Una particolare normativa riguarda il controllo della attività degli amministratori dei sistemi informativi. La loro attività deve essere registrata per poter essere sottoposta a auditing. La registrazione deve essere mantenuta per almeno sei mesi e deve essere integra, non modificabile. Interrogazioni per data devono essere possibili con facilità. I dati di accesso riguardano sia i sistemi informativi che le basi di dati.
L’analisi dei rischi per i processi di business aziendali, correlati con i sistemi IT, è materia del risk assessment. Il processo di assessment, industrializzato, è rapido e minimamente invasivo per l’azienda. Il rischio è valutato oggettivamente per impatto sui processi aziendali e porta ad una lista ABC delle applicazioni che lo possono compromettere.
Un report finale riassume i punti di intervento su applicazioni e infrastrutture e le modalità per evitare impatti di malfunzionamento IT sul business aziendale.
