Informatiebeveiliging
Het waarborgen van continuïteit (beschikbaarheid), exclusiviteit en integriteit van IT. Zijn de juiste personen bevoegd en kloppen de data?
Informatiebeveiliging bij remote beheer
In een eerdere editie van de IT-Auditor heb ik geschreven over informatiebeveiliging bij telewerken, oftewel werken op afstand. [HOOG11a] Een bijzondere vorm van werken op afstand is remote (IT-)beheer, dat inherente risico’s kent vanwege de aard van het beheerwerk. In dit artikel beschrijf ik deze risico’s en een aantal specifieke beveiligingsprincipes als handreiking die de…
AVG-Certificering
Nu de storm rond de invoering van de Algemene Verordening Gegevensbescherming (AVG) na 25 mei wat is gaan liggen, richten organisaties zich logischerwijs op de borging van alle inspanningen die ze hebben gedaan om aan de nieuwe privacywetgeving te voldoen. Daarbij komt automatisch de vraag naar voren: hoe laten we zien dat we aantoonbaar ‘in…
Focus op essentiële zaken in IT-audits
Waar let je op als je de kwaliteit van informatiebeveiliging wilt verbeteren of op het reeds hoge niveau wilt houden? Let je op het ontbrekende deel in de mitigerende maatregelen of juist op wat wél aanwezig is? Focus, als keuze om bepaalde dingen wel en andere juist niet te doen, is meestal goed. Maar richt…
Omvang IT-auditing domein groeit explosief en controle blijft cruciaal
Al ruim dertig jaar bestaat de Special Interest Group IT en Recht binnen het Nederlands Genootschap van Informatici, tegenwoordig KNVI. De jurist Victor de Pous, medeoprichter en bestuurslid, boegbeeld van die organisatie, volgt de ontwikkelingen en thema’s in het digitale domein voortdurend met scherpe blik. Wij kwamen met hem in contact bij de voorbereiding van…
Running business application workloads in the Public Cloud
Many enterprises face a number of challenges as they are moving their application workloads to the cloud. What are the most relevant associated risks, and how can they be mitigated? This article gives IT Auditors some pointers in this area. Cloud computing emerged around the end of the previous century with Software as a Service…
Towards continuous monitoring of segregation of duties
As a Global IT audit manager at Arcadis1 I have been involved in the development of a new approach to audit our processes that are supported by a Global Oracle solution. We have implemented Oracle Sales Cloud to perform customer relationship management, eBS to manage our projects and financials and Oracle HCM to support Human…
Privacy
De Nederlandse privacywetgeving volgens de Europese Richtlijn 95/46/EG en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) zijn bijna net zo oud als de jubilerende NOREA. De IT-auditor die privacyvraagstukken beoordeelt ontleent zijn normatieve raamwerk grotendeels aan deze wet- en regelgeving, en in het verlengde daarvan aan het domein van informatiebeveiliging. Nu, na twintig jaar ervaring…
De juiste investeringen in risicomanagement
Managers staan dagelijks voor allerlei keuzes: welke investering geeft mij het beste rendement? Waar zet ik mijn schaarse middelen het best in? Diezelfde vragen gelden ook voor investeringen op het gebied van risicomanagement. Dan gaat het niet alleen over (behoud van) rendement, maar kan het ook gaan over het verlagen van de kans op mogelijk…
Autoriteit Persoonsgegevens: Meldplicht datalekken en nieuwe verordening
ISACA, NOREA en PvIB organiseren jaarlijks het Security Congres. Deze keer werd het congres op 12 oktober 2016 in de Amsterdam ArenA georganiseerd onder de titel ‘Data in the Future’. Dit verslag geeft een korte impressie van deze leerzame bijeenkomst, die door 275 professionals in informatiebeveiliging en auditing werd bezocht. Onder het dagvoorzitterschap van André…
Het rode potlood. Een update
In de afgelopen jaren is de vraag of elektronisch stemmen in het stemlokaal wenselijk en realiseerbaar is regelmatig onderwerp van politieke en maatschappelijke discussie geweest. Dit artikel beoogt een overzicht te geven van de relevante ontwikkelingen in de afgelopen jaren en van de status van het dossier in 2016. De discussie over elektronisch stemmen in…
Doelmatiger verantwoordingsproces informatieveiligheid
Gemeenten moeten verantwoording afleggen aan de gemeenteraad over de inrichting en werking van de informatieveiligheid. Daarnaast moeten gemeenten zich naar de rijksoverheid verantwoorden over een veelheid aan onderwerpen die met informatieveiligheid verband houden, zoals DigiD, basisregistraties personen, gebouwen en adressen, paspoortuitgifte, SUWINET, et cetera. Dat kan efficiënter en effectiever dan nu gebeurt. We spreken met…
‘Live well, laugh often and encrypt absolutely everything’
We zijn op een hoge verdieping in een van de torens van het KPN-hoofdkantoor in Den Haag. Naambordjes van afdelingen ontbreken hier, maar we hebben een afspraak met Jaya Baloo, de Chief Information Security Officer (CISO) van KPN. Voor ons interview heeft ze een half uur vrijgemaakt in haar agenda. Dat blijkt genoeg tijd want…