontext des entsprechenden Evaluierungsprojektes wichtig, um am Ende zu aussagekräftigen Ergebnissen zu kommen.

Das Ergebnis des Penetration Tests ist eine Risiko-Analyse; diese liefert eine priorisierte Liste mit akuten und potentiellen Problemen und dazu passende Maßnahmen.

Evaluierung von

Plattformanbietern

Im Rahmen eines Auftrags zur Überprüfung der Entwicklungs-Prozesse, der IT-Sicherheit und allgemein der Einhaltung von Branchenstandards wurde eine Internet-Plattform respektive das dahinterstehende Unternehmen auditiert. Mit Blick auf die Entwicklungsprozesse wurden die die Anforderungen in Form initialer Fragebögen und darauf aufbauend Interviews konzipiert und in Form einer Balanced Score Card vorab definiert. Vorbereitung, Durchführung der Interviews vor Ort beim Kunden und nachfolgende Bewertung hatten einen zeitlichen Umfang von ca. 3 Wochen.

Name des Projekts

kann zweizeilig werden.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. In vitae imperdiet nulla, quis fermentum tortor. Nulla facilisi. Donec viverra odio a diam porta, ac ultrices sem luctus. Pellentesque leo mi, aliquet nec ante ut, imperdiet convallis nisi. Donec efficitur posuere urna, porttitor dapibus leo malesuada vitae. Morbi hendrerit nulla eu mi semper dapibus. Cras ac velit et orci vehicula rhoncus non in quam. Nam ut nunc lectus. Aliquam quis sapien suscipit, sagittis urna vel, ornare libero.
Schlaglicht

Bewertung und Maßnahmen im Kontext

Bewertung
Das Ziel jeder Bewertung durch conventic ist eine quantitative Aussage über den Zustand eines Systems oder Teil-Systems mit einer Bewertung. Zu diesem Zweck werden für jedes Prüfthema Bewertungskriterien bereits im Voraus definiert, mit Gewichtungsfaktoren versehen und im Rahmen des praktischen Vorgehens auf der Basis von strukturierten Fragen, deren Verifizierung oder Falsifizierung, bewertet. Das Ergebnis wird dann als Balanced Score Card angezeigt und über die verschiedenen Prüfthemen zu einem Gesamt-Ergebnis aggregiert.

Maßnahmen
Aus gefundenen Problemstellungen lassen sich Maßnahmen zur Verbesserung oder Vermeidung ableiten. Diese Maßnahmen werden mit Prioritäten versehen, die sich aus dem Verhältnis von Kosten/Nutzen, Akzeptanz und Umsetzbarkeit im Unternehmen ergeben. Das Ergebnis ist ein priorisierter Maßnahmenkatalog mit der Beschreibung der wichtigsten und empfohlenen Maßnahmen, wie sie aus dem IT-Audit resultieren.

Interessant?

Haben Sie Fragen zum Thema Prozess-Beratung, zur Durchführung eines internen IT-Audits oder allgemein Bedarf im Bereich IT-Projekt-Management?
Dr. Uwe Alkemper
Partner und Leiter IT-Beratung

+49 2642 993.39.66
hello@conventic.com