Alles was unbedingt ins IT Audit rein muss!

Ein IT Audit ist vergleichbar mit dem ersten Schritt auf völlig unbekanntes Terrain: Der Weg zu verstehen, was genau in der Umgebung Ihrer Kunden vorgeht und die Bestandsaufnahme darüber, was Sie als IT Spezialist verwalten, überwachen und schützen sollen. Ohne IT Audit werden Sie blind arbeiten, ohne zu wissen, wofür Sie Verantwortung übernommen haben und stets auf das nächste Desaster warten.

 

Sie möchten ein IT Audit implementieren für den Fall wenn Sie mit neuen IT Umgebungen arbeiten sollen, sind aber unsicher was alles im Audit abgedeckt sein soll? Hier finden Sie alles Wesentliche.

 

Warum braucht es ein IT Audit?

 

Ob Sie ein MSP sind, der neue Kunden an Bord nimmt, oder Sie als IT Spezialist in eine neue Unternehmensumgebung einsteigen sollen, das IT Audit sollte sehr weit oben auf Ihrer ToDo Liste stehen.

 

Sie denken vielleicht „Der letzte Verantwortliche hat mir bereits alle wesentlichen Informationen zusammengefasst! Warum soll ich noch einmal von vorne beginnen?“. Hand auf’s Herz: Die Wahrheit ist, Sie sind in der Verantwortung sicherzustellen, dass alle Informationen korrekt und vollständig sind. Außerdem wollen Sie keine leise Stimme im Kopf, die Ihnen ständig vorwirft, Sie hätten etwas wichtiges vergessen!

 

Wenn Sie also alle Systeme und Prozesse selbst evaluieren, können Sie sicher sein, dass alle Informationen validiert wurden und Sie haben alles mit eigenen Augen gesehen. Das reduziert das Risiko, dass Sie etwas übersehen und Sie wissen sofort, wo Sie mit der Arbeit beginnen können.

 

Ein IT Audit erlaubt es Ihnen sämtliche potenziellen Risiken in Bezug auf Daten, Dateien und Applikationen zu identifizieren, damit Sie diese minimieren können. Zudem wissen Sie, was genau Sie künftig überwachen und verwalten sollen, welche Teile der Organisation noch optimiert werden können und Sie können die aktuellen Prozesse mit Compliance Regelungen und Gesetze abgleichen.

 

Klingt wichtig, oder? Aber was genau im IT Audit enthalten sein? Wenn Sie sich diese Frage stellen, helfen wir Ihnen gerne weiter! Hier haben wir eine Checkliste der Must-Have Teile, die in jedem IT Audit enthalten sein sollten. Viele davon können sogar ganz einfach automatisch mit dem Atera Auditor Report erstellt werden!

 

Allgemeines Inventar

Der allgemeine Überblick über das Inventar zeigt Ihnen detailliert, welche Endstationen Sie überwachen werden. Manche werden Workstations sein wie PCs, Macs, Laptops oder Smartphones. Andere werden nicht einmal von Usern direkt verwendet, wie Server oder Domain Controller.

 

Im Auditor Report können Sie auch die Verteilung all dieser identifizierten Stationen ansehen und können Schwellenwerte setzen, um ihren Status zu verfolgen, wie CPU, RAM und mehr. Der Bericht enthält außerdem Informationen zu sämtlichen Geräten und Workstations, wie Festplattenauslastung, die Verfügbarkeit von Ports und Patches.

 

Hier erfahren Sie mehr darüber wie man die CPU verringert.

Lesen Sie mehr, wie man die RAM Speicher leert.

 

Software Inventar

 

Sie müssen in der Lage sein, alle MS Office Versionen, Betriebssystem Versionen und Antiviren Scanner zu sehen und Sie sollten diese Übersicht erweitern auf sämtliche Software die auf jeglichen Geräten im Netzwerk installiert ist. Dazu können Sie Network Discovery verwenden.

