In de IT-wereld wordt al langer hardop nagedacht over het opzetten van een soort jaarlijkse ‘APK’ voor de IT-omgeving van een organisatie. NOREA, de beroepsgroep van IT-auditors, is al bijna twee jaar bezig met het uitwerken van dit idee. Marc Welters, zelf IT-auditor en vice-voorzitter van NOREA, bespreekt met cybersecurity expert Frans Dondorp van Tesorion de details van zo’n IT-check.
IT-check
Het idee van de IT-check werd vorig jaar al beschreven in een artikel in het FD. Het idee is ontstaan omdat steeds meer aandeelhouders niet meer uitsluitend naar financiële cijfers van een organisatie kijken, maar ook naar andere bedrijfsrisico’s waaronder bijvoorbeeld cyberrisico’s. En ook Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL), heeft gezegd voorstander te zijn van een soort terugkerende IT-check voor bedrijven.
De IT-check is een IT-audit verklaring die je afgeeft op basis van het IT-verslag dat is opgesteld door de onderneming. Er wordt een IT-verslag gemaakt dat kan worden getoetst en dat moet leiden tot een IT-audit verklaring.
Cybersecurity-experts
Veel cybersecurity-experts, onder wie Frans Dondorp, zijn fel tegenstander van een eenmalige stempel die bewijst dat een organisatie goed is beveiligd. “Dat kan je namelijk nooit zeggen omdat de cyberwereld zo dynamisch is. Het is geen stilstaande situatie. Je kunt niet zomaar verklaren op een bepaald moment dat ‘een bedrijf veilig is’, dat is het gevaarlijkste dat je kunt doen. Je loopt daarmee het risico dat de aandacht voor cybersecurity weer verslapt.”
Volgens Marc wordt er geen stempel of verklaring gegeven die stelt dat een organisatie veilig is. “Wat zo’n IT-check verklaring wel zegt, is dat een organisatie controle heeft over de eigen IT. De verklaring die we afgeven, zegt: u beheerst uw IT-omgeving. Het kan dus best betekenen dat je morgen wordt gehackt, maar dan weet je dat je er alles aan hebt gedaan om het te voorkomen. En als het toch gebeurt, dan heb je je zaken zo voor elkaar dat alles weer snel draait. Dat is wat we zeggen met de verklaring.”
Meer dan alleen IT-beveiliging
Het is volgens Marc ook een misverstand dat een IT-check alleen gaat over de digitale beveiliging. “Cyber is één van de onderwerpen van IT-beheersing. Het gaat bijvoorbeeld ook om vragen als ‘hoe doen jullie systeemontwikkeling? Hoe gaan jullie om met IT-projecten en met patchmanagement?’, dus ruimer dan alleen IT-beveiliging.”
Hoewel Frans hier wel positief over is, heeft hij toch ook twee kritische opmerkingen. Er zijn al diverse normeringen, zoals ISO/IEC 27001 en NEN 7510, dus wat voegt zo’n IT-check dan nog toe? “Met de verklaring over IT-beheersing wordt tot een jaar terug gekeken en ook vooruit voor de continuïteit van de IT. Daarin verschilt de IT-check bijvoorbeeld van de diverse ISO-certificeringen. We vragen om aan te tonen dat een organisatie inderdaad zijn IT op orde heeft. Mijn ervaring als IT-auditor is dat de meeste organisaties nog niet op orde zijn.”
Ondersneeuwen
Een ander kritiekpunt van Frans, is dat IT-afdelingen ondergesneeuwd dreigen te raken met IT-certificeringen en audits. “De IT-sector wordt al behoorlijk geaudit. Dat geeft veel druk op IT-afdelingen”, zegt hij. In de sector heerst volgens hem een soort gevoel van ‘laat ons gewoon ons werk doen’ in plaats van dat de IT continu aan iedereen moeten bewijzen waar ze staan. “Bovendien moeten we uitkijken dat we niet teveel aan het handhaven zijn in plaats van het uitvoeren van cybersecurity. Op een gegeven moment zijn we zoveel aan het auditen dat we niet meer toekomen aan de uitvoering.”
Meer doen, minder controleren
“Een IT-check is teveel gericht op een controlemiddel terwijl we juist graag onze aandacht willen richten op de uitvoering”, aldus Frans. “Ik heb dus liever dat een bedrijf investeert in bewustwordingscampagnes of trainingen voor medewerkers omdat organisaties daar veiliger door worden, in plaats van dat ze vooral bezig zijn met het halen van allerlei certificeringen of audits.”
Bovendien bestaat het risico dat een IT-check al snel een soort vereiste wordt bij opdrachtgunningen en aanbestedingen van de overheid. “We zien nu al eisen voor ISO-normen die nog niet eens zijn vastgesteld of wetgeving die er nog niet is”, besluit Frans.
(Dit artikel verscheen eerder in ITchannelPRO magazine nummer 5)