So bereiten Sie sich auf Backup Audits vor
Audits in der IT untersuchen objektiv, wie in einer Unternehmen IT-Betriebsabläufe geregelt sind und überwacht werden, und ob die Ergebnisse mit den Zielen übereinstimmen.
Bei einer Auditierung, auch im Rahmen einer Rechnungsprüfung oder für die Due Diligence in Vorbereitung einer Übernahme beziehungsweise Fusion, wird in einem Unternehmen objektiv kontrolliert, ob Soll und Haben an sich übereinstimmen – und ob das Ergebnis der Prüfung mit dem eigenen Ergebnis der Buchhaltung übereinstimmt.
Auditierungen in der IT untersuchen objektiv, wie in einer Organisation IT-Betriebsabläufe geregelt sind und überwacht werden, und ob die Ergebnisse mit den Zielen übereinstimmen. Da Datensicherungen und damit verbundene Aktivitäten unternehmenskritisch sind, sollte regelmäßig überprüft werden, wie sich die Prozesse und Systeme verhalten. Damit lässt sich sicherstellen, dass die Organisation die Sicherungsrichtlinien befolgt, Sicherungsverfahren konsistent durchführt und die Ergebnisse sorgfältig dokumentiert.
Unabhängig von der Art der Auditierung der Datensicherung – interne Prüfung oder externe Prüfung durch eine beauftragte Organisation oder völlig unabhängige externe Prüfung – sind die Vorbereitung und die Dokumentation zwei wesentliche Komponenten. Die mit der Auditierung beauftragte Firma sollte mit den Fragen der Datensicherung und -archivierung, der Speichereinrichtungen und der Sicherheit ausreichend vertraut und willens sein, dieses Fachwissen zu nutzen.
Bedeutung der Datensicherungsprüfung
Backup-Prozesse sind von entscheidender Bedeutung, und diese müssen exakt und konsistent durchgeführt werden. Werden Backups nicht ordnungsgemäß durchgeführt – insbesondere bei automatisierten Backup-Systemen und -Anwendungen – kann dies zum Verlust von Daten und Datenbanken, zum Datendiebstahl oder zu Beschädigung von Dateien führen. Regelmäßige Revisionen der Backup-Prozesse sichern die korrekten Abläufe in der Planung und Ausführung. Die Audits helfen vor allem, Schwachstellen zu identifizieren und Anomalien zu korrigieren.
Wichtigste Elemente für eine Prüfung
Vorbereitung und Dokumentation sind sicherlich das A und O einer Auditierung der Datensicherung in der IT. Die Dokumentation sollte dafür nicht nur in elektronischer Form, sondern auch als Hardcopy, also ausgedruckt, vorliegen. Bei Audits durch externe Instanzen dienen sie als Beweismittel für die Existenz der Backup-Prozesse. Stellen Sie sicher, dass diese Punkte vor einer Revision geklärt haben.
Bestimmen Sie ein Team, das sich mit den Auditoren befasst. Bereiten Sie diese Mitarbeiter vor. Die Teammitglieder müssen verstehen, was während des Audits passieren wird, damit sie die Fragen der Auditoren genau beantworten können. Die Unterstützung der IT-Führungskräfte ist von entscheidender Bedeutung, da die Prüfer möglicherweise mehrere Mitglieder des Leitungsteams befragen möchten. Alle Mitwirkenden sollten dabei in der Lage sein, die Backup-Systeme und ihre Funktionsweise zu demonstrieren. Das ist wichtig, weil die Prüfer sich gerne vorführen, wie eine IT-Organisation Backups durchführt.
Die richtige Checkliste für Backup Audits vorbereiten
Wenn die Checkliste der vorbereitenden Audit-Aktivitäten in Ihrer Organisation möglicherweise nicht alle Punkte enthält, sollten Sie sich für die richtige Reaktion wappnen. Ihre Reaktion auf den Audit-Bericht sollte dabei zumindest umfassen, dass Ihr Unternehmen plant, alle festgestellten Diskrepanzen gemäß den Empfehlungen des Audit-Reports zu behandeln.
1. Stellen Sie aktuelle Kopien aller Datensicherung, Archivierung und der zugehörigen Dokumentation zur Verfügung. Dazu gehören auch
- Backup-Pläne, Datensicherungsrichtlinien und -verfahren,
- aktuelle Assessment-Dokumente,
- die Verteilung der Rollen und Verantwortlichkeiten im IT-Teams,
- Ergebnisse von Backup-Tests,
- Berichte über frühere Probleme und deren Lösung,
- eine Aufstellung der Schulungsmaterialien rund um die Backups,
- Backup-Zeitpläne,
- Berichte über die Performance der Technik und der Software,
- Nachweise früherer Auditierungen und Revisionen sowie
- Nachweise über Aktivitäten zur kontinuierlichen Verbesserung.
2. Weisen Sie nach, dass die Backups Teil einer umfassenden Disaster-Recovery-Strategie sind.
3. Weisen Sie nach, dass Backup und Recovery regelmäßig getestet werden, die Zieleinhaltung bewertet wurde, und dass die Pläne und Richtlinien regelmäßig aktualisiert werden.
4. Legen Sie Unterlagen vor, die bestätigen, dass die Unternehmensleitung hinter den erforderlichen IT-Prozessen und den notwendigen Investitionen.
5. Zeigen Sie, dass Backup und Recovery als unternehmensweite strategische Aufgabe gehandhabt werden.
Sind die Auditoren vorbereitet?
Weil Backup und Recovery zu den täglichen IT-Funktionen gehören, ist es wichtig, dass die Auditoren mit den Problemen der typischen Verfahren vertraut sind und ob zuvor schon Auditierungen der Datensicherungsmaßnahmen eines Unternehmens durchgeführt haben.
Wenn Sie eine interne Auditierung durchführen, stellen Sie Ihren Auditoren Hintergrundmaterial über die Datensicherungsmaßnahmen zur Verfügung. Die Auditoren sollen sich damit entsprechend vorbereiten. Fragen Sie bei externen Audits, ob das prüfende Unternehmen Ihre Unterlagen zu den Datensicherungs- und -wiederherstellungsmaßnahmen auch versteht.
Überprüfung der Audits-Berichte
Sobald der Audit-Bericht fertig gestellt und Ihrem Unternehmen übergeben wurde, überprüfen Sie die Ergebnisse und Empfehlungen. Beantworten Sie geforderte Änderungen mit einem detaillierten Umsetzungsplan und -zeitrahmen. Ein Umsetzungsplan mit Zeitrahmen ist ein guter Ausgangspunkt für die Antworten an den Auditor. Informieren Sie das IT-Management zügig. Bei Meeting zur Lösung der im Prüfungsbericht aufgeführten schwerwiegenden Leistungs- oder Betriebsprobleme können Sie auf all diese Punkte einzugehen. Das IT-Team Sie dabei mit Vorschlägen für Maßnahmen und Termine unterstützen.
Mit der richtigen Vorbereitung, einem Grundverständnis der Ziele und Abläufe einer Auditierung sowie mit vielen Unterlagen über die Datensicherungs- und Wiederherstellungsaktivitäten im Unternehmen, können Auditierungen informativ und aufschlussreich sein. Nutzen Sie diese, um eine effektive Datensicherungs- und Wiederherstellungstechnologie aufzubauen.