 

Das erlaubt Ihnen, die Software zu erkennen, die die Endnutzer verwenden. Es gibt viele Gründe die dafür sprechen. Zum Beispiel können Sie Software Tools entdecken, die doppelt denselben Usecase abdecken, damit können sie die verwendeten Tools reduzieren und Lizenzen für die überzähligen Tools einsparen. Sie finden auch eventuelle Shadow IT, also Programme, die die User einfach herunter geladen haben, ohne die IT oder das Security Team zu informieren. Das ist ein weit verbreitetes Phänomen, da aber Software von Drittanbietern die Umgebung unnötigen Risiken aussetzen kann, sollten Sie Bescheid wissen, ob das auch bei Ihrem neuen Kunden ein Problem ist. Wenn ja, kann das die Möglichkeit für Schulungsmaßnahmen eröffnen.

 

Wenn Sie spezielle Software von den Geräten entfernen möchten, können Sie das mithilfe von Atera auf verschieden Arten tun. Sie können das Software Inventar im Geräte Reiter verwenden oder PowerShell oder Command Prompt verwenden um ein Script zu starten, und viele mehr. Lesen Sie Details zu den Informationen, inklusive Schritt-für-Schritt Anleitungen.

 

Sicherheitsstatus

Ein wesentlicher Teil des Audits ist Sicherheit. Moderne IT Spezialisten können Sicherheit und Compliance nicht auslagern oder erwarten, dass der Kunde das separat schon regeln wird. Heute IST Sicherheit IT. Sie müssen also wissen, welche Sicherheitsvorkehrungen im Unternehmen implementiert sind, sowohl Hardware wie Firewalls, oder Software wie Antivirus oder Anti-Ransomware Lösungen. Es gibt eine Balance zwischen zu vielen Sicherheitstools, die sich nicht ergänzen oder Lücken lassen und der Sicherstellung, dass alle Anwendungsfälle abgedeckt sind. Als absolute Basis sollten folgende Punkte abgedeckt sein:

 

  • Endpunktschutz und Response: Stellen Sie sicher, dass Sie Echtzeit Scans und Erkennung für Viren und Malware auf sämtlichen Geräten haben.
  • Ransomware Schutz: Daten müssen geschützt werden, selbst wenn ein Angriff die Daten und Programme verschlüsselt oder unbrauchbar macht.
  • Email Sicherheit: Erkennen Sie Phishing Emails und blockieren Sie diese bevor User möglicherweise einen Fehler machen, inklusive komplexer Angriffe wie Business Email Compromise
  • Backups: Stellen Sie das Fortlaufen des Geschäfts sicher für den Fall eines Systemausfalls, eines Cyberangriffes oder anderen Katastrophen, die das Unternehmen zwingen remote zu arbeiten.
  • Network-Level Verteidigung: Erkennen Sie Netzwerkangriffe wie Brute-Force, Zugangsdaten Jäger und Drive-by-Downloads wo Sie vielleicht den Angriff nicht sofort erkennen.
  • Firewalls: Kontrollieren Sie den Zugriff zwischen Netzwerk und Internet in Echtzeit, mit Benachrichtigungen bei verdächtigem Traffic und Segmentierung für kritische Assets.
  • Problemlösung: Was passiert wenn das Schlimmste eintritt? Business Continuity Pläne, Berichte, Audits und mehr.

 

Nach dem Abschluss eines umfangreichen Audits sollten Sie sich selbst fragen: Wie rasch kann sich das Unternehmen im Falle einer Bedrohung wehren und weiterarbeiten? Sie werden wahrscheinlich Lücken finden, die es zu füllen gilt um auf alles gefasst zu sein.

 

Weitere Bereiche die im Audit enthalten sein sollten

 

Je nach den Anforderungen des neuen Unternehmens, wird es andere Bereiche geben, die Sie beachten müssen und die im Audit mit dabei sein sollten. Hier haben wir einige Beispiele für mögliche weitere Bereiche.

 

Cloud

 

Beinahe alle Unternehmen verwenden Cloud, ob es sich um Infrastructure-as-a-Service, Plattform-as-a-Service oder Software-as-a-Service handelt. Im IT Audit sollten Sie auch die Cloud Services und Infrastruktur im Blick behalten und sich bewusst sein, dass das Shared Responsibility Modell bedeutet, dass öffentliche Cloud Provider nur für die Sicherheit der Cloud verantwortlich sind, während Sie für die Sicherheit innerhalb der Cloud also Daten und Programme verantwortlich sind!

