Norea, de beroepsorganisatie van it-auditors, ziet heil in een it-auditverklaring. Met een dergelijk document kunnen organisaties aanvullende zekerheid krijgen over de weerbaarheid van hun it. Dit kan een rol gaan spelen bij de financiering van bedrijven en zelfs een voorwaarde voor kredietverstrekking.
Een werkgroep binnen Norea (Nederlandse Orde van Register Electronic Data Processing Auditors) is bezig met de vormgeving van het it-verslag en de bijbehorende verklaring. Gewerkt wordt aan een standaard voor de ‘it-check’ die tevens de basis moet vormen voor de audit. De beroepsorganisatie start nu ook een enquête onder toekomstige gebruikers van een it-verslag en -verklaring. Doel is de inhoud te laten aansluiten op de behoefte.
Volgens de Norea is de scope van de jaarrekeningcontrole in zijn huidige vorm te beperkt. Zo valt moeilijk een oordeel te vellen over de inrichting van de it-beheerorganisatie en de beheersing van it. Laat staan dat er ruimte is om te bepalen of een organisatie voldoende weerbaar is tegen cyberaanvallen. De it-auditverklaring vult deze lacune op.
Hamvraag
De beroepsorganisatie van it-auditors ziet in de bestuurskamers de behoefte ontstaan aan een onafhankelijk oordeel over de inrichting en beheersing van it – met als hamvraag: is deze toekomstbestendig? Directies en stakeholders willen weten welke risico’s worden gelopen als gevolg van cyberbedreigingen of privacykwesties. De wens in control te zijn wordt nog versterkt doordat het bedrijfsleven en de overheid in hoog tempo digitaliseren.
De Norea vindt de behoefte aan een onafhankelijk en deskundig oordeel over de it niet meer dan logisch. Als bijvoorbeeld een onderneming een lening bij een bank wil afsluiten, moet deze aantonen liquide en solvabel te zijn. Met de voortschrijdende digitalisering vertellen die ratio’s echter niet meer het hele verhaal. Een online handelshuis kan nog zo solvabel zijn, als de it-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen. Een brede groep van stakeholders hecht belang bij zekerheid omtrent de juiste werking van it. Dat betreft niet alleen banken maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en in brede zin het maatschappelijk verkeer. Zakenbanken en institutionele beleggers hebben zich al positief uitgesproken over de it-check.
Zekerheid
De bedoeling is dat de it-verklaring zekerheid geeft bij een door de organisatie zelf opgesteld it-verslag. Daarin is te vermelden hoe de beheersing van it in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Dat alleen is echter niet voldoende.
Het it-verslag moet ook iets zeggen over de mate waarin it binnen een organisatie toekomstbestendig is. Dat is voor de verschillende stakeholders het meest relevant. Naar verwachting zal het it-verslag daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn binnen de sector waarin de organisatie opereert.
Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), noemt de it-check ‘een fantastische ontwikkeling voor Nederland’. Hij spreekt van een doorbraak. Kern is dat organisaties grip hebben op alle aspecten van hun it. Ze moeten controle kunnen hebben, niet alleen over de boekhouding en administratie maar ook over de it. Steltman pleit al jarenlang voor een it-auditverklaring. Met 28 organisaties werkt hij in de Online Trust Coalition aan de bevordering van trust & assurance. Ook het Agentschap Telecom ondersteunt het plan. Steltman hoopt dat dit Nederlandse initiatief over de hele EU wordt uitgerold.
Lijkt me een goed initiatief. Digitaal aangevallen bedrijven kunnen sterk in waarde dalen of zelfs failliet gaan. ISO/IEC 27001 certificering bestaat ook al een tijdje, maar kan in veel situaties een te beperkte scope hebben. Nu lijkt het alsof it-auditors alleen maar een stukje extra markt willen creëren. Maar het initiatief voor de ontwikkeling van zo’n een it-verslag en -verklaring had eigenlijk door koepels van aandeelhouders en credietverstrekkers genomen mogen worden. Die hebben dit gek genoeg te lang laten liggen. De inhoudelijke invulling hoort natuurlijk thuis bij organisaties zoals de Norea en de normcommissie Cybersecurity en Privacy.
Hmm, conventionele auditors (Big 4) hebben niet zo’n beste reputatie op het gebied van cybersecurity. Al 25 jaar bezig met dure audits van SAP RBAC, maar nog steeds weinig kaas gegeten van de techniek.
De ‘IT-check’ (alleen de term al) klinkt als een bewuste versimpeling van wat feitelijk een grondig onderzoek naar kwetsbaarheden in IT infrastructuur moet zijn. Alsof je een snelle Covid test ondergaat.
De “felbegeerde” audit verklaring gaat uiteraard geen enkele hacker stoppen. Vele bedrijven met een ISO 270001 certificering zijn reeds gehacked. Papieren tijgers schrikken echt niemand af.
