Een IT-check zegt iets over de hele IT-beheersing

In de IT-wereld wordt al langer hardop nagedacht over het opzetten van een soort jaarlijkse 'APK' voor de IT-omgeving van een organisatie. NOREA, de beroepsgroep van IT-auditors, is al bijna twee jaar bezig om dit idee uit te werken. Marc Welters, zelf IT-auditor en vice-voorzitter van NOREA, bespreekt met cybersecurity expert Frans Dondorp van Tesorion de details van zo'n IT-check. 

Marc Welters



Het idee van de IT-check werd vorig jaar augustus al beschreven in een artikel in het FD. Het idee is ontstaan omdat steeds meer aandeelhouders niet meer uitsluitend naar financiële cijfers van een organisatie kijken, maar ook naar andere bedrijfsrisico's waaronder bijvoorbeeld cyberrisico's. En ook Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL), heeft gezegd voorstander te zijn van een soort van terugkerende IT-check voor bedrijven.

De IT-check is een IT-auditverklaring die je afgeeft op basis van het IT-verslag dat is opgesteld door de onderneming volgens objectieve uitgangspunten en standaarden die gelden voor de sector of branche waarin de onderneming actief is. Daarom wordt dit  verslag beoordeeld door een onafhankelijke auditor die daarover een IT-auditverklaring afgeeft.

Veel cybersecurity-experts, onder wie Frans Dondorp, zijn fel tegenstander van een eenmalige stempel die bewijst dat een organisatie goed beveiligd is. "Dat kan je namelijk nooit zeggen omdat de cyberwereld zo dynamisch is. Het is geen stilstaande situatie. Je kunt niet zomaar verklaren op een bepaald moment dat 'een bedrijf veilig is', dat is het gevaarlijkste dat je kunt doen. Je loopt daarmee het risico dat de aandacht op cybersecurity weer verslapt."

Volgens Marc wordt er geen stempel of verklaring gegeven die stelt dat een organisatie veilig is. "Wat zo'n IT-auditverklaring wel zegt, is dat een organisatie goede controle heeft over de eigen IT.  De verklaring die we afgeven, zegt: u beheerst uw IT-omgeving. Het kan dus best gebeuren dat je morgen gehackt wordt, maar dan weet je dat je er alles aan hebt gedaan om het te voorkomen. En als het toch gebeurt, dan heb je je zaken zo voor elkaar dat alles weer snel draait. Dat is wat we met de verklaring zeggen."

Meer dan alleen IT-beveiliging

Het is volgens Marc Welters ook een misverstand dat een IT-check alleen gaat over de digitale beveiliging. "Cyber is één van de onderwerpen van IT-beheersing. Het gaat bijvoorbeeld ook om vragen zoals 'hoe doen jullie systeemontwikkeling? Hoe gaan jullie om met IT-projecten en met patchmanagement?', dus ruimer dan alleen IT-beveiliging."

Hoewel Frans Dondorp hier wel positief over is, heeft hij toch ook twee kritische opmerkingen. Er zijn al diverse normeringen, zoals ISO/IEC 27001 en NEN 7510, wat voegt zo'n IT-check dan nog toe? "Met de verklaring over IT-beheersing wordt tot een jaar terug gekeken en ook vooruit voor de continuïteit van de IT. Daarin verschilt de IT-check bijvoorbeeld van de diverse ISO-certificeringen. We vragen om aan te tonen dat een organisatie inderdaad de beheersing van zijn IT op orde heeft. Mijn ervaring als IT-auditor is dat de meeste organisaties nog stappen te zetten hebben", legt Marc uit.

Een ander punt van kritiek dat Frans heeft, is dat IT-afdelingen ondergesneeuwd dreigen te raken met IT-certificeringen en audits. "De IT-sector wordt al behoorlijk geaudit", zegt hij. "Dat geeft veel druk op IT-afdelingen", aldus Frans. In de sector heerst volgens hem een soort gevoel van 'laat ons gewoon ons werk doen' in plaats van dat de IT continu aan iedereen moeten bewijzen waar ze staan. "Bovendien moeten we uitkijken dat we niet teveel aan het handhaven zijn in plaats van het uitvoeren van cybersecurity. Op een gegeven moment zijn we zoveel aan het auditen dat we niet meer toekomen aan de uitvoering."

 

Meer doen, minder controleren

"Een IT-check is teveel gericht op een controlemiddel terwijl we juist graag onze aandacht willen richten op de uitvoering", aldus Frans. "Ik heb dus liever dat een bedrijf investeert in bewustwordingscampagnes of trainingen voor medewerkers omdat organisaties daar veiliger door worden, in plaats van dat ze vooral bezig zijn met het halen van allerlei certificeringen of audits."

Bovendien bestaat het risico dat een IT-check al snel een soort vereiste wordt bij opdrachtgunningen en aanbestedingen van de overheid. "We zien nu al eisen voor ISO-normen die nog niet eens zijn vastgesteld of wetgeving die er nog niet is", vertelt Frans.

"De marktwerking moet het niet te verplicht maken." Marc is het hiermee eens: “laten we geen nieuwe kaders ontwikkelen als dat niet nodig is, maar eerst een oordeel geven over wat een organisatie nu al gedaan heeft aan IT-beheersing en waar noodzakelijke verbeteringen nodig zijn om voorop te blijven lopen in deze digitale wereld. Een goede beheersing van IT leidt ook tot een meer effectieve en efficiënte uitvoering van de dagelijkse beheerwerkzaamheden”.

NOREA wil in de lente van 2022 een pilot starten met de IT-check.

 

[/STREAMER]