

במסגרת ביקורת מערכות מידע מבצע המשרד ביקורות מגוונות בתחומי בחינת תשתיות (מערכות הפעלה, בסיסי נתונים ותקשורת), בחינת חשיפות סייבר ובכלל זה מבדקי חדירה - PT, ביקורת אבטחת יישומים בדגש על יישומי העברת כספים ומערכותפיננסיות (SWIFT, מס"ב, RTGS ועוד), התאוששות טכנית מאגון - DRP, ביקורת אבטחת מערכי התקשורת והקשוריות מרחוק, דיוק ושלמות הנתונים, בדיקות הסבות, בחינת הרשאות והפרדת תפקידים, ביקורת ניהול מערכות EOL/EOS, בחינת אופן מימוש אמצעי/כלי אבטחה חוצי ארגון, בחינת מערכות רובוטיות - RPA, מידת אפקטיביות ויעילות התהליכים בסביבת המערכות ובחינת תהליכי פיתוח ותחזוקת המערכות מול דרישות המשתמש ורבות נוספות.
הרשאות והפרדת תפקידים
שירותים אלו כוללים ביקורת טכנולוגית של מערך יישום ההרשאות והפרדת התפקידים במערכות המידע, בהתאם לצרכי הארגון ובהתאם לכללי הפרדת תפקידים. בין המערכות בהם אנו מתמחים: בסיס נתונים, יישומים פיננסיים שונים, Active Directory, Oracle SAP, Priority ורבים נוספים.
המנהלות את כל פעילות הארגון קיימת חשיבות רבה להליך מתן ERP במערכות
הרשאות תקין, מבוקר ובהתאם לכללי הפרדת תפקידים על מנת שגורמים בלתי מורשים לא ייחשפו ליכולת לבצע פעולות בלתי מורשות
הוראת בנק ישראל,SOX, בנוסף, כיום הרגולציה השונה (ממשל תאגידי
.ותקני ביקורת פנימית
ארגון המעוניין להקטין את רמת החשיפה למעילות והונאות, טעויות וזליגת מידע רגיש לגורמים אשר אינם אמורים להיחשף למידע זה, חייב ליישם מערך הרשאות
.מבוקר ובעל הפרדת תפקידים תקינה
ביקורת בסיסי נתונים
צוות העובדים שלנו כולל אנשי תשתיות, DBA בעלי מומחיות בבסיסי נתונים לרבות SQL, ORACLE, DB2, CACHE ועוד.
במסגרת הביקורות נבחנות חשיפות אבטחה, ניהול משתמשים, קשרים בין בסיסי נתונים, משתמשי התקנה ועוד. הביקורת מבוצעת על בסיס Best Practice והניסיון הרב שנצבר בחברה. במסגרת הביקורות יועצי החברה אף משתמשים בכלים ייעודיים לתחום בסיסי הנתונים המאפשרים סקירה רחבה ולא רק דגימות.
בדיקת בקרות מערכות מידע בתהליכים עסקיים
-
בחינת התאמת מערכות המידע והבקרות בהם לתהליכים העסקיים לרבות
-
בחינת בקרות קלט ופלט
-
בחינת דוחות בקרה
-
בקרת גישה - בחינת תהליך ההזדהות למערכות
-
בחינה כללית של ניהול מערך ההרשאות - בחינת מערך ההרשאות ואמצעי אבטחת המידע הננקטים
-
שמירה נתונים וגיבויים
-
תחזוקה שוטפת של המערכות הממוחשבות
-
בחינת התאמת המערכת לתהליך העסקי והשוואה אל מול תוכנות קיימות בשוק המתמחות בתהליך העסקי
ביקורת ניהול מערכות EOL/EOS
מערכות במצב של "סיום חיים" EOL - End of Life
הינן מערכות שהיצרן אינו תומך בהן עוד, אינו מספק עדכונים ואינו מתקן תקלות. שימוש במערכות אלה בסביבה ייצורית מציב סיכונים תפעוליים ואבטחתיים.
סיכונים נוספים העלולים להתעורר מהשימוש במערכות אלו כוללים ביצועים ופונקציונליות מוגבלים, אי תאימות חומרה ותוכנה לרכיבים חדשים יותר הקיימים בארגון ואיבוד גישה לערוצי תמיכה של הספקים המספקים סיוע טכני..
יש לתת את הדעת כי תיתכן גם חשיפה לסיכון רגולטורי עקב אי עמידה ברגולציה ובתקנים בתעשייה לאור השימוש במערכות אלו, כמו גם עלויות תפעול מוגדלות לצורך תחזוקה ותמיכה במערכות.
ככלל יש לבסס גישה פרואקטיבית לניהול נכסי ה- IT, לעדכון ולשדרוג המערכות ולפתוח אסטרטגיות תפעול וסייבר העונות על האתגרים.
