Oh nee, de auditor komt langs!


De multinationals en gezondheidszorg zijn hier al jaren mee 'belast'. Hetzelfde geldt voor de overheid. Ook is dit een steeds groter wordend onderwerp bij de lagere overheden; onder andere waterschappen en gemeenten.

Informatiebeveiliging (IB) is anno 2015 nog steeds een belangrijker thema in organisaties. In de tijd dat de maatschappij steeds meer transparantie eist, is het de taak van de auditor om zekerheid te geven hierover. Voor informatiebeveiliging geldt daarbij dat bedrijven voldoende maatregelen nemen om de gevoelige informatie te beschermen en de continuïteit te kunnen garanderen.

Informatiebeveiliging is geen IT-feestje

Vaak wordt gedacht dat informatiebeveiliging een IT-feest is en dat zij maar eens goed hun best moeten doen om het voor elkaar te krijgen. Niets is minder waar: de hele organisatie is erbij betrokken.

Natuurlijk heb je de 'digitale wereld' en dit is inderdaad het domein van de IT-afdeling. Hier moeten allemaal technische maatregelen genomen worden zodat de applicaties beschikbaar en integer blijven en de informatie vertrouwelijk blijft. Enkele voorbeelden van IB waar de IT-afdeling verantwoordelijk voor is:

  • Configuratie van de firewalls
  • Netwerkbeveiliging
  • Het maken van back-ups
  • Monitoring op cyberaanvallen (en het voorkomen hiervan)

Toch is ook de business hierbij betrokken, zij bepalen namelijk mee waar de prioriteit ligt en waar de grens ligt tussen beveiligingsmaatregelen en werkbaarheid. De business wil bijvoorbeeld dat een klant zijn eigen laptop aan kan sluiten op het netwerk. IT zorgt ervoor dat dit werkt, zonder dat de klant toegang heeft tot (gevoelige) bedrijfsinformatie.

Daarnaast bepaalt de business ook uiteindelijk voor een groot gedeelte of er prioriteit ligt bij het ontwikkelen van nieuwe functionaliteit of bij beveiligingsmaatregelen.

Toch wordt je als auditor vaak raar aangekeken als je aangeeft dat je graag zou willen spreken met een aantal applicatie-eigenaren. We weten natuurlijk allemaal dat deze zich vaak in de business bevinden. Toch?

De business is de organisator van het feestje

De IT-afdeling is de eregast, zij hebben namelijk de technische kennis om de informatiebeveiliging in de IT-systemen in te richten. Maar er zijn nog veel meer genodigden op het feestje, hopelijk zijn HR en Facilities ook uitgenodigd, net als de directie. Iedereen binnen de organisatie zou namelijk uitgenodigd (of vertegenwoordigd) moeten zijn. Informatiebeveiliging staat of valt met de betrokkenheid van het hele bedrijf.

Als ik als auditor een bedrijfspand inloop, zie ik bijvoorbeeld uitdagingen bij het (fysiek) binnenkomen van dit pand. Eerst langs de bewaking om een bezoekersbadge op te halen, vervolgens loop ik (alleen of onder begeleiding?) via overvolle kasten op de gang (vol met gevoelige informatie?), door gehorige gangen (waar ik gesprekken tussen collega's opvang) naar de juiste vergaderkamer voor m'n afspraak. Onderweg denk ik:

  • Ligt er nog papier op de printer?
  • Had ik me bij de balie voor kunnen doen als iemand anders?
  • Had ik überhaupt wel een badge nodig? Kon ik niet gewoon meelopen achter iemand aan?
  • Kan ik op plekken komen waar ze liever niet willen dat ik kom?
  • Zou het iemand opvallen als ik hier ga zitten werken achter een bureau?
  • Als het ze opvalt, zou iemand me dan aanspreken?

Zolang de auditor maar niet de eregast is...

Zoals ik al benoemde, voor wie zorg je dat de informatiebeveiliging op orde is. Toch niet voor de auditor hè? Het laatste wat je als organisatie zou moeten willen, is de auditor proberen om de tuin te leiden en mooi weer spelen. Ja, de audit zou dan goed kunnen aflopen en dan ben je er mooi weer voor een jaar vanaf. Ook heb je dan een hoop schijnveiligheid. Het is echter behoorlijk dramatisch als je bedrijfsnaam op de spreekwoordelijke 'voorpagina van de Telegraaf' komt bij een securitybreach die voorkomen had kunnen worden.
Dus, hoe belangrijk vinden we informatiebeveiliging eigenlijk met z'n allen binnen het bedrijf?

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder