Gesprek Marc Welters (NOREA) en Frans Dondorp (Tesorion)

In de IT-wereld wordt al langer hardop nagedacht over het opzetten van een soort jaarlijkse ‘APK’ voor de IT-omgeving van een organisatie. NOREA, de beroepsgroep van IT-auditors, is al bijna twee jaar bezig met het uitwerken van dit idee. Marc Welters, zelf IT-auditor en vice-voorzitter van NOREA, bespreekt met cybersecurity expert Frans Dondorp van Tesorion de details van zo’n IT-check.

IT-check

Welters_Marc_Norea
Marc Welters Norea
Het idee van de IT-check werd vorig jaar al beschreven in een artikel in het FD. Het idee is ontstaan omdat steeds meer aandeelhouders niet meer uitsluitend naar financiële cijfers van een organisatie kijken, maar ook naar andere bedrijfsrisico’s waaronder bijvoorbeeld cyberrisico’s. En ook Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL), heeft gezegd voorstander te zijn van een soort terugkerende IT-check voor bedrijven. De IT-check is een IT-audit verklaring die je afgeeft op basis van het IT-verslag dat is opgesteld door de onderneming. Er wordt een IT-verslag gemaakt dat kan worden getoetst en dat moet leiden tot een IT-audit verklaring.

Cybersecurity-experts

Veel cybersecurity-experts, onder wie Frans Dondorp, zijn fel tegenstander van een eenmalige stempel die bewijst dat een organisatie goed is beveiligd. “Dat kan je namelijk nooit zeggen omdat de cyberwereld zo dynamisch is. Het is geen stilstaande situatie. Je kunt niet zomaar verklaren op een bepaald moment dat ‘een bedrijf veilig is’, dat is het gevaarlijkste dat je kunt doen. Je loopt daarmee het risico dat de aandacht voor cybersecurity weer verslapt.” Volgens Marc wordt er geen stempel of verklaring gegeven die stelt dat een organisatie veilig is. “Wat zo’n IT-check verklaring wel zegt, is dat een organisatie controle heeft over de eigen IT. De verklaring die we afgeven, zegt: u beheerst uw IT-omgeving. Het kan dus best betekenen dat je morgen wordt gehackt, maar dan weet je dat je er alles aan hebt gedaan om het te voorkomen. En als het toch gebeurt, dan heb je je zaken zo voor elkaar dat alles weer snel draait. Dat is wat we zeggen met de verklaring.”

Meer dan alleen IT-beveiliging

Het is volgens Marc ook een misverstand dat een IT-check alleen gaat over de digitale beveiliging. “Cyber is één van de onderwerpen van IT-beheersing. Het gaat bijvoorbeeld ook om vragen als ‘hoe doen jullie systeemontwikkeling? Hoe gaan jullie om met IT-projecten en met patchmanagement?’, dus ruimer dan alleen IT-beveiliging.” Hoewel Frans hier wel positief over is, heeft hij toch ook twee kritische opmerkingen. Er zijn al diverse normeringen, zoals ISO/IEC 27001 en NEN 7510, dus wat voegt zo’n IT-check dan nog toe? “Met de verklaring over IT-beheersing wordt tot een jaar terug gekeken en ook vooruit voor de continuïteit van de IT. Daarin verschilt de IT-check bijvoorbeeld van de diverse ISO-certificeringen. We vragen om aan te tonen dat een organisatie inderdaad zijn IT op orde heeft. Mijn ervaring als IT-auditor is dat de meeste organisaties nog niet op orde zijn.”

Ondersneeuwen

Een ander kritiekpunt van Frans, is dat IT-afdelingen ondergesneeuwd dreigen te raken met IT-certificeringen en audits. “De IT-sector wordt al behoorlijk geaudit. Dat geeft veel druk op IT-afdelingen”, zegt hij. In de sector heerst volgens hem een soort gevoel van ‘laat ons gewoon ons werk doen’ in plaats van dat de IT continu aan iedereen moeten bewijzen waar ze staan. “Bovendien moeten we uitkijken dat we niet teveel aan het handhaven zijn in plaats van het uitvoeren van cybersecurity. Op een gegeven moment zijn we zoveel aan het auditen dat we niet meer toekomen aan de uitvoering.”

Meer doen, minder controleren

“Een IT-check is teveel gericht op een controlemiddel terwijl we juist graag onze aandacht willen richten op de uitvoering”, aldus Frans. “Ik heb dus liever dat een bedrijf investeert in bewustwordingscampagnes of trainingen voor medewerkers omdat organisaties daar veiliger door worden, in plaats van dat ze vooral bezig zijn met het halen van allerlei certificeringen of audits.” Bovendien bestaat het risico dat een IT-check al snel een soort vereiste wordt bij opdrachtgunningen en aanbestedingen van de overheid. “We zien nu al eisen voor ISO-normen die nog niet eens zijn vastgesteld of wetgeving die er nog niet is”, besluit Frans. (Dit artikel verscheen eerder in ITchannelPRO magazine nummer 5)
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein