IT Audit

Iedere organisatie (groot of klein) dient de IT risico’s voldoende te begrijpen en te beheersen. Deze risico’s kunnen betrekking hebben op informatieveiligheid, data privacy, maar evengoed op IT Governance, risk management of projectbeheer. Indien de IT risico’s niet voldoende worden beheerst, kunnen zij een negatieve impact hebben de winstgevendheid en reputatie van jouw organisatie. 

Ons IT audit team kan redelijke zekerheid verschaffen over de efficiëntie, effectiviteit en veiligheid van de informatiesystemen. Wij kunnen jouw IT afdeling of Interne Audit functie ondersteunen door middel van het volledig uitvoeren van auditopdrachten of door middel van ‘insourcing’ van specifieke profielen met de nodige expertise.

Hoe kunnen wij helpen?

Ons audit team beschikt over de nodige expertise en ervaring om onder meer volgende auditdomeinen te evalueren:

  • Cybersecurity 
  • Informatieveiligheid
  • Compliance (GDPR, NIS…) 
  • IT Governance 
  • IT Risk Management
  • Portfolio and Project Management
  • IT Service Management  
  • ERP & Financiële systemen
  • Cloud Security 
  • Robotic Process Automation 
  • Business Continuity Management & Disaster Recovery Planning

Al onze IT Auditors zijn ‘Certified Information Systems Auditors’ (CISA) en hebben een COBIT5 certificatie. 

back to top

IT Governance

Technologische innovatie, cyberaanvallen en datalekken, organisaties worden voortdurend geconfronteerd met snelwijzigende uitdagingen. Terzelfdertijd, worden organisaties geconfronteerd met toenemende eisen en verwachtingen van klanten, de wetgever en andere stakeholders. 

Om deze diversiteit aan risico’s te beheersen en IT waardecreatie voor de organisatie voldoende te kunnen garanderen, is IT Governance van cruciaal belang. 

IT Governance of deugdelijk IT-bestuur gaat over het toepassen van een raamwerk van structuren, processen en relationele mechanismen om uiteindelijk tot een betere alignering te komen tussen IT en de organisatie. 

Hoe kunnen wij helpen?

Onze IT Governance audits en evaluaties zijn gebaseerd op het raamwerk COBIT en bieden de nodige inzichten en aanbevelingen met betrekking tot onder meer:

  • De alignering van de IT strategie met de strategie en doelstellingen van de organisatie
  • De waardecreatie door IT naar de organisatie toe
  • Optimalisatie van IT resources
  • Project en portfolio management
  • IT Risk Management
  • IT prestatiemeting en opvolging

Al onze IT Auditors zijn ‘Certified Information Systems Auditors’ (CISA) en hebben een COBIT5 certificatie. 

back to top

Databeveiliging & privacy

Digitalisering van onze bedrijfsprocessen leidt tot een sterke toename van beschikbare data. Terzelfdertijd worden organisaties geconfronteerd met datalekken en cyberaanvallen alsook met toenemende eisen en verwachtingen van de wetgever (GDPR). Indien onvoldoende beheerst, kunnen deze risico’s een negatieve impact hebben op de winstgevendheid en reputatie van de organisatie. 

GDPR (ook Algemene Verordening Gegevensbescherming) brengt nieuwe en strengere voorschriften met betrekking tot dataverwerking met zich mee. GDPR, in voege sinds mei 2018, gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. 

Organisaties dienen dan ook de nodige acties en maatregelen te nemen inzake:

  • Het uitvoeren van een privacyscan
  • Bewustmaking en sensibilisering
  • Cybersecurity
  • Procedures voor dataverzameling en –opslag van persoonlijke gegevens
  • Contractbeheer
  • Monitoring

Afhankelijk van de situatie dient uw organisatie mogelijk ook een Data Protection Officer (DPO) aan te stellen”. Voor meer informatie over onze DPO-As-a-Service verwijzen wij u graag naar onderstaande brochure.

Hoe kunnen wij helpen?

Wij bieden volgende diensten aan:

  • DPO-As-A-Service
  • GDPR conformiteitsaudits
  • Ondersteuning bij de implementatie van GDPR maatregelen
  • Informatieveiligheidsaudits

back to top

SOC Rapportering – ISAE3402/ISAE3000

Third Party Assurance Rapportering

Organisaties besteden vaak één of meer van hun bedrijfsprocessen uit aan een derde partij die voorziet in gespecialiseerde dienstverlening. Op deze manier worden er ook confidentiële en/of persoonlijke informatie gedeeld tussen de organisatie en de dienstleverancier. Dit kan gaan over financiële transacties, medische gegevens, klanteninformatie enzovoort. 

