A Framework for Voluntary Reporting

IT Sustainability Indicators for the IT Industry

Reporting on IT sustainability is not mandatory under the accounting regulations. This means that companies that do report on IT sustainability, do so voluntarily. It is not obvious how this reporting can be done, because there appear to be no worldwide practical guidelines available in this area. For example, the Global Reporting Initiative (GRI), the…

A design model for a Security Operations Centre (SOC)

Owning a SOC is an important status symbol for many organizations. Although the concept of a ‘SOC’ can be considered a hype, only a few of them are actually effective in counteracting cybercrime and IT abuse. A literature review reveals that there is no standard framework available and no clear scope or vision on SOCs….

In memoriam

In goede herinnering aan Gert van der Pijl

Op 2 maart 2015 is onze hoofdredacteur Gert van der Pijl overleden. Hij was al enige maanden ernstig ziek – kon zijn overlijden dan toch onverwacht zijn? Ja, bij Gert van der Pijl was dat het geval. Dat heeft alles te maken met de manier waarop hij omging met het leven tijdens zijn laatste maanden…

Cybersecurity in de boardroom

Wat beweegt bestuur en commissarissen?

Bedrijven worden steeds meer informatie- en ICT-gedreven. Dit betekent dat raden van bestuur en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die wij als IT-auditors hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate wij als beroepsgroep meer in staat zijn…

Beheersen en controleren

Cybersecurityrisico’s medische apparatuur

Sinds het rapport van de Amerikaanse ‘Government Accountability Office’ (GAO) over het hacken van medische apparatuur is er steeds meer aandacht voor kwetsbare apparatuur. [GAO12] Met de meest recente waarschuwingen over de hackbaarheid van medische apparatuur door Scott Erven en het SANS-Norse-instituut in gedachten, verkennen wij in dit artikel de mogelijkheden die een ziekenhuis heeft…

De mogelijkheden van IT en IT-audit in de mkb-jaarrekeningcontrole

IT in het mkb: wat moet je ermee?

Dit artikel is gebaseerd op het gelijknamige afstudeerreferaat van de auteur uit januari 2013 over de mogelijkheden om bij de mkb-jaarrekeningcontrole gebruik te maken van IT en IT-audit. Het blijkt dat dit vaak beperkt mogelijk is, omdat de accountant de IT-omgeving in het mkb als weinig volwassen inschat. Verder blijkt dat als die mogelijkheden er…

Kenniskloof IT-auditor dichten

Sinds begin 2014 vorm ik samen met een aantal collega’s de sectie IT-Audit binnen het Joint IV Commando (JIVC), de leverancier van IV-producten en diensten van het ministerie van Defensie. Voor de meeste teamleden is het een nieuwe uitdaging binnen de organisatie en voor een aantal ervaren auditors hun eerste baan bij Defensie. In een…

Governance is Mensenwerk

Het al of niet failliete Three Lines of Defence-model houdt de gemoederen flink bezig. De knuppel die Leen Paape in december 2013 in het hoenderhok gooide, leidde tot de nodige reacties in de vakpers en wakkerde ook de interne discussies bij financiële instellingen aan. [PAAP13] Achmea gebruikt dit model en ja, ook Achmea kent toch…

Veranderkundige inzichten voor de IT-auditor

Zachte factoren van business-IT alignment

Business-IT alignment is een auditobject dat zich lastig laat onderzoeken [KROL09]. Dit komt doordat alignment voor een belangrijk deel wordt bepaald door ‘zachte’, sociale factoren zoals communicatie, samenwerking en onderling vertrouwen. En dat is niet altijd eenvoudig te meten en te beoordelen. Lastig dus voor een auditor, of toch niet? Wij hebben in het kader…

Digitale beveiliging van industrial control systems

Industrial control systems besturen installaties en apparaten in de fysieke wereld. Vitale maatschappelijke functies zoals de energie- en drinkwatervoorziening, waterwerken en de verkeersinfrastructuur zijn afhankelijk van de goede werking ervan. En ook veel andere organisaties kunnen niet zonder goed functionerende industrial control systems. Denk bijvoorbeeld aan besturing van productieprocessen, toegangsbeveiliging en signaleringssystemen. Volgens het Nationaal…

Integrated Security Assessment

Dat informatiebeveiliging steeds meer aandacht krijgt binnen het publieke en private domein hoeven wij niet nader toe te lichten. In een tijd van toenemende eisen vanuit compliance en dreigingen vanuit ‘cybercrime’ is dit ook geen overbodige luxe. Desondanks zien wij dat beveiligingsmaatregelen hopeloos achterblijven bij de zich steeds verder ontwikkelende dreigingen. Uit de meest recente…