Risicomanagement

Het identificeren en kwantificeren van risico’s en het vaststellen van beheersmaatregelen.

Effect creëren in de boardroom

The next level: effect bereiken

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de…

A Vision on Risk-Oriented Education for Information Security Experts

Reducing System Language and System Thinking in 2020

Management and executives must make decisions based on real risks affecting the mission and business processes of their user organization. Therefore, they must solicit advice from their risk experts, such as risk managers and IT auditors. However, the experts are bogged down with details at a (very) low operational level and may not fully understand…

De digitaal onderzoeker en de IT-auditor: Samen sterk!

Dit artikel is een geanonimiseerde beschrijving van een fraudeonderzoek waarin wordt stilgestaan bij het belang van logging voor de uitvoering van een digitaal onderzoek. De term fraude wordt gedefinieerd als het behalen van een wederrechtelijk voordeel door opzettelijke misleiding. Bij een gepleegde fraude is meestal sprake van de drie elementen van de ‘fraudedriehoek’: druk, gelegenheid…

Governance is Mensenwerk

Het al of niet failliete Three Lines of Defence-model houdt de gemoederen flink bezig. De knuppel die Leen Paape in december 2013 in het hoenderhok gooide, leidde tot de nodige reacties in de vakpers en wakkerde ook de interne discussies bij financiële instellingen aan. [PAAP13] Achmea gebruikt dit model en ja, ook Achmea kent toch…

Van macht naar kracht

Risk en Compliance

Risk managers en compliance officers: ze worden niet zelden gezien als buitenbeentjes die met vervelende regeltjes menig business manager tot wanhoop drijven. Dat moet anders, vond men bij Achmea. Het roer ging om. Cultuur en gedrag kwamen in de plaats van het ‘sec’ invoeren van regels, het opgeheven vingertje maakte plaats voor proactieve begeleiding en…

Interview met bart lohmeijer, senior risk manager rabo vastgoedgroep

Van nullen en enen naar stenen

De gastheer van uw twee reporters, Bart Lohmeijer, had bij wijze van spreken een rol kunnen spelen in de speelfilm ‘The Seven Year Itch’. Zijn loopbaan kenmerkt zich vooral door het ongeveer met een dergelijk interval veranderen van werkkring. De laatste ‘switch’ die Bart heeft gemaakt, is het verlaten van het vakgebied van IT-audit. Dat…

Challenges involved in securing mobile banking apps

The security of mobile banking

Are you a proud owner of a smartphone? Chances are that the content of your phone has been uploaded without your permission to a remote server in China. Even right now, you might have apps installed which contain malware, intercepting every communication. With the lessons learned from the world of personal computers, how is this…

Het chain content, context & control (C4-) model

Een model voor de beheersing en controle van ICT-ketens

Het belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing en controle zijn veelal intraorganisatorisch, en niet gericht op ICT-ketens. Dit artikel introduceert het C4-model als hulpmiddel voor het inrichten van kwaliteitsbeheersing in ICT-ketens gericht op het verkrijgen van keten assurance.

De Cloud: ‘Go’ or ‘No go’

Steeds meer organisaties binnen de private en publieke sector bereiden zich voor op de cloud. De afgelopen jaren zijn er veel ontwikkelingen geweest op het gebied van cloud computing. Ook Neelie Kroes lanceerde een jaar geleden al haar ‘Cloud Computing Strategy’, met als doel de adoptie en het gebruik van cloudtoepassingen en -diensten te versnellen…

Duistere zaken

Voor mij liggen twee boeiende boekendie over de zachtere kanten van hackinggaan.Het eerste boek is ‘Dark Market’, geschrevendoor Misha Glenny, een Britse onderzoeksjournalisten historicus. Glenny heeftgewerkt voor Britse kwaliteitsmedia zoalsde BBC en het dagblad The Guardian ensinds januari 2012 is hij als gastdocent verbondenaan de Columbia University. In2008 schreef hij het spraakmakende boek‘McMafia’, dat ging…

Is alleen het gebruik van standaarden genoeg om effect te creëren?

Effect creëren in de boardroom

Aansluiten bij de risicobeleving en prioriteitstellingin de boardroom is essentieel om vanuit audit oftoezicht effectief te kunnen zijn. Zorgen datbestuurs- en directieleden aandacht hebben voorverbetering en zich daarvoor inzetten, vormt dekern. Om dat te bereiken heeft het IT-Toezicht vanDNB (ITD) haar aanpak vernieuwd, waarbij hetgebruik van standaarden een belangrijke basisvormt. Dit artikel gaat nader in…

Business survival binnen de cyberketen

De noodzaak van voorwaartse risicobeheersing

Risicobeheersing blijkt soms op een catastrofale wijze te falen. Bekende risico’s worden niet of foutief ingeschat, en dreigingen met een zeer kleine kans van optreden en een grote impact worden volledig genegeerd. Hierdoor zijn systemen en organisaties vaak niet robuust genoeg om klappen op te vangen en wordt de impact van een incident veel groter…