IT revizija i savetovanje

Izveštavanje prema SOC 2 (System and Organization Controls) standardu pruža uverenje o tome kako vaša organizacija upravlja podacima radi zaštite interesa i privatnosti klijenata. Ovi izveštaji su zasnovani na kriterijumima poverljivih usluga (Trust Services Criteria) — bezbednost, dostupnost, integritet obrade, poverljivost i privatnost — i predstavljaju ključnu komponentu za dokazivanje snažnih internih kontrola i praksi upravljanja rizicima.

SOC 2 Type 1 izveštaj procenjuje dizajn i implementaciju kontrola vaše organizacije u određenom trenutku, pružajući zainteresovanim stranama uverenje da su odgovarajuće mere uspostavljene.

SOC 2 Type 2 izveštaj ide korak dalje, ocenjujući operativnu efikasnost tih kontrola tokom definisanog perioda. Ovo nudi dublji nivo sigurnosti da vaši sistemi dosledno rade onako kako je predviđeno i da održavaju usklađenost tokom vremena.

Naši stručnjaci pomažu organizacijama kroz svaku fazu SOC 2 procesa — od procene spremnosti i analize nedostataka (gap analysis), do podrške tokom revizije i pripreme izveštaja — osiguravajući da su vaše kontrole usklađene sa zahtevima standarda i da efikasno grade poverenje klijenata.

Revizija PSD2 (Payment Services Directive 2) pruža nezavisnu procenu usklađenosti vaše organizacije sa zahtevima koje postavljaju Evropski bankarski autoritet (EBA) i lokalni regulatorni organi. Revizija se fokusira na ocenu efikasnosti upravljanja, bezbednosti i operativnih kontrola implementiranih radi zaštite korisnika platnih usluga i integriteta finansijskih transakcija.

Naš pregled obuhvata ključne oblasti kao što su pouzdana autentifikacija klijenta (SCA), standardi bezbedne komunikacije (API i zaštita podataka), upravljanje incidentima, procesi procene rizika i operativna otpornost. Cilj je da se potvrdi da sistemi i procedure vaše institucije ispunjavaju regulatorni okvir PSD2 i najbolje prakse u industriji.

Kroz naše usluge PSD2 revizije, pomažemo platnim institucijama, institucijama elektronskog novca i bankama da identifikuju nedostatke u usklađenosti, ublaže rizike i ojačaju svoje kontrolno okruženje. Naši nalazi i preporuke pružaju dragocene uvide za unapređenje bezbednosti, obezbeđivanje regulatorne usklađenosti i održavanje poverenja u usluge digitalnog plaćanja.

DORA (Digital Operational Resilience Act) revizija pruža sveobuhvatnu procenu okvira operativne otpornosti organizacije u skladu sa regulatornim zahtevima Evropske unije za finansijske subjekte. Revizija ocenjuje efikasnost vašeg upravljanja digitalnim operativnim rizicima, uključujući sisteme informaciono-komunikacionih tehnologija (IKT), mere sajber bezbednosti i sposobnosti reagovanja na incidente.

Ključne oblasti fokusa uključuju upravljanje IKT rizicima, sajber otpornost, planiranje kontinuiteta poslovanja, upravljanje IKT pružaocima usluga treće strane, kao i izveštavanje i praćenje incidenata povezanih sa IKT. Revizija identifikuje nedostatke, slabosti i prilike za jačanje operativne otpornosti, osiguravajući da vaša organizacija može da spreči, odgovori na IKT poremećaje i oporavi se od njih.

Naše usluge DORA revizije pružaju primenljive uvide i preporuke koje pomažu finansijskim institucijama, pružaocima platnih usluga i drugim regulisanim subjektima da postignu usklađenost, unaprede bezbednost i održe poverenje klijenata i regulatora.

SWIFT-ov Program bezbednosti korisnika (CSP) pomaže finansijskim institucijama da osiguraju da su njihove odbrane od sajber napada ažurne i efikasne, kako bi se zaštitio integritet šire finansijske mreže. Od 2021. godine, nezavisna procena postala je godišnja obavezna stavka za sve korisnike SWIFT-a.

U Crowe-u razumemo važnost i složenost sajber pretnji i bezbednosti informacija u finansijskom sektoru. Nudimo niz usluga koje mogu pomoći u implementaciji SWIFT CSCF okvira. One se kreću od integracije CSCF kontrola u vaše postojeće procese rizika, upravljanja i IT-a, preko sprovođenja analiza nedostataka (gap assessments), pa sve do tehničke transformacije ključnih sistema, bezbednosti i mrežnih kontrola.

Snažne prakse privatnosti i bezbednosti ključne su u današnjoj ekonomiji zasnovanoj na informacijama. Takve prakse su propisane zakonom. Supplier Security and Privacy Assurance (SSPA) je korporativni program kompanije Microsoft putem kojeg ona svojim dobavljačima dostavlja uputstva za bezbednu obradu podataka u obliku „Microsoft zahteva za zaštitu podataka dobavljača“ (DPR).

Crowe Srbija poseduje kvalifikacije propisane Microsoft SSPA vodičem koje se odnose na zahtevanu stručnost i adekvatnu tehničku obučenost i poznavanje materije za adekvatnu procenu usklađenosti. Pružamo usluge nezavisnog procenitelja i možemo vam pomoći da ispunite godišnje zahteve SSPA programa.

• Sprovođenje nezavisne procene u odnosu na DPR;
• Izdavanje SOC 2 (Type 1 i Type 2) izveštaja;
• Izdavanje pisma rukovodstvu (Management Letter) sa detektovanim neslaganjima i savetima za njihovo rešavanje.

