OPINIE: Internal audit moeite met het verwerken van cybercrime bedreigingen

Vertrouwen op de technische specialist of de awareness acties van financials gaan cyber security risico’s niet meer voorkomen. Misschien is wel het moment gekomen om dergelijke risico’s te accepteren, maar wel in de tussentijd klaar te zijn om na het gevecht zo snel mogelijk weer operationeel te zijn met minimale schade.

mourningDe toenemende dreiging van cyber security risico’s zorgen dat bedrijven en instellingen steeds vaker een beroep doen op professionals die voorheen niet bekend stonden om hun rol in het voorkomen van cyber security dreigingen zoals bijvoorbeeld ook de Internal Auditor. De verwachting is  dat de nieuwe lichting internal auditors meer vaardigheden zullen bezitten op dit gebied. Maar wat zijn die vaardigheden dan en welke impact hebben ze?

Geschiedenis
Tot voor kort was cyber security een thema dat dominant beheerst werd door ICT security specialisten en IT Auditors. Maar de geschiedenis leert dat alléén het gevecht op het technische slagveld onvoldoende is en daardoor ook steeds meer als een niet effectieve strategie wordt gezien. Immers recente berichten uit de internationale media benadrukken dat de criminele technische mogelijkheden dusdanig vooruit lopen op de beschermingsmiddelen, dat weerbaarheid ook op andere niveaus moet worden georganiseerd. Hier spelen proces beheersing en cultuur inzicht een steeds meer dominante rol. Dit is bekend terrein voor de moderne internal auditor.

Link met Internal Audit
Natuurlijk maakt óók de internal auditor gebruik van technologie die hem bijvoorbeeld ondersteunt in het toezicht houden op transacties en vastlegging op dagelijkse basis. Deze zijn onderdeel van een efficiënte en kosten effectieve manier om deze informatie automatisch te analyseren, structureren en prioriteren.

Alleen vasthouden aan de ‘oude’ principes zoals Bestuurlijke Informatieverzorging van Starreveld gaat het niet meer redden. Immers de fundamenten (general controls) van de vertrouwensbasis van elektronische data zijn aangetast, kwaliteit en plausibiliteit van data staan ter discussie.

Uitdaging
Veel voorkomende aanvallen richten zich specifiek op geselecteerde individuen binnen of in vertrouwde relatie tot de organisaties waar de aanvaller op mikt (spear phishing). Middels speciale software (malware) wordt op kundige wijze de technische bescherming omzeilt om het doel te bereiken. Deze phishing of social engineering technieken zijn vaak gericht op het verkrijgen van de toegangsrechten of sensitieve informatie onder valse voorwendselen van de onfortuinlijke medewerker. De internal auditor begrijpt dat deze unieke uitdagingen ook specifieke preventie activiteiten vragen, die niet allemaal zijn gerelateerd aan techniek. 

Benodigde vaardigheden
Naast de technologische bescherming richt de internal auditor zich op de weerbaarheid (resilience) van de organisatie. Deze wordt via educatie en bewustwording programma’s geholpen risico’s tijdig (zelf) te onderkennen en, indien mogelijk, te mitigeren. De internal auditor legt hierbij ook de link met de betreffende stafafdelingen aan de ene kant en directie en audit committee aan de andere kant. De directie en audit committee spelen een essentiële rol bij het toezicht op de voorbereiding, en reactie op, cyber security dreigingen en de bijbehorende regelgevende en zakelijke ontwikkelingen. Deze vaardigheden van de internal auditor zijn nu essentieel om de weerbaarheid van organisaties te verhogen. Het gaat niet van zelf, het kost bloed, zweet en tranen maar zonder inspanning geen vooruitgang: Luctor et Emergo- (ik worstel en kom boven).

Ik roep internal auditors op om actief de verbinding te zoeken met andere disciplines om zijn of haar stempel te drukken op dit vakgebied.

Dit blog is oorspronkelijk geplaatst op E-Dialogue opgesteld door Marcel Woltjes, lid van de Advocacy Network van het IIA Nederland en Partner bij Orange Oaks . Het is een persoonlijke opinie van de schrijver en heeft niet direct betrekking op Orange Oaks.

Email: marcel.woltjes@orangeoaks.nl

Twitter: @Doclink