Kategorie: Beratung

Sicherheit des IT-Service bei der Arbeit von zu Hause aus

Sicherheit des IT-Service

von zu Hause aus arbeiten

Derzeit arbeiten mehr Menschen von zu Hause aus als je zuvor, was zahlreiche Risiken für die Unternehmenssicherheit mit sich bringt. Die Zahl der weltweiten Datenschutzverletzungen nimmt zu und kann erhebliche Folgen für Unternehmen haben. Durch die Aufrechterhaltung der Sicherheitskontrolle können Unternehmen nicht nur das Vertrauen ihrer Kunden erhalten, sondern auch finanzielle Verluste eindämmen.

ISAE 3000 ist der Standard für die Prüfung von nicht-finanziellen Informationen. In der Praxis wird häufig ein SOC 2-Bericht verlangt. Dieser SOC 2-Bericht umfasst ausschließlich allgemeine IT-Kontrollen, die den Trust Service Criteria des AICPA entsprechen. Bei diesen Vertrauensdienstkriterien handelt es sich um bewährte Verfahren aus den Vereinigten Staaten für Sicherheit, Datenschutz, Vertraulichkeit, Verfügbarkeit und Integrität.

Was sind die besten Methoden, um Fernarbeit so sicher wie möglich zu machen?

1. Passwortverwaltung.

Der allgemein empfohlene Tipp ist die Verwendung sicherer Passwörter. Sorgen Sie dafür, dass Ihre Mitarbeiter mehrere verschiedene Passwörter anlegen. Auch das häufige Ändern von Passwörtern kann die Sicherheit erhöhen. Stellen Sie außerdem sicher, dass private und berufliche Benutzerkonten getrennt sind. Da es oft einfacher ist, sich mit einem privaten Konto von zu Hause aus anzumelden, kann dies die Sicherheit gefährden.

2. Bildschirmsperre während der Pausen.

Es klingt wie ein logischer Schritt, aber die Bildschirmsperre wird oft übersehen. Unerwartete Ereignisse können auftreten, wenn der Bildschirm nicht gesperrt ist. Dies ist eine Frage der Gewohnheit. Die folgenden Kombinationen sollten verwendet werden:

  • Fenster: Win + L
  • Mac: Cmd + Strg + Q

3. Trennen Sie Privates und Berufliches.

Wie bereits erwähnt, sollten Sie Privates und Berufliches trennen. Verschiedene Passwörter, private und berufliche, sollten nicht auf demselben Laufwerk gespeichert werden. Außerdem sollte ein Mitarbeiter seine Arbeits-E-Mails niemals für externe Websites verwenden.

4. Sichere WIFI-Verbindung.

Eine sichere WIFI-Verbindung klingt einfach, aber es werden oft Fehler gemacht. Viele Menschen machen den Fehler, sich bei einem öffentlichen WIFI-Dienst anzumelden, anstatt einen Telefon-Hotspot in der Öffentlichkeit zu nutzen. Weisen Sie Ihre Mitarbeiter immer darauf hin, dass sie, wenn sie in der Öffentlichkeit arbeiten, immer ihren eigenen Hotspot statt eines ungesicherten WIFI-Dienstes verwenden müssen.

5. VPN.

Wenn Sie von zu Hause aus arbeiten, sollten Sie eine VPN-Verbindung nutzen. Eine VPN-Verbindung verringert das Risiko von Hackern und Datenschutzverletzungen. Außerdem ist es wichtig, die Browserwarnungen zu beachten. Wenn sich eine Website nicht richtig anfühlt, ist sie es wahrscheinlich nicht.

6. Sicherheitsprogramme.

Für Computer stehen verschiedene Sicherheitsupdates zur Verfügung, die oft automatisch beim Hochfahren oder Herunterfahren des Computers installiert werden. Außerdem sollten Unternehmen obligatorische Antivirenprogramme anbieten.

