• Search in Protiviti.com

Servizi di Technology & Digital Audit

Aiutiamo i Clienti a comprendere i rischi chiave di Business collegati alla tecnologia e ai dati.

I nostri servizi partono dall’IT Audit Set Up, che include le attività di IT Risk Assessment e di definizione dell’Audit Plan, all’esecuzione di interventi specialisti su tematiche critiche di compliance e di tutela del business e del valore aziendale, tra cui:

  • IT Governance & IT Risk Management
  • IT Security, Privacy & Cybersecurity
  • Big Data, Analytics & Fraud Monitoring
  • Digital Transformation & Innovation
  • Infrastructure & Architecture Management
  • Microsoft 365 Security Review

Aiutiamo i Clienti a comprendere i loro principali rischi tecnologici e digitali e la relativa capacità di mitigazione degli stessi.
L’indipendenza è il nostro principale fattore di differenziazione. Protiviti è totalmente indipendente dai network di revisione contabile e ha un team focalizzato sui servizi di Audit & Compliance, integrato da specialisti di tecnologia, con una profonda esperienza nei principali framework internazionalmente riconosciuti (es. COBIT, NIST, ISO, ITIL e CMM).

Da anni Protiviti collabora con ISACA, (Information Systems Audit and Control Association - associazione professionale internazionale focalizzata sulla Governance IT. ISACA ha sviluppato il framework COBIT - Control Objectives for Information and Related Technologies) con cui conduce la “IT Audit Benchmarking Survey”, pubblicazione annuale che mira a rilevare i Rischi IT emergenti e le sfide di controllo interno ad essi associate.

Protect and enhance enterprise value through the evaluation of technology governance, systems, operations, and projects

I nostri servizi di Technology & Digital Audit

Analisi del modello di Governance dei Sistemi Informativi e individuazione delle aree da rafforzare o modificare, anche in considerazione della dinamicità dei contesti operativi di riferimento.

Tra i principali ambiti di approfondimento:

  • la Struttura Organizzativa
  • i Processi Operativi e il Monitoraggio dei servizi erogati
  • la gestione dell’ICT delle società collegate
  • la governance della Sicurezza Informatica
  • la gestione del Portafoglio progetti
  • la gestione delle Terze Parti e dei relativi contratti
  • la gestione dei Rischi e della Compliance normativa
  • la spesa IT sia in termini di Costi Operativi che di Investimenti
  • l’Allineamento alle Strategie ed agli Obiettivi di Business

Protiviti esegue le attività di Audit sulla base di metodologie proprietarie, integrate dalle “Best Practices” di riferimento e dai framework riconosciuti a livello internazionale (es. Cobit, ISO 27001, ITIL e TOGAF).

Analisi complessiva dell’Information Security Management System nonché verifica dei processi, delle infrastrutture e dei sistemi utilizzati per la gestione delle attività di Information & Cyber Security al fine di valutare la loro adeguatezza in termini di efficacia ed efficienza delle operation, disponibilità e integrità dei dati, riservatezza delle informazioni e degli accessi, protezione degli asset e conformità a leggi, regolamenti, procedure e contratti.

Tra i principali ambiti di approfondimento:

  • Gestione della sicurezza IT
  • Piano di sicurezza IT
  • Identity management
  • User account management
  • Security testing, surveillance and monitoring
  • Gestione degli incidenti di sicurezza 
  • Protection of security technology
  • Cryptographic key management
  • Malicious software prevention, detection and correction
  • Network security
  • Exchange of sensitive data

Analisi dell’impianto complessivo di gestione della compliance GDPR con l’obiettivo di analizzare, da un punto di vista olistico, la totalità delle tematiche rilevanti in ambito privacy e determinarne l’attuale livello di compliance rispetto ai requisiti del GDPR, le eventuali aree di non conformità e i potenziali rischi, suggerendone le necessarie azioni correttive e/o di miglioramento.

Un focus specifico e di sempre maggiore rilevanza è l’Audit delle Terze Parti, intendendosi quelle terze parti coinvolte nel processo e responsabili di trattamenti per conto del Titolare. L’obiettivo è analizzarne se il rapporto con le terze parti è in linea con le disposizioni previste dal GDPR e con i requisiti contrattuali definiti in fase di stipula e identificare i relativi gap e potenziali rischi, suggerendo eventuali azioni correttive e/o di miglioramento.

In un contesto in cui le informazioni, patrimonio critico delle aziende, devono essere disponibili ed accessibili everywhere & at anytime, è richiesto un focus particolare su integrità dei dati, modalità sicure di accesso, trasferimento e condivisione sul Cloud. 

Tra i principali ambiti di approfondimento:

  • Analisi dei rischi nell’utilizzo di servizi cloud, identificazione dei rischi di natura organizzativa, tecnologica e legale.
  • Valutazione dei termini e condizioni contrattuali per la regolamentazione dei servizi cloud e identificazione degli impatti rispetto al modello operativo-architetturale del Cliente.
  • Valutazioni dei piani di migrazione e transizione al cloud.
  • Modalità per l’accesso ai servizi cloud (e.g. posta elettronica, filesharing) e contesto di accesso (e.g. device e location di accesso)
  • Regole di funzionamento dei servizi cloud (e.g. policy user based, protocolli utilizzati).
  • Modalità di integrazione con altri sistemi (e.g. allineamento tra account on-premises e cloud);
  • Configurazione di meccanismi di logging e auditing.