Pružanje usluga IT revizije uz proveru regulatorne usklađenosti u vezi sa izveštavanjem prema Zakonu o informacionoj bezbednosti, GDPR gap analizama i pripadajućim izveštavanjem

Odeljenje IT revizije radi na identifikovanju i otklanjanju nedostataka u organizaciji, funkcionisanju i upravljanju informacionim sistemima, kao i na optimizaciji resursa. Naš pristup proveri implementacije osmišljen je tako da unapredi bezbednost, funkcionalnost i efikasnost.

Pomažemo kompanijama u ostvarivanju njihovih ciljeva fokusirajući se na IT procese, ljude, tehnologiju, izveštavanje, organizaciju, podatke i dokumentaciju.

Naše usluge uključuju, ali nisu ograničene na:

• Internu i eksternu reviziju informacionih sistema
• IT Due Diligence
• Upravljanje IT rizicima
• Procenu ranjivosti informacionog sistema
• Pomoć u usklađivanju sa IT regulativom
• Upravljanje softverskom imovinom (SAM) i pregled licenci
• Smanjenje IT troškova, budući da oni čine značajan deo ukupnih troškova organizacije
• Testiranje procedura oporavka od katastrofe (Disaster Recovery)

Nudimo ekspertske usluge koje će vam pomoći da prevaziđete sve izazove i olakšati ispunjenje celokupnog plana revizije tako što ćemo mi preuzeti deo koji se odnosi na IT reviziju:

• Priprema godišnjeg plana IT revizije
• Sprovođenje pojedinačnih IT revizija
• Pisanje izveštaja o IT reviziji
• Praćenje postupanja po nalazima IT revizije (Follow-up)

Usluge koje pružamo u oblasti revizije IT projekata i sistema informacionih tehnologija pomažu klijentima da ostvare punu vrednost svojih strateških tehnoloških inicijativa i povećaju zadovoljstvo uspostavljenim IT rešenjima kroz efikasno upravljanje rizicima.

Usluge i proizvodi iz oblasti sajber bezbednosti

• Revizija sajber bezbednosti
• FFIEC procena sajber bezbednosti
• Penetrativno testiranje (Penetration testing)
• Implementacija ISMS metodologije
• Implementacija tehničkih rešenja za sajber bezbednost

Regulatorna usklađenost

• Izrada izveštaja o usklađenosti sa Zakonom o informacionoj bezbednosti
• Procena kontinuiteta poslovanja i implementacija procesa
• GDPR gap analiza i revizija usklađenosti
• SSPA procena za Microsoft dobavljače

Implementacija i pregled procesa kontinuiteta poslovanja i oporavka od katastrofe:

• Procene uticaja na poslovanje (BIA) i savetodavne usluge fokusirane na evaluaciju ključnih poslovnih procesa.
• Procena procesa upravljanja sa ciljem identifikacije potencijalnih pretnji po kompaniju, minimiziranja njihovog uticaja na poslovne operacije i uspostavljanja okvira za izgradnju organizacione otpornosti uz sposobnost efikasnog operativnog oporavka.
• Takođe se vrši i procena adekvatnosti strategija rezervnih kopija (backup), aktivnosti oporavka od katastrofe (disaster recovery) i pripadajućih testiranja.

Sveobuhvatna procena IT sektora organizacije i njegovih organizacionih delova. Analiza kvaliteta dizajna i implementacije ključnih IT procesa, kao i njihovog praćenja od strane IT menadžera. Procena obuhvata ključne oblasti upravljanja:

• Planiranje i budžetiranje aktivnosti sektora.
• Nabavka IT resursa i imovine.
• Upravljanje zaposlenima.
• Kvalitet izveštavanja rukovodstvu institucije.
• Savetodavne usluge u uspostavljanju svih nedostajućih procesa.

• Implementacija i evaluacija procesa upravljanja incidentima, uključujući oporavak usluga / funkcionalnosti nakon zastoja, minimiziranje njihovog uticaja na glavno poslovanje i osmišljavanje preventivnih mera.
• Savetodavne usluge koje pokrivaju otkrivanje i rešavanje problema na osnovu procene incidenata.

• Implementacija metodologije zasnovane na ISMS 27001 standardu i izrada politika.
• Ispitivanje adekvatnosti (prilagođeno specifičnim potrebama kompanije) i kvaliteta sistema upravljanja bezbednošću informacija u svim njegovim oblicima (fizička, tehnička i organizaciona bezbednost).
• Savetovanje i verifikacija procesnog pristupa bezbednosti informacija.
• Implementacija i pregled procesa procene rizika bezbednosti informacija.

Sveobuhvatna procena načina na koji se IT projekti pokreću, planiraju, izvršavaju, prate i zatvaraju, sa fokusom na osiguravanje usklađenosti sa poslovnim ciljevima i najboljim praksama u industriji. Usluga uključuje procenu ukupnog kvaliteta upravljanja portfoliom i detaljan pregled procesa implementacije IT projekata, upravljačkih struktura i rezultata učinka.

Pored toga, podrška se pruža kroz usluge upravljanja IT projektima i implementaciju standardizovanih procesa dizajniranih da unaprede efikasnost, transparentnost i stopu uspešnosti projekata u celoj organizaciji.

• Savetodavne usluge u oblasti upravljanja IT rizicima obuhvataju procenu IT rizika i proces samoprocene.
• Uvid u to kako se rizici povezani sa IT-jem identifikuju, procenjuju, vrednuju i tretiraju periodično, operativno i tokom izvršenja IT projekata.
• Saveti o tome kako se vrši popunjavanje i održavanje baze podataka o rizičnim događajima (Risk Event Database).