Risklane bietet Dienstleistungen in den Bereichen Governance, Risiko und Compliance. Seit 2014 ist Risklane ein Marktführer und die fortschrittlichste Organisation in Bezug auf die Implementierung und Zertifizierung von ISAE 3402. Neben ISAE 3402 bieten wir auch Dienstleistungen in den Bereichen ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 und COSO ERM an.

Was sind die Anforderungen für einen SOC 1-Bericht?

Was sind die Anforderungen

für einen SOC 1-Bericht?

Für die Zertifizierung benötigt Ihre Organisation einen Bericht, der ihr Risikomanagement und ihre internen Kontrollen beschreibt. Dieser Bericht wird auch als Service Organization Control Report (SOC) bezeichnet, eine Terminologie, die aus den Vereinigten Staaten (AICPA) stammt. Wenn ein SOC-Bericht ausgelagerte Aktivitäten betrifft, wird er als SOC 1 (US) oder ISAE 3402 Bericht bezeichnet. Bezieht sich der Bericht auf die Zertifizierung nach einem bestimmten Standard (z.B. Trust Service Principles), wird er als SOC 2 oder ISAE 3000 Bericht bezeichnet. Ein ISAE 3000-Bericht kann auch für die Einhaltung der General Data Protection Regulation (GDPR) erstellt werden.

Die Anforderungen sind in dem Standard aufgeführt, der von der IFAC-Website heruntergeladen werden kann.

Im Großen und Ganzen besteht der Standard aus den folgenden Teilen.

Um nach ISAE 3402 ‚zertifiziert‘ zu werden, muss eine Organisation über einen Service Organization Control Report (SOC) verfügen. Eine SOC ist formfrei, d.h. der Standard schreibt keinen bestimmten Inhalt vor. Es haben sich jedoch verschiedene ‚Praktiken‘ herausgebildet. Es gibt auch Anforderungen für Berichte von Einrichtungen wie der De Nederlandsche Bank, sektoralen Instituten oder den Dienstleistungsorganisationen selbst. Ein SOC-Bericht ist in der Regel in zwei Teile gegliedert: einen allgemeinen Teil mit einer Beschreibung der Organisation, des Risikomanagements und des internen Kontrollsystems sowie eine ‚Kontrollmatrix‘. Die Kontrollmatrix enthält die Kontrollziele und eine Beschreibung der Kontrollmaßnahmen, die diese Ziele gewährleisten. Der ultimative Rahmen für den ISAE 3402-Bericht ist der Finanzbericht. Alle Prozesse, die sich erheblich auf die Finanzprozesse auswirken, müssen einbezogen werden. Im Allgemeinen handelt es sich dabei um alle betrieblichen und finanziellen Prozesse sowie um die allgemeinen IT-Kontrollen.

ISAE 3402 Typ I oder Typ II?

Es gibt zwei Arten von Berichten: einen Typ I und einen Typ II Bericht. Ein Bericht vom Typ I liefert eine Momentaufnahme der Kontrollorganisation zu einem einzigen Zeitpunkt. Während der Prüfung bewertet der Wirtschaftsprüfer die Kontrollmaßnahmen nur hinsichtlich ihrer Gestaltung und Existenz. Das bedeutet, dass der Buchhalter den gesamten Bericht (SOC) überprüft und die Prozesse einmal durchläuft. In einem Bericht des Typs II wird neben der Konzeption und dem Vorhandensein auch die wirksame Durchführung der Kontrollmaßnahmen vom Wirtschaftsprüfer geprüft. Aufgrund der Auswirkungen von ISAE 3402 auf eine Organisation wird in der Regel mit einem Typ-I-Bericht begonnen und in der Folgezeit ein Typ-II-Bericht eingeführt.

24

Prozess-Ansatz ISO 9001

PROZESSANSATZ ISO 9001

Die Norm ISO/IEC 9001 ist der internationale Standard für Qualitätsmanagement. Sie konzentriert sich darauf, die Anforderungen der Kunden zu erfüllen und die Kundenzufriedenheit zu erhöhen. Bestimmte Aspekte innerhalb der ISO 9001-Norm werden als Anforderungen umrissen.