 

Mobil

 

Verwenden Mitarbeiter und Endnutzer Smartphones für die Arbeit? Wenn ja, werden sich diese mit dem Netzwerk verbinden und müssen als weitere Assets zählen. Sie sind wahrscheinlich nicht in der Lage zu kontrollieren, welche Applikationen User installieren und wie sie sich im Umgang mit ihrem eigenen privaten Smartphone verhalten. Daher ist die Sicherheit des Netzwerkes umso wichtiger.

 

WFH

 

Ähnlich haben viele Unternehmen Work-From-Home Möglichkeiten für ihre Mitarbeiter geschaffen. Wenn Mitarbeiter ihre eigenen Computer verwenden, wie verwalten Sie diese? Atera hat eine smarte Work From Home Lösung von Splashtop, die es Usern erlaubt remote auf ihre Arbeitscomputer zuzugreifen mit maximaler Sicherheit und Kontrolle, die Sie auch im Büro über die Geräte haben.

 

Kommunikation

 

Wie werden Probleme im Unternehmen gemeldet? Häufig haben IT Spezialisten mit zahlreichen Kanälen zu tun, über die sie über Probleme in Kenntnis gesetzt werden, wie Email, Handy, WhatsApp oder Post-Its, die während der Mittagspause auf dem Monitor aufgeklebt werden. Welche Systeme werden Sie implementieren um sicher zu stellen, dass Sie einen guten Überblick über alle IT Herausforderungen haben und diese dann bestmöglich auf die verfügbaren IT Spezialisten zu verteilen, ohne etwas Wichtiges zu vergessen?

 

Verantwortlichkeiten

 

Das betrifft zwar nicht nur die IT, aber es geht um Zugriffsrechte und –rollen. Es geht darum sich zu fragen, welche Personen die wesentlichen Stakeholder sind, für  die Aufgaben, die in der IT Umgebung bearbeitet werden müssen. Zum Beispiel: Wer ist der Compliance Officer, eine Rolle die viele Unternehmen und Industrien vergeben müssen? Wenn Sie wissen, wer wofür verantwortlich ist, können Sie viel Zeit sparen und sicherstellen, dass niemand ein Single Point of Failure wird.

 

Alles in ein erfolgreiches IT Audit packen

 

Wenn Sie eine neue Rolle übernehmen oder einen neuen Kunden onboarden, kann es sich anfühlen, als würden Sie mitten in eine Geschichte hinein springen und Sie müssen gleich einmal erste Feuer löschen, bevor Sie einen Schritt zurück gehen und sich einen Überblick verschaffen können. Allerdings kann das rasch zu Fehlern führen, wenn Sie nicht vorher einen Überblick über Prozesse haben und vielleicht die falschen Feuer auf die falsche Weise löschen und das Unternehmen unnötigen Risiken aussetzen.

 

Automatisierte Tools wie Network Discovery und Berichte wie IT Auditor Report erleichtern Ihnen einen raschen Überblick und Kontrolle zu erhalten. Damit können Sie Ihre Kunden mit höchster Sicherheit, Überwachung und Verwaltung unterstützen.

 

Sobald das IT Audit abgeschlossen ist, sollten Sie sicherstellen, dass Sie den gesamten Stack der Technologie bereit haben um mögliche Lücken sofort zu schließen und die Leistung zu steigern. Das können großartige Sicherheitsintegrationen, Berichte zur Verlässlichkeit und Verwendung sein oder standardisierte Prozesse zur Kommunikation.

 

Atera ist die All-In-One Lösung für IT Spezialisten, mit allem von RMM und Helpdesk bis zu Remote-Zugriff, Sicherheitsintegrationen und Patch Management. Probieren Sie es doch gratis aus!

See Atera in Action

RMM Software, PSA and Remote Access that will change the way you run your MSP Business