Blog #6 Due Diligence IT-security | onze focus

In deze blogserie over onze due diligence desk geven wij een korte inkijk in het belang van een due diligence onderzoek. Wij staan daarbij stil bij de 6 modules die wij vanuit Newtone aanbieden bij een due diligence: commercieel, financieel, fiscaal, IT, personeel en juridisch. In ons 6^e blog gaan wij nader in op het aandachtsgebied IT-security.

Team

IT-ontwikkelingen volgen elkaar in snel tempo op en krijgen een steeds prominentere rol. Dit maakt dat ondernemingen in toenemende mate afhankelijk worden van IT-systemen en dat deze steeds complexere vormen aannemen. Het is dan ook niet vreemd dat IT steeds vaker een onderdeel is van onze due diligence onderzoeken.

Om de kansen en risico’s op gedegen wijze in kaart te brengen, is specifieke kennis vereist en moet deze kennis in de context van de target én de koper worden bezien. In de Due Diligence Desk van Newtone worden deze IT-onderzoeken uitgevoerd door ervaren gecertificeerde IT-auditors (RE). Zij onderscheiden zich daarin met een combinatie van IT kennis en kennis van bedrijfsprocessen.

Aanpak

Het IT-onderzoek in onze Due Diligence aanpak kenmerkt zich altijd door een expertcall waarin met de target en haar (eventuele) IT-servicepartner nader wordt ingezoomd op de IT-risico’s en kansen. Onze DD-vragenlijst wordt in dit interview als leidraad gebruikt waarbij de verschillende componenten van de IT omgeving worden besproken. Via de dataroom vragen wij de relevante documenten op om een en ander te toetsen, bijvoorbeeld ten aanzien van de netwerkstructuur of het security-beleid. Tevens wordt een aantal controles gericht op cybersecurity uitgevoerd op basis van de openbare domeinen van de onderneming. De combinatie van deze werkzaamheden levert ons voldoende informatie op om de voorname kansen en risico’s in het kader van IT-security due diligence onderzoek.

Focus

Wij richten onze aandacht op een viertal voorname aandachtsgebieden:

• Inventariseren van de IT-omgeving: Tijdens het onderzoek wordt de volledige IT-omgeving onderzocht met inbegrip van de IT-infrastructuur en relevante IT-processen. Hierin staat de vraag ‘Wat is aanwezig en wat wordt door wie geleverd’ centraal. Wij besteden daarbij onder andere aandacht aan de afhankelijkheid van externe partijen, kosten en risico’s van lopende projecten, mogelijke onvoorziene kosten zoals economisch verouderde hard- of software of de transitie naar een nieuw ERP-pakket. Zo vormen wij een totaalbeeld bij eventuele zwakke plekken in de IT applicatie- en netwerkomgeving.
• IT (security) risico’s: In dit aandachtsgebied richten wij ons op mogelijke kwetsbaarheden binnen de IT omgeving, zowel in configuraties als in processen. De focus ligt met name op IT-gerelateerde aandachts-punten in de bedrijfsprocessen en mogelijke risico’s die een organisatie loopt op het gebied van AVG.
• Continuïteit: De continuïteit van de IT is vaak essentieel voor de bedrijfsvoering en de bedrijfsprocessen. De afhankelijkheid die de bedrijfsprocessen hebben ten aanzien van IT wordt onderzocht en wij beoordelen in hoeverre hiervoor passende maatregelen zijn ingericht om mogelijke IT storingen binnen afzienbare tijd te herstellen.
• Schaalbaarheid van IT: Als onderdeel van het due diligence onderzoek wordt gekeken naar de schaalbaarheid van de IT omgeving. Wij beoordelen daartoe de mogelijkheden die de aanwezige hardware en software kunnen bieden en in welke mate de IT omgeving op een simpele manier is uit te breiden.

Naast deze vaste focus kunnen wij ook bijzondere aandachtsgebieden onderzoeken. Dit is afhankelijk van de onderneming die wij onderzoeken. Zo kunnen wij extra aandacht besteden aan de inrichting, werking en beveiliging van webshops. Ook het toetsen van (code) zelf ontwikkelde software behoort tot de mogelijke aanvullende aandachtsgebieden in het IT-security Due Diligence onderzoek.

Meer weten over Due Diligence IT-security?

Voor meer informatie over onze onderscheidende aanpak kunt u contact opnemen met Freek Schepers of Roy Joppen.

Over Newtone Advisory Services