Le applicazioni aziendali costituiscono elemento cruciale dei processi aziendali. Supportiamo l’identificazione e la valutazione dei rischi rilevanti, la mappatura dei controlli di sicurezza ed applicativi di processo. Tra i principali ambiti di approfondimento:

  • Adeguatezza dei profili di accesso applicativo.
  • Rispondenza della soluzione applicativa con i processi e le procedure di business.
  • Accuratezza e completezza delle transazioni effettuate e dei dati gestiti.
  • Adeguatezza delle procedure e dei controlli sui flussi dati in input e output (manuali e/o automatici).
  • Completezza ed accuratezza della reportistica prodotta.
  • Monitoraggio degli SLA in vigore.
  • Profili di accesso applicativo e delle regole di Segregation of Duties.
  • Processo di Change Management in essere (sviluppo, test, produzione.

Analisi della resilienza operativa nell’ambito delle componenti tecnologiche e dei dati aziendali, includendo i piani di ripristino, di gestione delle emergenze e di risposta alle crisi, pianificazione complessiva della ripresa delle attività, valutazioni dell'infrastruttura tecnologica e dell'architettura e valutazioni della strategia tecnologica complessiva e della struttura organizzativa.

Tra i principali ambiti di approfondimento:

  • Scelte organizzative in tema di Business Continuity: analisi delle scelte effettuate in termini organizzativi e dell’attribuzione delle responsabilità per le attività di Business Continuity, tra cui anche la verifica dei livelli di approvazione e di escalation per le soglie di tolleranza al rischio.
  • Coerenza dei piani di Business Continuity e Disaster Recovery (DR): analisi complessiva con focalizzazione sugli scenari di risposta ad attacchi cyber sui sistemi informatici rispetto agli obiettivi di continuità operativa tra cui gli RTO (Recovery Time Objective) e gli RPO (Recovery Point Objective), e dei livelli minimi di servizio attesi.
  • Attività di test: verifica dell’esistenza della pianificazione di attività di test coerenti con scenari di attacchi cyber e verifica dell’efficacia dei test svolti (es. test delle procedure di ripristino necessarie per garantire la possibilità di recuperare la piena efficienza dei sistemi tecnologici in caso di evento inatteso e nei tempi prefissati).
  • Continuous improvement: analisi del processo di miglioramento continuo messo in atto attraverso le politiche aziendali e individuazione di suggerimenti per colmare eventuali gap riscontrati rispetto alle Best Practice di settore.

Leadership

Cristina Peano
Cristina Peano
Cristina Peano è Managing Director presso il nostro ufficio di Milano ed è responsabile della Service Line Internal Audit e Regulatory Compliance all’interno dell’Industry Product & Service.​ Cristina ha iniziato la sua carriera ...
Scopri di più
Francesco Monini
Francesco Monini
Francesco Monini è Managing Director presso l’ufficio Protiviti di Milano. In Protiviti Italia dal 2005, ha maturato la propria esperienza professionale nell’ambito della progettazione dei sistemi di controllo manageriale e del Risk Control. Prima di ...
Scopri di più
Luca Risi
Luca Risi
Luca Risi è Managing Director presso l’ufficio di Milano. In Protiviti dal 2007, è attualmente responsabile della Service Line "Digital" per le aziende operanti nel settore Product & Service, con l'obiettivo di supportare i Clienti nella definizione, ...
Scopri di più

FLASH REPORT

The American Privacy Rights Act of 2024: Could this framework become the data privacy panacea?

On April 8, 2024, U.S. Representative Cathy McMorris Rodgers (R-WA) and U.S. Senator Maria Cantwell (D-WA) announced the American Privacy Rights Act. This act aims to establish a comprehensive set of rules that govern the usage of citizens' data. The...

FLASH REPORT

NIST Releases Version 2.0 of Its Cybersecurity Framework (CSF): What This Means for Your Organisation

On February 26, 2024, The National Institute of Standards and Technology (NIST) released version 2.0 of its updated and widely used Cybersecurity Framework (CSF). This latest edition of the CSF is designed for all audiences, industry sectors and...

SURVEY

2024 Top Risks for Chief Audit Executives

CAEs see a riskier near- and long-term environment than do most of their colleagues in the executive suite. Of all C-level respondents to our latest Top Risks Survey, internal audit leaders ascribe the highest-magnitude ratings to risks they expect...

SURVEY

Navigating a Technology Risk-Filled Horizon

Protiviti partnered with The Institute of Internal Auditors to conduct its 11th annual Global Technology Audit Risks Survey in the second and third quarters of 2023.The objective of this survey is to explore the top technology risks organisations...

WHITEPAPER

Success With Generative AI Requires Balancing Risk With Reward

When ChatGPT launched in November 2022, it took just two months to garner a record 100 million users and capture broad market attention. Business leaders are eager to realise the enormous potential that ChatGPT as well as other generative AI models...

SURVEY

Healthcare Internal Auditors Prioritise Cybersecurity, Business Performance and Technology Modernisation

According to the latest Healthcare Internal Audit Plan Priorities Survey conducted by Protiviti and the Association of Healthcare Internal Auditors (AHIA), the top audit priorities for healthcare organizations in 2023 are encompassed in seven themes...
Loading...