Internal audit moeite met het verwerken van cybercrime bedreigingen

mourningVertrouwen op de technische specialist of de awareness acties van financials gaan cyber security risico’s niet meer voorkomen. Misschien is wel het moment gekomen om dergelijke risico’s te accepteren, maar wel in de tussentijd klaar te zijn om na het gevecht zo snel mogelijk weer operationeel te zijn met minimale schade.

De toenemende dreiging van cyber security risico’s zorgen dat bedrijven en instellingen steeds vaker een beroep doen op professionals die voorheen niet bekend stonden om hun rol in het voorkomen van cyber security dreigingen zoals bijvoorbeeld ook de Internal Auditor. De verwachting is  dat de nieuwe lichting internal auditors meer vaardigheden zullen bezitten op dit gebied. Maar wat zijn die vaardigheden dan en welke impact hebben ze?

Geschiedenis
Tot voor kort was cyber security een thema dat dominant beheerst werd door ICT security specialisten en IT Auditors. Maar de geschiedenis leert dat alléén het gevecht op het technische slagveld onvoldoende is en daardoor ook steeds meer als een niet effectieve strategie wordt gezien. Immers recente berichten uit de internationale media benadrukken dat de criminele technische mogelijkheden dusdanig vooruit lopen op de beschermingsmiddelen, dat weerbaarheid ook op andere niveaus moet worden georganiseerd. Hier spelen proces beheersing en cultuur inzicht een steeds meer dominante rol. Dit is bekend terrein voor de moderne internal auditor.

Link met Internal Audit
Natuurlijk maakt óók de internal auditor gebruik van technologie die hem bijvoorbeeld ondersteund in het toezicht houden op transacties en vastlegging op dagelijkse basis. Deze zijn onderdeel van een efficiënte en kosten effectieve manier om deze informatie automatisch te analyseren, structureren en prioriteren.

Alleen vasthouden aan de ‘oude’ principes zoals Bestuurlijke Informatieverzorging van Starreveld gaan het niet meer redden. Immers de fundamenten (general controls) van de vertrouwensbasis van elektronische data zijn aangetast, kwaliteit en plausibiliteit van data staan ter discussie.

Starreveld
Veel voorkomende aanvallen richten zich specifiek op geselecteerde individuen binnen of in vertrouwde relatie tot de organisaties waar de aanvaller op mikt (spear phishing). Middels speciale software (malware) wordt op kundige wijze de technische bescherming omzeilt om het doel te bereiken. Deze phishing of social engineering technieken zijn vaak gericht op het verkrijgen van de toegangsrechten of sensitieve informatie onder valse voorwendselen van de onfortuinlijke medewerker. De internal auditor begrijpt dat deze unieke uitdagingen ook specifieke preventie activiteiten vragen, die niet allemaal zijn gerelateerd aan techniek.

Benodigde vaardigheden
Naast de technologische bescherming richt de internal auditor zich op de weerbaarheid (resilience) van de organisatie. Deze wordt via educatie en bewustwording programma’s geholpen risico’s tijdig (zelf) te onderkennen en, indien mogelijk, te mitigeren. De internal auditor legt hierbij ook de link met de betreffende stafafdelingen aan de ene kant en directie en audit committee aan de andere kant. De directie en audit committee spelen een essentiële rol bij het toezicht op de voorbereiding, en reactie op, cyber security dreigingen en de bijbehorende regelgevende en zakelijke ontwikkelingen. Deze vaardigheden van de internal auditor zijn nu essentieel om de weerbaarheid van organisaties te verhogen. Het gaat niet van zelf, het kost bloed, zweet en tranen maar  zonder inspanning geen vooruitgang: Luctor et Emergo- (ik worstel en kom boven).

Ik roep het internal auditors vak op om actief de verbinding te zoeken met andere disciplines om zijn of haar stempel te drukken op dit vakgebied. Zie ook eerder bericht hierover op E-Dialoog.

Deze blog is opgesteld door Marcel Woltjes, lid van de advocacy commissie van het IIA Nederland en Partner bij Orange Oaks . Het is een persoonlijke opinie van de schrijver en heeft niet direct betrekking op gelieerde bedrijven of instellingen.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s