Terzelfdertijd worden organisaties geconfronteerd met toenemende risico’s op datalekken, cyberaanvallen en toenemende privacy wetgeving. Klanten, auditors, toezichthouders en andere stakeholders van de organisatie zijn dan ook vragende partij om voldoende zekerheid te verkrijgen over de nodige controlemaatregelen die worden genomen door de dienstverlener zodat de confidentialiteit, integriteit en beschikbaarheid van de data en systemen met redelijke zekerheid gegarandeerd worden. 

De dienstverlener of derde partij kan echter op een efficiënte manier het nodig comfort geven aan haar klanten en hun stakeholders. Door middel van één System & Organisation Controls (SOC) Rapport (e.g. ISAE3402, ISAE3000) kunnen alle relevante stakeholders geïnformeerd worden over de aanwezige controlemaatregelen. 

Meer informatie vindt u via onderstaande link  

Hoe kunnen wij helpen?

  • ISAE 3402 (SOC1) attestatie met een focus op financiële rapporteringsrisico’s en controles 
  • ISAE 3000 (SOC2) attestatie met een focus op risico’s gerelateerd aan; veiligheid, beschikbaarheid, confidentialiteit, integriteit en data privacy. 
  • Kwaliteitsvolle rapportering aan een correcte prijs

back to top

ISO 27001

Opzetten van een informatieveiligheidssysteem

Geen enkele organisatie is immuun voor cyberaanvallen of datalekken. Het is echter een cruciale taak om de vertrouwelijkheid, beschikbaarheid en juistheid van informatie voldoende te verzekeren om onze doelstellingen als organisatie te kunnen behalen. 

Het opzetten van een informatieveiligheidssysteem (Information Security Management System – ISMS) zorgt voor een systematische en risico gebaseerde aanpak waarbij rekening wordt gehouden met de rollen en verantwoordelijkheden binnen de organisatie, de processen alsook de ondersteunende IT systemen om uw informatie te beveiligen. Dergelijke aanpak komt tegemoet aan de informatieveiligheidsrisico’s en is bovendien een haalbare kaart voor elke organisatie, groot én klein. 

Wat is ISO 27001?

ISO27001 is de internationale standaard met betrekking tot informatiebeveiliging. De norm beschrijft de vereisten inzake beleidslijnen, procedures, processen en systemen die aanwezig dienen te zijn om de informatieveiligheidsrisico’s voldoende te kunnen beheersen als organisatie.

Waarom ISO 27001?

  • U kan als organisatie de keuze maken om het ISO27001 certificaat te behalen. Op deze manier geeft u aan uw klanten (en andere relevante stakeholders) het nodige comfort rond de beveiliging van hun data 
  • U biedt niet alleen het nodige comfort aan bestaande klanten, maar ook potentiële klanten worden geïnformeerd over de aandacht en de zorg die uw organisatie besteedt aan de beveiliging van gevoelige informatie. Kortom, een manier om u te onderscheiden van uw concurrent
  • Een informatieveiligheidssysteem op basis van ISO27001 zorgt er eveneens voor dat u conform bent met de relevante wetgeving (e.g. GDPR). 
  • Bij de implementatie van ISO27001 worden rollen & verantwoordelijkheden en procedures op een duidelijke manier vastgelegd en gestroomlijnd waardoor uw organisatie aan efficiëntie wint
  • Continuïteitsrisico’s binnen uw organisatie worden tot een minimum beperkt 

Hoe kunnen wij helpen?

Met onze expertise in informatieveiligheid en Risk Management helpen wij u met:

  • Het opzetten van een informatieveiligheidssysteem in uw organisatie
  • Het voorbereiden en begeleiden van uw organisatie om het ISO27001 certificaat te behalen
  • Het evalueren van uw informatieveiligheidssysteem en concrete aanbevelingen formuleren om de maturiteit te verhogen

Onze aanpak hierbij is typisch pragmatisch en wij bieden u de nodige begeleiding op een effectieve en kostenefficiënte manier. 

Meer informatie vindt u via onderstaande link

back to top

Process Mining

Verbeter de efficiëntie en effectiviteit van uw organisatieprocessen

Uw gedigitaliseerde organisatieprocessen lopen niet altijd zoals gepland of verwacht. Dit kan er bijvoorbeeld voor zorgen dat de doorlooptijd van uw proces oploopt (efficiëntie) of dat de nodige controles niet worden uitgevoerd of omzeild worden (effectiviteit). 

De complexiteit en digitalisering van organisatieprocessen zorgen er dan weer voor dat het vaak moeilijk is om deze volledig te bevatten en te beheersen om zo de vinger aan de pols te houden. 

Om uw processen te verbeteren, is het dan ook in eerste instantie noodzakelijk om deze te begrijpen en een volledig inzicht te verkrijgen in het echte verloop van uw proces. 