Wij van WC-eend, adviseren WC-eend…. Zoals KJ al aangeeft gaat het audit-circus veelal om het temmen van papieren tijgers waardoor een IT-verklaring een vals gevoel van veiligheid geeft als de techniek en theorie niet gelijk aan elkaar zijn. Idee van ‘In Control’ wordt hierdoor vaak een dashboard wat niet aangesloten is op de IT architectuur met als gevolg de bekende verrassingen achteraf. Hierin is één van de uitdagingen het hele feest van rollen, want wie-o-wie is de hacker gaat uiteindelijk niet alleen om de externe bedreigingen.
Jaarlijkse economische schade van interne fraude schijnt nog altijd aanzienlijk groter te zijn dan afpersing via ransomware hoewel het lastig is om de harde cijfers boven tafel te verkrijgen want transparantie hierin is nog iets anders dan vertrouwen. De journalistiek schijnt hierdoor meer waarde in de opsporing van fraude te hebben dan de accountant aldus eigen beroepsgroep. Want vanuit een onwenselijke belangenverstrengeling kan de verklaring van een auditor nogal gekleurd zijn omdat sommige stakeholders nu eenmaal meer invloed uit kunnen oefenen op de uiteindelijke rapportage zoals de krantenkoppen laten zien.
“als de it-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen”
“de mate waarin it binnen een organisatie toekomstbestendig is”
“Kern is dat organisaties grip hebben op alle aspecten van hun it”
Ik weet het niet – klinkt als de zoveelste papieren tijger… tis te zeggen… ik zie het nog niet gebeuren dat Microsoft, Google, AWS, etc, zich veel van deze “ontdekking” en “fantastische ontwikkeling” zullen aantrekken; zeker als het aankomt op audits van hun eigen, interne IT.
Bovendien, voor die bedrijven (groot en klein) die het goed willen regelen zijn er nu ook ruim voldoende mogelijkheden. En voor zover dat toch niet zo blijkt te lukken, dan gaan “niet kunnen” en “niet willen” nogal eens hand-in-hand.
En last-but-not-least – zijn we met allemaal die audits niet hard op weg om elke vorm van creativiteit dood te knuppelen? Immers, een nieuw (en innovatief) stukje techniek brengt gebruiksrisico’s met zich mee. De mate waarin en bijbehorende gevolgen (financieel of anderszins) zal op basis van daadwerkelijk gebruik inzichtelijk worden…
De oplossing kan alleen komen van de kant van diverse types WC-eenden (IT-auditors, security techneuten, beheerspecialisten, infrastructuurspecialisten, leveranciers van security diensten en -producten). Elke zichzelf respecterende IT-afdeling heeft mensen in dienst die dit kunnen bedenken, hierover kunnen adviseren aan de leiding, het werk deels zelf kunnen uitvoeren. De optimale oplossing moet natuurlijk wel in praktijk gebracht worden..
Bestuurders kunnen natuurlijk uit kortetermijnbelang een te optimistisch beeld schetsen en geen steun geven aan wat eigenlijk moet gebeuren. Maar in de realiteit wordt de cybercrimineel professioneler, werkt deze meedogenlozer en wordt diens gereedschap sterker. Bovendien worden de grote hackbedrijven als moderne kapers beschermd. Als je x miljoen schade hebt opgelopen, dan moet je eerst x miljoen hebben uitgespaard aan beheer om quitte te staan. Dat gaat niet zo gemakkelijk. Cryptomunten dienstenleveranciers weten daar alles van af. En hackers komen vaak snel weer langs om te kijken of je wat van de hack hebt geleerd, net als gewone inbrekers dat doen. Dus wil je als bestuurder wachten totdat de wal het schip gekeerd heeft?
Uiteraard gelden dezelfde punten ten aanzien van CEO-fraude en schade door interne criminaliteit. Bij bedrijfsovernames wordt niet voor niets eerst goed gezocht naar lijken in de kast. En ja, een dergelijk onderzoek kan ook weer gecorrumpeerd worden.
ik heb nu genoeg audits meegemaakt. Ik ervaar dat soort mensen eerder als een hinderlijk excel sheet vink volkje dat ivm de opdracht die ze hebben altijd opzoek gaan naar een ‘issue’ om aan te tonen dat ze ‘iets’ gevonden hebben. Ik heb er eentje gehad die een netwerk scan probeerde en ‘niets vond’ en dat ik moest wijzen op het ethernet kabeltje dat niet aangesloten was en zijn manager deed per ongeluk een data lekje per e-mail uit zijn eigen bedrijf tijdens de audit… Dat is dan die ‘keurder’ die mij gaat vertellen wat er allemaal niet op orde zou zijn?