IT Sachverständiger & Zivilingenieur
"Wie man sich bettet, so liegt man"
Wir empfehlen und überprüfen interdisziplinär Sicherungs- und Schutzmaßnahmen nach dem Stand der Technik, überwachen Vorgabenumsetzung in Betriebsführung und beugen Schwachstellen und Compliance "blind spots" vor. Dazu befassen wir uns mit IT-Anforderungen resultierend aus rechtlichen und regulatorischen Rahmenbedingungen.
Gernot Schmied ist zertifizierter Compliance Officer.
Policies, Betriebsführungsumsetzung & Belegwesen
Wir bieten unternehmensinternen unabhängigen Einrichtungen (Stabsstellen, interner Revision, Audit & Compliance) optimale Unterstützung. Profitieren Sie von unserem Wissen in den Bereichen IT-Audit, integrierten Managementsystemen, Internal Forensic Investigations und continuous Auditing mittels Data Intelligence. Wir befassen uns für Sie mit Data Analytics und e-Discovery Ansätzen für stets aktuelles und vollständiges continuous Auditing. Dies revolutioniert den mühsamen Umgang mit Stichproben, nicht-aktuelle manuelle Exporte gehören der Vergangenheit an.
Outsourcing IT-Revision & Datenschutz-Audit
Exponierte Branchen und deren Interessensvertretungen, die strengen aufsichtsbehördlichen Compliance-Anforderungen entsprechen müssen, profitieren von unserem interdisziplinären Wissen im Bereich Energy (NISG), Payment Service Provider (PSD2, RTS) und DSGVO und der hohen Akzeptanz von IT Ziviltechniker-Gutachten.
Insbesondere KMUs nehmen gerne unser kostengünstiges Outsourcing-Angebot der IT-Revision in Anspruch, oder auch das geforderte interne Audit für Managementsysteme wie ISO27001 oder ISO20000. Auf Wunsch betreuen wir auch Ihre Managementsysteme (Policies, Prozesse, Controls, Safeguards) oder übernehmen Rollen wie BCM oder CISO.
Compliance & IT Due Diligence
In den klassischen GRC-Herangehensweisen haben wir uns auf interdisziplinäre Compliance-Fragen an der Schnittstelle zwischen IT-Recht & Technik sowie den zentralen Begriff der „IT Due Diligence“ spezialisiert. Gemeint ist mit „IT Due Diligence“ neben der Unterstützung von Merger & Acquisition vielmehr die darin enthaltenen unternehmerische Sorgfalt und Umsicht, gemessen an der Branchenüblichkeit.
Wir befassen uns überwiegend mit der Betriebsführungsumsetzung von Vorgaben, rechtlichen und regulatorischen Rahmenbedingungen wie Prävention, Detektion und Reaktion (Incident Management). Dazu gehört auch die Integration fachlich-technischer Normen in das Compliance-Management. Dies kombinieren wir mit unserem „Assurance-Ansatz“ , der Ihre Kunden in deren „Komfortzone“ abholt und durch antizipative Voraussicht beindruckt.
Schwerpunktthemen
Wir verfolgen einen pragmatischen „notwendig & hinreichend“ Ansatz zur Prüfung präventiver und detektiver (Monitoring) Controls sowie reaktiver Maßnahmen (Incident Management). Wesentlich sind für uns klare Aussagen zur Betriebsführungsrealität, der Wirksamkeit, des Wirkungs- und Reifegrads, etwaiger „blind spots“ und dem Grad der Vorgabeneinhaltung und -umsetzung (GAP-Aussagen, ITIL-Abdeckung, Mandantentrennung, Messung).
- Übernahme der jährlichen IT-Revision
- Unterstützung bei internen Jahresaudits von Managementsystemen
- Unterstützung bei Sonderuntersuchungen mit IT-Bezug
- Logging & SIEM Architekturen, Auditsubsysteme und Audit Trails (record keeping, logging, Manipulationssicherheit)
- Data Governance Bemühungen: Ownership, Stewardship, Integrität, Data Masking, Security, Privacy by Design, „need to know“ Prinzip
- NISG/NISV sowie Datenschutzgutachten & -audits (DSG, DSGVO):
- Etablierung eines „data breach notification process“
- Geheimnisverrat vorbeugen – „data loss/leakage prevention“ –
Kontrolle und Prüfung von Informationsflüssen aus dem Unternehmen - Kritische Infrastruktur oder kritischer Dienst? Explizit oder implizit?
- Vergaberevision: Überprüfung von IT-Beschaffungsprojekten und Nachvollziehbarkeit in e-Procurement-Systemen
- Projektrevision: Projektschieflagen korrigieren, „lessons learned“.