De digitalisering van organisatieprocessen zorgt echter ook voor een toenemende hoeveelheid data die wordt gecapteerd door de IT systemen. Deze data staat ter beschikking van uw organisatie en biedt nieuwe opportuniteiten! 

Process mining laat toe om de beschikbare data te analyseren en levert nieuwe inzichten op over de efficiëntie en effectiviteit van uw organisatieprocessen. Op deze manier kunnen processen beter beheerd en continu verbeterd worden. 

Vraagt u zich wel eens af:

  • hoe uw processen (e.g. aankoop, verkoop) in realiteit verlopen? 
  • of het reële verloop van uw proces in lijn is met de verwachtingen of hoe het proces was uitgetekend? 
  • hoe bepaalde processen verder geoptimaliseerd kunnen worden? 
  • waar de knelpunten en inefficiënties zitten tijdens het proces?

Wat is process mining?

Process mining is een ‘datamining’ techniek die toelaat de realiteit van uw organisatieprocessen te analyseren en visualiseren en te vergelijken met de theorie (“hoe zou het proces moeten lopen”).  Tijdens process mining worden specifieke algoritmes toegepast op de geregistreerde transacties in uw IT systemen (‘event logs’). Deze ‘event logs’ bevatten data die tot waardevolle en feiten gebaseerde inzichten kunnen leiden.  Process mining kan in principe worden toegepast op elk gedigitaliseerd proces (aankoop, verkoop, incidentenbeheer enzovoort). 

Hoe kunnen wij helpen?

Vertrekkende vanuit uw vraag, probleem en context, wordt in eerste instantie de relevante data geïdentificeerd en geëxtraheerd uit de IT systemen. Deze data dienen vervolgens te worden opgekuist en omgevormd alvorens op te laden in de process mining tool. De tool zal de procesdata automatisch analyseren en laat ons toe om snel een zicht te krijgen op het werkelijk verloop van uw proces, de afwijkingen met het verwacht of gewenst proces en mogelijke knelpunten en inefficiënties die zich voordoen. 

Meer informatie vindt u via onderstaande link

back to top

Cybersecurity Assessment

Technologische innovatie en digitalisering hebben een onmiskenbare impact op zowel ons dagelijks leven als de manier waarop onze bedrijfsprocessen worden ingericht. Op hetzelfde moment zijn we getuige van toenemende cybercriminaliteit (phishing, ransomware, social engineering enz.) die een bedreiging vormt voor de rentabiliteit en reputatie van uw organisatie. Bovendien worden organisaties geconfronteerd met toenemende eisen van de wetgever en andere stakeholders.

Voor veel organisaties, groot en klein, is het een uitdaging om deze cyberrisico’s voldoende te beheersen en te voorzien in de nodige controlemaatregelen, op maat van uw organisatie.

  • Hoe matuur is de cybersecurity van uw organisatie? 
  • Wat zijn de hoogste en niet accepteerbare veiligheidsrisico’s van uw organisatie?
  • Bent u compliant met GDPR?
  • Welke investeringen in cybersecurity zijn voor uw organisatie prioritair en waarom? 
Cybersecurity Assessment (CSA) 

Cyberbedreigingen kunnen we identificeren binnen 3 grote domeinen: technologie, mensen en processen. Het heeft dan ook enkel zin om cybersecurity te benaderen op een gelaagde manier, rekening houdend met deze 3 domeinen.  Op basis van internationaal erkende raamwerken (NIST, ISO27001, CIS) hebben wij een methodologie ontwikkeld die ons toelaat uw cyberomgeving te evalueren. Bovendien werden hierin ook de wettelijke GDPR (AVG) vereisten geïntegreerd.

Hoe kunnen wij helpen? 

Onze tools laten toe om de technologische controles binnen uw organisatie te evalueren. Zo kunnen wij u helpen met:

  • Network vulnerability assessments: evalueren en analyseren van uw computer netwerk om mogelijke kwetsbaarheden te identificeren.
  • Web application vulnerability assessments: identificeren van mogelijke kwetsbaarheden in webapplicaties
  • Penetration testing: simuleren van een cyberattack om de veiligheid te evalueren
  • Access Management: evaluatie van de logische toegangscontrole tot IT systemen

Wij ondersteunen jullie mensen door middel van:

  • Het bepalen en opzetten van een strategie om werknemers op te leiden en voldoende gewaarwording te creëren
  • Het geven van cybersecurity trainingen om de gewaarwording bij werknemers te verbeteren. 

Tot slot bieden wij ondersteuning met de processen door:

  • Beleidslijnen en procedures te evalueren, verbeteren en implementeren
  • Begeleiding bij de opzet van de governance of van een controle raamwerk binnen uw organisatie

Meer informatie vindt u via onderstaande link

back to top