Outsourcing schreit förmlich nach qualifizierten IT-Prüfern (CISAs)!

Outsourcing schreit förmlich nach qualifizierten IT-Prüfern (CISAs)!

Artikel erschienen in IT Magazine 2020/12
Neben den finanzrelevanten gibt es noch zahlreiche weitere Gründe, einen Provider zu überprüfen: So verlangen z.B. die regulatorischen Anforderungen der FINMA an Banken oder Versicherungen, dass diese die Einhaltung bestimmter FINMA-Vorgaben beim Provider überprüfen (FINMA-RS 18/3 Outsourcing). Ähnliche Überprüfungs-Anforderungen gibt es auch im Bereich Datenschutz, so z.B. für kundenidentifizierende Informationen (FINMA RS 2008/21 Anhang 3 zu CID) oder PCI DSS. Zwar gibt es für einige dieser Themen eigene Zertifizierungs-Schematas, aber eigentlich ist der ISAE3000-Prüfungsstandard die geeignete Grundlage für fast alle zu bestätigenden Themen, Kriterien oder Kontrollen. Auch an solchen Bestätigungen sollten Geschäftsleitung wie Verwaltungsrat der auslagernden Unternehmen sehr interessiert sein.

Die Abbildung 1 zeigt das in der Übersicht: Bei ausreichend sorgfältiger Geschäftsführung wäre es für die Geschäftsleitung eigentlich selbstverständlich, die Dienstleister enger zu überwachen. Ob für Business Process Outsourcing (BPO), Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) – in allen diesen Fällen bieten die internationalen Prüfungsstandards ISAE­3402 und ISAE­3000 hervorragende Dienste. Einen Vergleich dieser Standards mit ISO27001 und PCI DSS finden Sie in der separaten Tabelle.

Was hat jetzt das alles mit dem reisserischen Titel dieses Artikels zu tun? Nun – ein wirklich grosser Teil der ausgelagerten Dienstleistungen basiert auf Informationstechnologie. Es ist daher unum­gänglich, dass die entsprechenden Prüfungen von entsprechend qualifizierten IT-Prüfern durchgeführt werden – «Vollblut-Informatikern» mit Prüfungswissen oder guten Prüfern mit einem stark ausgeprägten Wissen (und Erfahrung) im IT-Umfeld. Aber entsprechend qualifizierte IT-Prüfer sind rar und die Berufsaussichten dementsprechend ausgezeichnet.
Abb 1. Unterschiedliche Service-­Modelle und die korrekten Attestierungen (Quelle: ISACA)
Prüfungsstandards ISAE­3402 und ISAE­3000 im Vergleich mit den Standards mit ISO27001 und PCI DSS. (Quelle: ISACA)

Das – übrigens einzige internationale – Berufszertifikat für IT-Prüfer ist der CISA, was für Certified Information Systems Auditor steht. Dieses Zertifikat besteht bereits seit 1977. Und seit 1992 bieten wir mit unserem CISA-Vertiefungskurs in der Schweiz eine eigentliche berufsbegleitende Aus- und Weiterbildung im Gebiet IT-Prüfung mit CISA-­Zertifikatsabschluss an – meines Wissens nach wie vor einzigartig in der ganzen Welt.

Das letztmals 2019 aktualisierte CISA-­Berufsbild ist top-aktuell und umfasst Themen wie Governance und Führung der IT; Beschaffung, Entwicklung und Implementation von Informationssystemen; Betrieb, Wartung und Dienstleistungsmanagement für Informationssystemen; Schutz von Informationswerten sowie natürlich die korrekte Prüfung all dieser Bereiche. Alleine das Kapitel «Schutz von Informationswerten» umfasst insgesamt 18 Teilaspekte wie z.B. Datenschutz-Prinzipien, Identitäts- und Zugriffs-Management, Daten-Verschlüsselung und ­verschlüsselungsbezogene Techniken inkl. PKI, virtualisierte Umgebungen oder Internet-of-Things (IoT).
Ich kenne kein anderes Berufsbild, das dermassen konsequent und in so kurzen Abständen angepasst wird, worauf wir wirklich stolz sein dürfen. Diese Anpassungen zwingen uns als Kursanbieter auch dazu, unsere umfangreichen Kursunterlagen immer wieder zu überprüfen und entsprechend nachzuführen – bei grösseren Änderungen im Berufsbild ist dies oft auch mit riesigen Aufwänden verbunden.

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
SPONSOREN & PARTNER