Servizi di Technology & Digital Audit
Aiutiamo i Clienti a comprendere i rischi chiave di Business collegati alla tecnologia e ai dati.
I nostri servizi partono dall’IT Audit Set Up, che include le attività di IT Risk Assessment e di definizione dell’Audit Plan, all’esecuzione di interventi specialisti su tematiche critiche di compliance e di tutela del business e del valore aziendale, tra cui:
- IT Governance & IT Risk Management
- IT Security, Privacy & Cybersecurity
- Big Data, Analytics & Fraud Monitoring
- Digital Transformation & Innovation
- Infrastructure & Architecture Management
- Microsoft 365 Security Review
Aiutiamo i Clienti a comprendere i loro principali rischi tecnologici e digitali e la relativa capacità di mitigazione degli stessi.
L’indipendenza è il nostro principale fattore di differenziazione. Protiviti è totalmente indipendente dai network di revisione contabile e ha un team focalizzato sui servizi di Audit & Compliance, integrato da specialisti di tecnologia, con una profonda esperienza nei principali framework internazionalmente riconosciuti (es. COBIT, NIST, ISO, ITIL e CMM).
Da anni Protiviti collabora con ISACA, (Information Systems Audit and Control Association - associazione professionale internazionale focalizzata sulla Governance IT. ISACA ha sviluppato il framework COBIT - Control Objectives for Information and Related Technologies) con cui conduce la “IT Audit Benchmarking Survey”, pubblicazione annuale che mira a rilevare i Rischi IT emergenti e le sfide di controllo interno ad essi associate.
I nostri servizi di Technology & Digital Audit
Analisi del modello di Governance dei Sistemi Informativi e individuazione delle aree da rafforzare o modificare, anche in considerazione della dinamicità dei contesti operativi di riferimento.
Tra i principali ambiti di approfondimento:
- la Struttura Organizzativa
- i Processi Operativi e il Monitoraggio dei servizi erogati
- la gestione dell’ICT delle società collegate
- la governance della Sicurezza Informatica
- la gestione del Portafoglio progetti
- la gestione delle Terze Parti e dei relativi contratti
- la gestione dei Rischi e della Compliance normativa
- la spesa IT sia in termini di Costi Operativi che di Investimenti
- l’Allineamento alle Strategie ed agli Obiettivi di Business
Protiviti esegue le attività di Audit sulla base di metodologie proprietarie, integrate dalle “Best Practices” di riferimento e dai framework riconosciuti a livello internazionale (es. Cobit, ISO 27001, ITIL e TOGAF).
Analisi complessiva dell’Information Security Management System nonché verifica dei processi, delle infrastrutture e dei sistemi utilizzati per la gestione delle attività di Information & Cyber Security al fine di valutare la loro adeguatezza in termini di efficacia ed efficienza delle operation, disponibilità e integrità dei dati, riservatezza delle informazioni e degli accessi, protezione degli asset e conformità a leggi, regolamenti, procedure e contratti.
Tra i principali ambiti di approfondimento:
- Gestione della sicurezza IT
- Piano di sicurezza IT
- Identity management
- User account management
- Security testing, surveillance and monitoring
- Gestione degli incidenti di sicurezza
- Protection of security technology
- Cryptographic key management
- Malicious software prevention, detection and correction
- Network security
- Exchange of sensitive data
Analisi dell’impianto complessivo di gestione della compliance GDPR con l’obiettivo di analizzare, da un punto di vista olistico, la totalità delle tematiche rilevanti in ambito privacy e determinarne l’attuale livello di compliance rispetto ai requisiti del GDPR, le eventuali aree di non conformità e i potenziali rischi, suggerendone le necessarie azioni correttive e/o di miglioramento.
Un focus specifico e di sempre maggiore rilevanza è l’Audit delle Terze Parti, intendendosi quelle terze parti coinvolte nel processo e responsabili di trattamenti per conto del Titolare. L’obiettivo è analizzarne se il rapporto con le terze parti è in linea con le disposizioni previste dal GDPR e con i requisiti contrattuali definiti in fase di stipula e identificare i relativi gap e potenziali rischi, suggerendo eventuali azioni correttive e/o di miglioramento.
In un contesto in cui le informazioni, patrimonio critico delle aziende, devono essere disponibili ed accessibili everywhere & at anytime, è richiesto un focus particolare su integrità dei dati, modalità sicure di accesso, trasferimento e condivisione sul Cloud.
Tra i principali ambiti di approfondimento:
- Analisi dei rischi nell’utilizzo di servizi cloud, identificazione dei rischi di natura organizzativa, tecnologica e legale.
- Valutazione dei termini e condizioni contrattuali per la regolamentazione dei servizi cloud e identificazione degli impatti rispetto al modello operativo-architetturale del Cliente.
- Valutazioni dei piani di migrazione e transizione al cloud.
- Modalità per l’accesso ai servizi cloud (e.g. posta elettronica, filesharing) e contesto di accesso (e.g. device e location di accesso)
- Regole di funzionamento dei servizi cloud (e.g. policy user based, protocolli utilizzati).
- Modalità di integrazione con altri sistemi (e.g. allineamento tra account on-premises e cloud);
- Configurazione di meccanismi di logging e auditing.
Le applicazioni aziendali costituiscono elemento cruciale dei processi aziendali. Supportiamo l’identificazione e la valutazione dei rischi rilevanti, la mappatura dei controlli di sicurezza ed applicativi di processo. Tra i principali ambiti di approfondimento:
- Adeguatezza dei profili di accesso applicativo.
- Rispondenza della soluzione applicativa con i processi e le procedure di business.
- Accuratezza e completezza delle transazioni effettuate e dei dati gestiti.
- Adeguatezza delle procedure e dei controlli sui flussi dati in input e output (manuali e/o automatici).
- Completezza ed accuratezza della reportistica prodotta.
- Monitoraggio degli SLA in vigore.
- Profili di accesso applicativo e delle regole di Segregation of Duties.
- Processo di Change Management in essere (sviluppo, test, produzione.
Analisi della resilienza operativa nell’ambito delle componenti tecnologiche e dei dati aziendali, includendo i piani di ripristino, di gestione delle emergenze e di risposta alle crisi, pianificazione complessiva della ripresa delle attività, valutazioni dell'infrastruttura tecnologica e dell'architettura e valutazioni della strategia tecnologica complessiva e della struttura organizzativa.
Tra i principali ambiti di approfondimento:
- Scelte organizzative in tema di Business Continuity: analisi delle scelte effettuate in termini organizzativi e dell’attribuzione delle responsabilità per le attività di Business Continuity, tra cui anche la verifica dei livelli di approvazione e di escalation per le soglie di tolleranza al rischio.
- Coerenza dei piani di Business Continuity e Disaster Recovery (DR): analisi complessiva con focalizzazione sugli scenari di risposta ad attacchi cyber sui sistemi informatici rispetto agli obiettivi di continuità operativa tra cui gli RTO (Recovery Time Objective) e gli RPO (Recovery Point Objective), e dei livelli minimi di servizio attesi.
- Attività di test: verifica dell’esistenza della pianificazione di attività di test coerenti con scenari di attacchi cyber e verifica dell’efficacia dei test svolti (es. test delle procedure di ripristino necessarie per garantire la possibilità di recuperare la piena efficienza dei sistemi tecnologici in caso di evento inatteso e nei tempi prefissati).
- Continuous improvement: analisi del processo di miglioramento continuo messo in atto attraverso le politiche aziendali e individuazione di suggerimenti per colmare eventuali gap riscontrati rispetto alle Best Practice di settore.