Die Auswirkungen dieser ISO 9001-Standardkomponenten auf eine Organisation werden in der nebenstehenden Abbildung visuell dargestellt. Es gibt acht definierte Komponenten, die das Qualitätsmanagementsystem (QMS) bilden. Das QMS dient als Grundlage für die Implementierung von ISO 9001, um sicherzustellen, dass die Dienstleistungen den Kundenanforderungen entsprechen und die Kunden zufrieden sind.

Der Plan-Do-Check-Act-Zyklus ist rot hervorgehoben. Dies ist ein zentraler Punkt bei der Umsetzung von ISO 9001: Planung auf der Grundlage der Kundenanforderungen, Messung der Ausführung und Bewertung zur Verbesserung der allgemeinen Betriebsqualität.

Die Einführung eines effektiven Qualitätsmanagementsystems ist der Schlüssel zu einer nachhaltigen Unternehmensentwicklung und kann die Gesamtleistung verbessern. ISO 9001 verwendet einen prozessorientierten Ansatz und risikobasiertes Denken.

PROZESSANSATZ ISO 9001

Der Prozessansatz, der im Plan-Do-Check-Act-Zyklus (PDCA) detailliert beschrieben ist, stellt sicher, dass das Qualitätsmanagement ein integraler Bestandteil des Betriebs ist und sich auf die kontinuierliche Verbesserung der Prozesse konzentriert. Es setzt risikobasiertes Denken ein, um Ereignisse zu antizipieren, die verhindern, dass Prozesse die gewünschten Ergebnisse erzielen.

VORTEILE VON ISO 9001

  • Hohe Kundenzufriedenheit
  • Qualitätssicherung
  • Standardisierte Verfahren
  • Motivierte und engagierte Mitarbeiter

Folgen von ISAE 3402

Folgen von ISAE 3402

Um eine ISAE 3402-Zertifizierung zu erhalten, benötigen Sie eine Beschreibung Ihrer internen Kontrolle, auch bekannt als Service Organization Control Report (SOC).

Dieser Bericht wird von einem externen Wirtschaftsprüfer bestätigt. Der Wirtschaftsprüfer bescheinigt nicht wirklich, sondern erstellt einen Assurance-Bericht in Übereinstimmung mit dem Standard ISAE 3402 für Ihr SOC. Es gibt spezifische Anforderungen an den Inhalt eines solchen SOC- oder ISAE 3402-Berichts. Bei Risklane beschreiben wir Ihren Bericht gemäß diesen Anforderungen. Wir können Sie dann mit einem externen Wirtschaftsprüfer verbinden, der Ihre ISAE 3402 bescheinigt.

Viele Unternehmen konzentrieren sich auf ihre Kernaktivitäten und lagern Nicht-Kernaktivitäten an andere Unternehmen aus. Aufgrund regulatorischer Anforderungen und des schwindenden Vertrauens zwischen den Marktparteien ist die Nachfrage nach Sicherheit beim Outsourcing gestiegen. Ein ISAE 3402 bietet Sicherheit in Bezug auf alle Prozesse, die sich letztlich auf den Jahresabschluss der anwendenden Organisation auswirken.

Viele Organisationen, die von der niederländischen Zentralbank beaufsichtigt werden, müssen nachweisen, dass ausgelagerte Prozesse effektiv kontrolliert werden. Ein ISAE 3402-Bericht kann in dieser Hinsicht hilfreich sein und ist jetzt für mehr Organisationen wie Krankenversicherungen und die AFM obligatorisch. Internationale Unternehmen, die von der SEC beaufsichtigt werden und die SOx 404 einhalten müssen, müssen auch alle ISAE 3402- oder SSAE16-Anforderungen für die Prozesse erfüllen, die sie auslagern. In diesen Fällen ist die Forderung nach ISAE 3402 sicherlich gerechtfertigt.