01 2021
Jaargang 30
Toenemende impact van dreigingen in de leveranciersketen

Ketenafhankelijkheden

(Publicatiedatum: 24 december 2021) Deze bijdrage geeft aan hoe de IT-auditor kan omgaan met de steeds grotere impact van actuele dreigingen in de leveranciersketen. Hacks via leveranciers – denk aan Solarwinds, voorjaar 2021 – onderstrepen de ernst hiervan. Wat daar nog bij komt is de trend dat cybercriminelen steeds vaker bedrijfsnetwerken binnenkomen via standaardpakketten en…

Een risk based-benadering

Blockchain security Auditing

(Publicatiedatum: 22 december 2021) Nu blockchain-technologie steeds vaker wordt toegepast en meer de aandacht trekt van bestuursleden en CxO’s van veel organisaties, wordt het voor IT-auditors noodzakelijk om zich te verdiepen in de risico’s die voortkomen uit de implementatie van deze technologie en de auditing ervan. Dit artikel wil inzicht geven in de risico’s van…

Dag uit het leven van Ramon de Bruijn

(Publicatiedatum: 21 december 2021) 07:30 De wekker gaat, een nieuwe werkdag is aangebroken. Mijn eerste prioriteit in een doordeweekse dag is om de kinderen op tijd klaar te krijgen voor school. Dus die slaapkoppen eerst wakker maken voordat ik mezelf klaarstoom op weg naar leuke, nieuwe uitdagingen voor mij als chief product owner (CPO) voor…

Interview met Paul Slootmaker, CISO KPN

Assetmanagement is de basis van alles, dat moet op orde zijn

(Publicatiedatum: 6 december 2021) Via Teams spreken we met Paul Slootmaker, RE en bovendien CISO van KPN, sinds oktober 2019 de opvolger van Jaya Baloo. Haar interviewden we ruim vijf jaar geleden. Onwillekeurig terugdenkend aan dat interview concluderen we dat welbespraaktheid en aanstekelijk enthousiasme blijkbaar tot de vaste functie-eisen voor KPN CISO’s behoren. Ook Paul…

NOREA-groepen stellen zich voor

Kennisgroep Robotic Process Automation (RPA)

(Publicatiedatum: 19 november 2021) Sinds enkele jaren is ‘robotics’ een van de innovatie-buzzwoorden. Veel mensen denken bij robotics aan een fysieke robot, die steeds meer op de mens lijkt, tot en met de gelaatsuitdrukking. Maar daar is bij Robotic Process Automation (RPA) geen sprake van, zie hierna. Als kennisgroep Robotic Process Automation zoeken wij antwoorden…

Anti-witwastechnologie: waar de IT-auditor en compliance officer elkaar treffen

(Publicatiedatum: 15 november 2021) De compliance officer en de IT-auditor hebben elkaar nodig in de dynamische, complexe en sterk ICT-gedreven wereld van het anti-witwassen (AML). De Financial Action Task Force on money laundering (FATF) heeft een inspirerende inventarisatie opgesteld om dergelijke multidisciplinaire teams op de toekomst voor te bereiden: ‘Stocktake on data pooling, collaborative analytics…

Negen aanbevelingen

Ransomware en de rol van een IT-Auditor

(Publicatiedatum: 11 november 2021) Ransomwareaanvallen zijn met een snelle opmars bezig en staan internationaal inmiddels op de tweede plaats in de ranglijst van cyberbedreigingen. IT-auditors kunnen veel betekenen voor organisaties om ransomware-risico’s te mitigeren. Dit artikel geeft hiervoor een aantal handvatten en doet negen concrete aanbevelingen. Ransomware is een type malware die bestanden en systemen…

Gegevensbescherming in cloud-omgevingen: encryptie- en sleutelbeheer

(Publicatiedatum: 8 oktober 2021) De revolutionaire ontwikkeling van cloud computing zou een enorme mislukking worden zonder voldoende activiteiten in de sfeer van beveiliging en privacybescherming, zoals encryptie- en sleutelbeheer. [SHAH 14] Cloud service users (hierna ‘users’) en IT-auditors besteden daar niet altijd genoeg aandacht aan. Er is dan ook een grotere rol voor de IT-auditors…

Testen we nog general IT controls bij het toepassen data-analyse?

