Meldplicht datalekken

Angst is slechte raadgever

De nieuwe meldplicht datalekken doet veel stof opwaaien en mediaberichten zaaien angst over de ingrijpende gevolgen van datalekken, zoals forse boetes en negatieve publiciteit. Dat is begrijpelijk, maar angst leidt waarschijnlijk niet tot een meer zorgvuldige omgang met persoonsgegevens. Organisaties moeten geen beleid op dat punt ontwikkelen omdat het moet, maar omdat het ertoe doet…

WWWaar is de IT-auditor?

Het belang van websites en met name webshops blijft groeien. Maar hoe zorg je ervoor dat websites veilig zijn en voldoen aan relevante wet- en regelgeving? Dit artikel wil vanuit deze vraag een bijdrage leveren aan de bewustwording van de compliance- en beveiligingsrisico’s die websites met zich meebrengen. Het aantal websites en met name webshops…

Overleefd door je bedrijfsparaplu?

Wanneer ik (Wim) op vakantie ben, heb ik altijd een aantal bedrijfsparaplu’s bij me. Ze liggen achterin mijn auto en als Buienradar zwaar weer voorspelt, leg ik ze voor de zekerheid in de voortent. Toen ik ze in de afgelopen vakantie uit mijn kofferbak pakte, viel mijn oog op de bedrijfslogo’s op die paraplu’s. Ik…

Interview with Klaus Kursawe

Smart grid requires smart auditors

Klaus Kursawe is director Research and Development of European Network for Cyber Security. He started his career in the field of security at IBM Zurich, where he received his PhD for research into secure distributed systems. After obtaining his PhD, Klaus started working at the University of Leuven. After two years of research primarily in…

Effect creëren in de boardroom

The next level: effect bereiken

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de…

A Vision on Risk-Oriented Education for Information Security Experts

Reducing System Language and System Thinking in 2020

Management and executives must make decisions based on real risks affecting the mission and business processes of their user organization. Therefore, they must solicit advice from their risk experts, such as risk managers and IT auditors. However, the experts are bogged down with details at a (very) low operational level and may not fully understand…

Mapping van twee frameworks

BiSL en COBIT

Voor veel organisaties is de sturing op de informatievoorziening lastig. Stakeholders stellen steeds duidelijker kritische vragen over de besturing en beheersing van de informatievoorziening. Organisaties moeten kunnen aantonen ‘in control’ te zijn over hun informatievoorziening. Het BiSL-framework is een belangrijk hulpmiddel voor het op een overzichtelijke wijze inrichten van functioneel beheer- en informatiemanagementprocessen. Het COBIT…

Je bent je eigen interviewinstrument

Interviewen: een vak apart

Om informatie te verzamelen kan een auditor gebruikmaken van interviews. Een interviewer kent het belang van goed luisteren, samenvatten en doorvragen. Om een goed interviewresultaat te bereiken, is de interviewer zich bewust van het eigen gedrag en de relatie met de geïnterviewde. Dat is de theorie; in de dagelijkse praktijk is de effectiviteit nog een…

Interview met Michiel Steltman

Hosting sector, essentieel onderdeel van de vitale infrastructuur

Michiel Steltman is directeur van de Dutch Hosting Providers Association (DHPA). In die hoedanigheid vertegenwoordigt hij de leidende Nederlandse hosting providers naar overheid, media en publiek. Hij maakt zich sterk voor het project ‘Veilige verbindingen’ en heeft ook nog een boodschap voor IT-auditors. We spreken hem op het kantoor van de DHPA in Leidschendam waar…

Stemmen op papier, hartstikke ouderwets?

De gevaren van internetstemmen ontrafeld

Internetstemmen: de politiek schreeuwt erom, expats verwachten het en de meeste kiezers begrijpen ook niet meer waarom er nog steeds met het rode potlood gestemd wordt. Er worden fouten gemaakt met tellen (zie Alphen aan den Rijn [NU13]), de uitslag komt vaak pas na middernacht en bovenal moeten de ruim 700.000 Nederlanders die in het…

Continue verbetering door samenwerking tussen de Lines of Defense

Information security bij Heineken

Heineken is in de laatste jaren explosief gegroeid door verschillende grote acquisities, zoals Brau Union in Oost-Europa (2003), Scottish & Newcastle in het Verenigd Koninkrijk (2008), FEMSA in Mexico en Brazilië (2010) en Asia Pacific Breweries in Azië (2012), zie figuur 1. Deze acquisities hebben het bedrijf in korte tijd veranderd in een wereldspeler die…

Nederlandse handreiking voor SOC 2 komt eraan!

Auditors krijgen steeds vaker opdrachten om assurancerapporten uit te brengen over de interne controle van IT-serviceorganisaties. In de Verenigde Staten is hiervoor in 2012 een handreiking gelanceerd: SOC 2. Het is de concretisering van ISAE 3402 (in Amerika geïmplementeerd onder de naam SOC 1) gericht op IT-serviceorganisaties. NOREA haakt hierop in en schept duidelijkheid hoe…