תכולת פעילות מערכות אלו:
-
הערכת סיכונים ובחינת ההשפעה הפוטנציאלית של תפעול מערכות EOL/EOS על האבטחה, התאימות ומצב הסיכון הכולל של הארגון.
-
בחינת מדיניות ויישום ניהול מחזור חיי IT, כולל החלפה של מערכות EOL/EOS.
-
מיפוי המערכות, היישומים והמכשירים שהגיעו או קרובים להגיע ל-EOL או EOS.
-
הערכת יעילות בקרות אבטחת הסייבר הקיימות בהפחתת הסיכונים במערכות EOL/EOS.
-
ווידוא עמידה בתקנות ורגולציה רלוונטיים והערכת ההשפעה על הגנת הנתונים והפרטיות.
-
הערכת המוכנות של הארגון בהיבטי המשכיות עסקית ותוכניות התאוששות מאסון.
-
הערכת יכולת הפעולות ההדדיות של מערכות EOL/EOS עם רכיבי תשתית IT אחרים.
-
שילוב המלצות הכוללות עדכוני אבטחה זמינים באמצעים חלופיים (תמיכת צד שלישי או פתרונות מותאמים אישית).
(RPA) ביקורת למערכות אוטומציה / רובוטים
בעידן שבו מערכות אוטומציה רובוטיות (RPA) הופכות לחלק בלתי נפרד מתהליכי העבודה בארגונים, קיים צורך בביצוע ביקורת מערכות מידע על מנת להבטיח שהן פועלות באופן מיטבי, מאובטח, יעיל וכלכלי לארגון.
הטמעת מערכות אוטומציה רובוטיות (RPA) בארגונים מייצרת מהפכה בניהול תהליכים, בזכות יכולתן להאיץ משימות שגרתיות, לצמצם טעויות אנוש ולשפר את הפרודוקטיביות. עם זאת, הפעלת מערכות אלה דורשת תשומת לב מיוחדת להיבטים כמו אבטחת מידע, עמידה ברגולציות, התאמה מתמדת לצרכים המשתנים של הארגון ווידוא כי הרובוט מייצר ערך מוסף אמתי. בהעדר בקרה נכונה, עלולות להיווצר חשיפות שעלולות לפגוע בתפעול השוטף ואף במוניטין של הארגון.
הביקורת שלנו למערכות אוטומציה רובוטיות (RPA) בוחנת לעומק מגוון היבטים הקשורים למערכת, החל בתהליכי העבודה האוטומטיים ועד לאבטחת המידע וניהול הרשאות. השירות מזהה פערים ובכלל זה פערים בשלבי ההטמעה, המימוש והשימוש כולל וידוא כי המערכת מתאימה לצרכים הייחודיים ותואמת את התוכנית המקורית, תוך הצעת פתרונות לשיפור וסגירת פערים. הניסיון הרחב שלנו, מספק מענה מותאם המבטיח שהאוטומציה לא רק תייעל את תהליכי הארגון, אלא גם תספק לו יציבות, בטיחות ותמיכה ביעדיו האסטרטגיים.
ביקורת זו תסקור את הנושאים הבאים:
-
בדיקת תהליך האפיון והיישום של ה – RPA
-
האם בוצעהבחירת תהליכים המתאימים לאוטומציה (לא כל התליך מתאים)
-
זיהוי פערים בין תכנון לביצוע בפועל ובכל זה ביצועים ויעילות הרובוטים ומדידת זמני ביצוע ותפוקות של הרובוטים
-
הערכת השפעת המערכת על יעילות התפעול והפחתת עלויות
-
בחינת התאמת המערכת למדדי ביצוע עיקריים (KPIs)
-
אבטחת מידע ורגולציה
-
בדיקת מנגנוני אבטחת מידע למניעת דליפות נתונים
-
בחינת רמות ההרשאה שהורצו לרובוטים
-
בחינת תאימות המערכת להוראות רגולציה בנקאית
-
בדיקת היכולת לעקוב ולתעד פעולות אוטומטיות לצורכי ביקורת
-
שביעות רצון משתמשים ואיסוף פידבק מצוותים שעובדים עם המערכת
-
ניתוח האינטגרציה בין הבוטים למערכות קיימות
-
נאותות תהליכי פיתוח הרובוט לרבות קיום אפיונים, סביבות עבודה נמוכות, תהליכי בדיקות מסירה ובדיקות קבלה. בנוסף ייבדקו תהליכי פיתוח מאובטח
-
מיפוי ובחינת הבקרות והמנועים שיושמו ברובוטים (דגימה) לרבות בקרות ידניות המבוצעות
הסבות נתונים
ליווי פרוייקטי הסבה לרבות בדיקת נאותות תהליכי ההסבה ושלמות מעבר הנתונים.