(Publicatiedatum: 4 oktober 2021) Van oudsher hechten we groot belang aan het testen van de general IT controls om tot een oordeel over de jaarrekening te komen. Dit artikel behandelt de vraag of dit nog wel altijd nodig is, gegeven de groeiende nadruk op datagedreven audits. Een datagedreven auditaanpak krijgt een steeds belangrijkere rol in…

Opinie: Het politieke spel van het verbergen van rechten

Spanningsvelden bij het oplossen van kritische rechten

(Publicatiedatum: 14 september 2021) Bedrijven met ERP-software bepalen aan de hand van functieprofielen welke rechten hun medewerkers krijgen. Daarbij moeten medewerkers niet te veel kritische rechten of combinaties van rechten krijgen die samen een functiescheidingsconflict opleveren: een segregation of duties (SoD)-conflict. Het verstrekken van deze rechten kan door de complexiteit van het systeem gemakkelijk doorschieten…

Column

De magie van het scherm

(Publicatiedatum: 14 september 2021) Deze week wordt onze kleindochter alweer één jaar. Het is ons eerste kleinkind en ja, alle clichés zijn waar. Door alle foto’s en filmpjes scrollend realiseer ik me weer dat een kind in het eerste jaar zo ontzettend veel ontwikkelingen doormaakt. Voordeel is wel dat we tegenwoordig bevoorrecht zijn omdat het…

De mens als sleutel tot effectieve informatiebeveiliging

(Publicatiedatum: 6 september 2021) Nagenoeg alle securityprofessionals zullen het beamen: de medewerkers vormen het grootste risico op security-incidenten voor de organisatie en daarmee is risicobewustzijn met betrekking tot informatie belangrijker dan ooit. Toch is security awareness vaak onderbelicht en tamelijk onvolwassen, en daardoor zijn de meeste security awareness-programma’s niet effectief. Sterker: de meeste securitystrategieën zijn…

Thinking outside-the-black-box

Algoritme en audit

(Publicatiedatum: 22 juli 2021) Sinds enkele jaren verschijnen regelmatig publicaties over algoritmes en audit. Er bestaat echter nog geen breed geaccepteerde en concrete aanpak voor deze categorie van audits. In dit artikel willen wij bijdragen aan de discussie op dit terrein door te delen hoe wij tot een algemeen bruikbaar raamwerk zijn gekomen. In de…

Blog

Een eigen manier van werken

(Publicatiedatum: 15 juli 2021) Een nieuwe collega gaat naar de IT-auditopleiding en wil ook zo snel mogelijk aan de slag. ‘Mag ik een keer met je mee met een interview?’, vraagt hij en dat is natuurlijk prima. Hij bereidt zich zorgvuldig voor en dat resulteert in een vragenlijst met ongeveer dertig vragen. We spreken de…

Van de redactie

Verandering op til

(Publicatiedatum: 10 juni 2021) Er gaat iets veranderen. De IT-Auditor stapt af van kwartaalpublicaties en gaat over op min of meer continu publiceren door het jaar heen. Ons publicatieritme komt daarmee meer in overeenstemming met de huidige tijd. Informatiestromen in de wereld waarin we leven zijn sneller geworden, en ook de IT-Auditor wil op dat…

Serieus nemen en serieus genomen worden

(Publicatiedatum: 10 juni 2021) Auditing is een ernstig beroep. Wat we doen als auditor is belangrijk, maar het is wel jammer dat door de nadruk op deze ernst er vaak niet veel te lachen valt. De vraag dringt zich op of we door toenemende professionalisering en het streven naar betere beheersing niet iets waardevols zijn…

Terugblik informatieve avond quantumcomputing

(Publicatiedatum: 10 juni 2021) Op 12 mei organiseerde de NOREA-regio Apeldoorn een avond over quantumcomputing. Maran van Heesch, scientific consultant bij TNO met een sterke focus op toegepaste cryptografie en quantumapplicaties, presenteerde het belang van kennis over quantumcomputing voor auditors. Nederland is een land dat de komende jaren sterk in quantumtechnologie gaat investeren en daarbij…

Dag uit het leven van

Zo maar een dinsdag in 2020

(Publicatiedatum: 10 juni 2021) 07.30 uur Toch een van de voordelen van het coronatijdperk en (thuis)werken: mijn iPhone maakt me pas om 07.30 wakker. Ik neem  uitgebreider dan in het pré-coronatijdperk de tijd om de krant door te nemen, in het besef dat me ook vandaag weer een half uur reistijd bespaard blijft. Opnieuw staat…

Boekbespreking

Epic Failures in DevSecOps – Volume 1

(Publicatiedatum: 10 juni 2021) Eerder bespraken we het boek ‘Agile secure software lifecycle management, secure by agile design’. Het hier besproken boek sluit daar mooi op aan, met een achttal verhalen over mislukkingen van epische allure bij het security aspect in agile ontwikkelingsprojecten. Auteurs Mark Miller et al. Titel Epic Failures in DevSecOps Uitgever en jaar van…

Column

It’s quite true! anno 2020

(Publicatiedatum: 10 juni 2021) (Vrij naar een sprookje van Hans Christian Andersen) De altijd netjes en geordende kip met witte veren en korte pootjes, die alle dagen haar voorgeschreven eieren legde, schikte met haar snavel haar veren toen ze op de stok ging zitten. Toen viel er een veertje. Wat ze niet wist, was dat…