Klantcase


Lucas Vousten, Partner bij Joanknecht & Van Zelst

‘Je moet laten zien hoe je IT-security hebt geregeld’

Of je nu wilt aantonen dat je als een ‘goed huisvader’ omgaat met de data van je klanten, of dat de DigiD-inlog op je webportaal betrouwbaar is, als onderneming krijg je steeds vaker te maken met IT-audits. Een gunstige ontwikkeling, vindt registeraccountant en IT-auditor Lucas Vousten van Joanknecht & Van Zelst. Hij is partner en met zijn IT-expertise betrokken bij de Assurance-praktijk. “Bij organisaties die echt iets doen met de opmerkingen van een IT-auditor zie je de volwassenheid op het gebied van informatiebeveiliging toenemen. Ze worden zich bewuster van security.”

Het belang van IT-audit komt eigenlijk voort uit de controle van de jaarrekening. “Je hebt te maken met een ‘object’ – oftewel een jaarrekening – waar een handtekening van een accountant onder staat”, legt Lucas Vousten uit. “Maar dat object komt uit systemen waarvan je de zekerheid wilt hebben dat die betrouwbaar werken. Als een onbevoegd persoon rechtstreeks toegang heeft tot de database, zijn die data niet meer betrouwbaar. Zelfs niet als die onbevoegde persoon geen misbruik heeft gemaakt van die toegangsrechten, want ik kan niet met zekerheid zeggen dat dat niet is gebeurd.”

Transparantie
“In het kader van onze accountantscontrole moeten we weten of we gebruik kunnen maken van de beschikbare data”, constateert Vousten. “Dat kan alleen door verslag te doen van de IT en daar transparant over te zijn. Transparantie wordt ook steeds vaker gevraagd. Als leverancier of partner moet je laten zien hoe je je IT-security hebt geregeld.”

Als voorbeeld haalt Vousten de hack bij chipmachinefabrikant ASML aan die in februari van dit jaar breed werd uitgemeten in de pers. “Hoewel het niet eens duidelijk is of Chinezen iets hebben meegenomen – en of het wel Chinezen waren – is de impact van een dergelijke hack echt enorm. Bedrijven zoals ASML gaan van hun toeleveranciers eisen dat ze voldoen aan een set beveiligingsmaatregelen om überhaupt zaken te kunnen doen. Dat gaat gebeuren, nog los van de nieuwe wetgeving die eraan zit te komen. Want als groot bedrijf wil je niet dat een toeleverancier als achterdeur kan worden gebruikt om bij je binnen te komen.''

Hetzelfde geldt volgens Vousten voor serviceproviders aan wie IT-processen worden uitbesteed. “Klanten gaan aan hun dienstenleverancier vragen hoe ze hun zaken hebben geregeld en of ze ‘in control’ zijn over de werkzaamheden die worden uitbesteed. Een dienstverlener kan aantonen dat hij ‘in control’ is met een ISAE3402-verklaring (de internationale standaard voor uitbesteding, red.). Zo’n verklaring hebben we ook aan Motiv afgegeven. Motiv kan deze verstrekken aan al zijn klanten die IT-processen toevertrouwen aan Motiv. Maar als je in zee gaat met een leverancier die een ISAE-verklaring kan overleggen, ontslaat je dat niet van je eigen verantwoordelijkheid over de gegevens van jouw klanten”, waarschuwt Vousten.

DigiD-audit
Ook instanties zoals verzekeraars, zorginstellingen en overheidsorganen met een webportaal met een DigiD-inlogmogelijkheid, moeten jaarlijks een correcte werking van de ‘DigiD-koppeling’ aantonen met een IT-audit. Tijdens deze audit wordt beoordeeld of de koppeling voldoet aan de 28 normen die overheidsinstantie Logius verplicht stelt. Deze normen zijn ontleend aan de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum (NCSC). “Na de audit volgt een rapportage. Daarin staat aan welke normen de koppeling voldoet en aan welke niet”, legt Vousten uit. “Als de koppeling niet op alle punten voldoet, brengt Logius een advies uit. De instelling moet vervolgens de verbeteringen doorvoeren waarna een nieuwe audit plaatsvindt. Als de koppeling op een groot aantal punten niet voldoet, kan een afsluiting van de koppeling het gevolg zijn en daarmee de continuïteit van de business in gevaar komen.”

Motiv voert de penetratietesten uit die deel uitmaken van de DigiD-assessments, vertelt Vousten. “Dat gaat voor ons te veel de diepte in. Wel hebben wij zelf de technische kennis om de uitkomsten van een penetratietest te beoordelen. Ook houden we de procedures tijdens een audit tegen het licht, zoals het toekennen van rechten in bepaalde omgevingen. Een IT-audit richt zich niet alleen op de technische beveiligingsmaatregelen, maar ook op de organisatie en de procedures die zijn ingericht om informatie te beveiligen.”

Bewuster van security
Een groot deel van de instanties met een webportaal met DigiD-inlog liet begin 2014 voor het eerst een DigiD-assessment uitvoeren. Als we Vousten in maart van dit jaar spreken bij Joanknecht & Van Zelst op kantoor in Eindhoven is de ‘tweede ronde’ DigiD-assessments in volle gang. “Wat we ook bij reguliere audits zien, is dat organisaties die daadwerkelijk iets doen met de opmerkingen van een IT-auditor volwassen worden in hun doen en laten. Ze worden zich bewuster van hun IT-security.”

Dat bewustzijn zal volgens Vousten nog verder toenemen als nieuwe wetgeving – zoals de Meldplicht datalekken – van kracht wordt. “De wetgeving dwingt organisaties om nog beter op de hoogte te zijn van wat er zich in de ‘boze buitenwereld’ afspeelt. Al heb je al het mogelijke gedaan, een inbraak voorkom je niet. Met een shovel komen criminelen altijd binnen. Dan is het zaak dat je goede monitoring op je systemen hebt en dat je snel en adequaat kunt reageren en rapporteren richting de betrokken instanties.”

“Bij veel kleinere ondernemingen is er nu nog helemaal geen securitybewustzijn, zeker niet op boardniveau”, besluit Vousten. “Maar deze ondernemingen zijn wel bestuurlijk aansprakelijk als de beveiliging van persoonsgegevens werkelijk slecht is geregeld. De echt grote ondernemingen zullen de eersten zijn die op basis van de Meldplicht datalekken boetes krijgen opgelegd, maar ook webshops die niet genoeg hebben gedaan om gegevens te beschermen zullen boetes krijgen. Daar ben ik van overtuigd.”


Lees meer over