Technology Audit Services

Aiutiamo i Clienti a comprendere i rischi chiave di Business collegati alla tecnologia e ai dati.

I nostri servizi partono dall’IT Audit Set Up, che include le attività di IT Risk Assessment e di definizione dell’Audit Plan, all’esecuzione di interventi specialisti su tematiche critiche di compliance e di tutela del business e del valore aziendale, tra cui:

IT Governance & IT Risk Management
IT Security, Privacy & Cybersecurity
Big Data, Analytics & Fraud Monitoring
Digital Transformation & Innovation
Infrastructure & Architecture Management
Microsoft 365 Security Review

Aiutiamo i Clienti a comprendere i loro principali rischi tecnologici e digitali e la relativa capacità di mitigazione degli stessi.
L’indipendenza è il nostro principale fattore di differenziazione. Protiviti è totalmente indipendente dai network di revisione contabile e ha un team focalizzato sui servizi di Audit & Compliance, integrato da specialisti di tecnologia, con una profonda esperienza nei principali framework internazionalmente riconosciuti (es. COBIT, NIST, ISO, ITIL e CMM).

Da anni Protiviti collabora con ISACA, (Information Systems Audit and Control Association - associazione professionale internazionale focalizzata sulla Governance IT. ISACA ha sviluppato il framework COBIT - Control Objectives for Information and Related Technologies) con cui conduce la “IT Audit Benchmarking Survey”, pubblicazione annuale che mira a rilevare i Rischi IT emergenti e le sfide di controllo interno ad essi associate.

Protect and enhance enterprise value through the evaluation of technology governance, systems, operations, and projects

ICT Governance Audit

Analisi del modello di Governance dei Sistemi Informativi e individuazione delle aree da rafforzare o modificare, anche in considerazione della dinamicità dei contesti operativi di riferimento.

Tra i principali ambiti di approfondimento:

la Struttura Organizzativa
i Processi Operativi e il Monitoraggio dei servizi erogati
la gestione dell’ICT delle società collegate
la governance della Sicurezza Informatica
la gestione del Portafoglio progetti
la gestione delle Terze Parti e dei relativi contratti
la gestione dei Rischi e della Compliance normativa
la spesa IT sia in termini di Costi Operativi che di Investimenti
l’Allineamento alle Strategie ed agli Obiettivi di Business

Protiviti esegue le attività di Audit sulla base di metodologie proprietarie, integrate dalle “Best Practices” di riferimento e dai framework riconosciuti a livello internazionale (es. Cobit, ISO 27001, ITIL e TOGAF).

Audit Cybersecurity

Analisi complessiva dell’Information Security Management System nonché verifica dei processi, delle infrastrutture e dei sistemi utilizzati per la gestione delle attività di Information & Cyber Security al fine di valutare la loro adeguatezza in termini di efficacia ed efficienza delle operation, disponibilità e integrità dei dati, riservatezza delle informazioni e degli accessi, protezione degli asset e conformità a leggi, regolamenti, procedure e contratti.

Tra i principali ambiti di approfondimento:

Gestione della sicurezza IT
Piano di sicurezza IT
Identity management
User account management
Security testing, surveillance and monitoring
Gestione degli incidenti di sicurezza
Protection of security technology
Cryptographic key management
Malicious software prevention, detection and correction
Network security
Exchange of sensitive data

Audit Data Protection & Privacy

Analisi dell’impianto complessivo di gestione della compliance GDPR con l’obiettivo di analizzare, da un punto di vista olistico, la totalità delle tematiche rilevanti in ambito privacy e determinarne l’attuale livello di compliance rispetto ai requisiti del GDPR, le eventuali aree di non conformità e i potenziali rischi, suggerendone le necessarie azioni correttive e/o di miglioramento.

