IT Risicomanagement
IT Risicomangement is in essentie het vergelijken van een verkregen beeld van de werkelijkheid met de optimale situatie. Hieronder vallen een IT Audit, IT Scan en een IT Risicoanalyse.
IT Risicomanagement is een bewustwording van de risico's die een organisatie loopt en de maatregelen die men hierop kan nemen.
Een IT Audit bevinding kunt u zien als een beschrijving van de aangetroffen situatie en afwijkt van de optimale situatie. Een aanbeveling kunnen we hierin zien als een middel om van de aangetroffen niet optimale situatie naar een situatie te komen die wel optimaal is. Vaak wordt dan gesproken over de “ist” en “soll” situatie.
"Als we wisten wat we deden, heette het geen onderzoek." Albert Einstein
In samenspraak met uw organisatie verdergaande onderzoeken worden uitgevoerd voor bepaalde onderdelen van de IT Infrastructuur. Ook de diepgang van deze onderzoeken moeten in verhouding zijn met het type en grootte van de organisatie. Om die reden bepaald uw organisatie samen met Meiberg Consultancy wat nader onderzocht moet worden.
Van deze onderzoeken wordt gerapporteerd met een handig overzichtblad per onderzoeksgebied, met daarop de bevindingen, risico, Business Impact Analyse, Advies, Maatregelen enz.
Deze worden daarna samen met uw organisatie besproken en toegelicht. Deze onderzoeken kunnen veel tijd in beslag nemen afhankelijk van wat er onderzocht wordt. Om die reden is de samenspraak erg belangrijk.
Er hoeft geen onderzoek gedaan te worden wat goed is!
Wij werken volgens onderstaande fasen of met combinaties daarvan:
IT Scan
Een verkorte IT audit, deze biedt inzicht op detailniveau waar uw bedrijf de meeste risico’s loopt. Op basis daarvan kan een business impact analyse gemaakt worden.
IT Audit
Een onafhankelijk en objectief onderzoek naar uw IT-infrastructuur, bedoelt om het verkregen beeld van de werkelijkheid (ist) te vergelijken met de optimale situatie (soll). Dit betreft een vooraf afgestemd gebied.
De gebieden die bij een ICT risico audit onderzocht worden zijn onder andere, documentatie, BCM, elektrisch, bekabeling, servers, bouwkundig en beveiliging.
De IT audit gaat als volgt in het werk;
Fase 1: De opdracht
De opdrachtgever geeft de auditor opdracht. De auditor moet weten wat hij moet onderzoeken, welke aspecten, en ook waarom de opdrachtgever belang heeft bij het resultaat.
Fase 2: Plan van aanpak
De auditor bepaalt hoe en wanneer hij de audit gaat doen. In een (kort) plan beschrijft hij welke informatiebronnen hij wil gebruiken en welke documentatie, en welke interviews en middelen hij nodig heeft.
Fase 3: Uitvoering
De auditor gaat volgens plan te werk, waarbij hij scherp bewaakt of hij het gestelde auditdoel gaat realiseren. Zo niet, dan overlegt hij met de opdrachtgever over bijsturende maatregelen dan wel bijstelling van het plan.
Fase 4: Oordeelsvorming
Op basis van alle verkregen informatie uit waarnemingen, interviews, documentatie, controles etc. trekt de auditor conclusies. Zo nodig worden nog aanvullende controles gedaan of wordt extra informatie opgevraagd.
Fase 5: Rapportage
In de rapportage is het van belang scherp onderscheid te maken tussen bevindingen, conclusies en aanbevelingen.
Bevindingen zijn relevante feiten. Deze moeten door alle partijen als juist en volledig worden erkend. Als dat niet het geval is, dan is aanvullend onderzoek nodig.
De
conclusies dienen logisch voort te komen uit de bevindingen.
De
aanbeveling is op basis van de bevindingen en conclusies in combinatie met de normen en richtlijnen.
De rapportage is schriftelijk.
Opvolging IT Risico Audit.
De opvolging van de audit oftewel het uitvoeren van de verbetermaatregelen maakt geen deel uit van de audit. Het is wel gebruikelijk dat de interne auditors vaststellen of de afgesproken verbetermaatregelen zijn uitgevoerd en of hiermee het gewenste effect is bereikt. Vaak maakt dit deel uit van een volgende audit.
IT Risicoanalyse
Deze vindt plaats in de eerste fase, aan de hand hiervan kan een opvolgadvies worden gemaakt.