De belangrijkste vraag bij informatiebeveiliging is: Wie mag wat en waarom? Als je dat weet, zit het wel goed!
Bij elk bedrijf bestaat de noodzaak om de kwaliteit van de IT regelmatig te onderzoeken. We vroegen Mischa van der Vliet, geregistreerd IT auditor (RE) enwerkzaam bij diverse overheden, naar de belangrijkste aspecten van IT Auditing.
Welke actualiteiten spelen er in de sector?
Compliance wordt steeds belangrijker rondom de inzet van IT en dat merk je dan ook als IT-auditor. Veel opdrachten hebben een relatie met wet- en regelgeving. De trend dat bedrijven hun IT uitbesteden loopt al heel lang maar nu zie je ook steeds vaker dat IT-bedrijven moeten aantonen dat ze in control zijn. Dat wordt dan vaak gedaan met een ISAE3402 auditrapport, de opvolger van de SAS70 verklaring. Als laatste is de cloud, IAAS, PAAS, SAAS, etc steeds vaker onderdeel van de audit. Het krijgen van zekerheden blijft toenemen en de veel bedrijven zullen daarmee steeds vaker worden geconfronteerd.
Waarom is het zo belangrijk om IT processen te auditen?
Als IT-auditor kijk je niet alleen naar de processen maar ook naar de techniek en organisatie. Samen vormen deze drie pijler de basis van een solide IT-omgeving. ICT is tegenwoordig overal aanwezig en geen enkel bedrijf kan meer zonder. Door deze verwevenheid worden IT-audits steeds belangrijker.
Waarom is het belangrijk om aantoonbaar ‘in control’ te zijn?
Vertrouwen is goed maar controle is beter is daarbij de geijkte reactie. Op zich is dat ook logisch. Door de enorme afhankelijkheid van ICT is het alleen vertrouwen dat het ‘wel goed zit’ niet meer te verkopen. We zien dat het ook regelmatig mis gaat, waarbij de ICT niet goed heeft gewerkt en waarbij bedrijven failliet zijn gegaan.
Welke aspecten spelen een belangrijke rol bij het auditen van je IT?
De grootte van je organisatie bepaalt in hoeverre je zelf interne IT-auditors kan aanstellen, we zien dan ook dat bedrijven onder de 500 medewerkers vaak geen eigen IT-auditors in dienst hebben. Een deel van de IT-audits kunnen ook worden uitgevoerd door niet IT- ers. Zo zijn vooral de general IT controls van belang om structureel te controleren. Dit zijn o.a. logisch toegangsbeheer, fysiek toegangsbeheer, back-up en recovery, contractmanagement en informatiebeveiliging.
Opleiding IT Audit Fundamentals
Mischa van der Vliet is docent van de opleiding IT Audit Fundamentals. Tijdens de eerste 3 dagen van deze opleiding leert u welke waardeIT auditing voor uw organisatie heeft. Daarnaast leert u o.a. door hands-on oefeningen hoe een IT audit wordt uitgevoerd en krijgtu inzicht in de werking van de verschillende onderdelen vanIT Governance. Kijk voor meer informatie op de website van IT Audit Fundamentals.