Un focus specifico e di sempre maggiore rilevanza è l’Audit delle Terze Parti, intendendosi quelle terze parti coinvolte nel processo e responsabili di trattamenti per conto del Titolare. L’obiettivo è analizzarne se il rapporto con le terze parti è in linea con le disposizioni previste dal GDPR e con i requisiti contrattuali definiti in fase di stipula e identificare i relativi gap e potenziali rischi, suggerendo eventuali azioni correttive e/o di miglioramento.

Audit servizi Cloud

In un contesto in cui le informazioni, patrimonio critico delle aziende, devono essere disponibili ed accessibili everywhere & at anytime, è richiesto un focus particolare su integrità dei dati, modalità sicure di accesso, trasferimento e condivisione sul Cloud.

Tra i principali ambiti di approfondimento:

Analisi dei rischi nell’utilizzo di servizi cloud, identificazione dei rischi di natura organizzativa, tecnologica e legale.
Valutazione dei termini e condizioni contrattuali per la regolamentazione dei servizi cloud e identificazione degli impatti rispetto al modello operativo-architetturale del Cliente.
Valutazioni dei piani di migrazione e transizione al cloud.
Modalità per l’accesso ai servizi cloud (e.g. posta elettronica, filesharing) e contesto di accesso (e.g. device e location di accesso)
Regole di funzionamento dei servizi cloud (e.g. policy user based, protocolli utilizzati).
Modalità di integrazione con altri sistemi (e.g. allineamento tra account on-premises e cloud);
Configurazione di meccanismi di logging e auditing.

Enterprise Applications Audit

Le applicazioni aziendali costituiscono elemento cruciale dei processi aziendali. Supportiamo l’identificazione e la valutazione dei rischi rilevanti, la mappatura dei controlli di sicurezza ed applicativi di processo. Tra i principali ambiti di approfondimento:

Adeguatezza dei profili di accesso applicativo.
Rispondenza della soluzione applicativa con i processi e le procedure di business.
Accuratezza e completezza delle transazioni effettuate e dei dati gestiti.
Adeguatezza delle procedure e dei controlli sui flussi dati in input e output (manuali e/o automatici).
Completezza ed accuratezza della reportistica prodotta.
Monitoraggio degli SLA in vigore.
Profili di accesso applicativo e delle regole di Segregation of Duties.
Processo di Change Management in essere (sviluppo, test, produzione.

Resilienza e continuità tecnologica

Analisi della resilienza operativa nell’ambito delle componenti tecnologiche e dei dati aziendali, includendo i piani di ripristino, di gestione delle emergenze e di risposta alle crisi, pianificazione complessiva della ripresa delle attività, valutazioni dell'infrastruttura tecnologica e dell'architettura e valutazioni della strategia tecnologica complessiva e della struttura organizzativa.

Tra i principali ambiti di approfondimento:

Scelte organizzative in tema di Business Continuity: analisi delle scelte effettuate in termini organizzativi e dell’attribuzione delle responsabilità per le attività di Business Continuity, tra cui anche la verifica dei livelli di approvazione e di escalation per le soglie di tolleranza al rischio.
Coerenza dei piani di Business Continuity e Disaster Recovery (DR): analisi complessiva con focalizzazione sugli scenari di risposta ad attacchi cyber sui sistemi informatici rispetto agli obiettivi di continuità operativa tra cui gli RTO (Recovery Time Objective) e gli RPO (Recovery Point Objective), e dei livelli minimi di servizio attesi.
Attività di test: verifica dell’esistenza della pianificazione di attività di test coerenti con scenari di attacchi cyber e verifica dell’efficacia dei test svolti (es. test delle procedure di ripristino necessarie per garantire la possibilità di recuperare la piena efficienza dei sistemi tecnologici in caso di evento inatteso e nei tempi prefissati).
Continuous improvement: analisi del processo di miglioramento continuo messo in atto attraverso le politiche aziendali e individuazione di suggerimenti per colmare eventuali gap riscontrati rispetto alle Best Practice di settore.