IT & Operations

‘Realiteitszin is belangrijk voor IT Auditors’

4 juni 2018
Transformation

Digitalisering is in de opleidingen van TIAS een belangrijk terugkerend thema. Zo ook in de opleiding IT Auditing. Docent Robbert Kramer geeft de deelnemers inzicht in IT en IT Auditing. 

‘Ik geef college over bouwstenen van infrastructuur, Unix besturingssysteem en het Microsoft Windows besturingssysteem. Ik geef de deelnemers daarbij veel voorbeelden uit de praktijk. Veel IT auditors hebben nooit Unix-audits uitgevoerd dus bevat het college cases waarbij geoefend kan worden met de theorie.Windows-audits komen al iets vaker voor in het kader van de jaarrekeningcontrole. Toch is dat geen diepteonderzoek. Waar we daarom op ingaan tijdens het college is hoe je diepteonderzoeken kan doen en met welke scope. Daarnaast worden kleine omgevingen maar ook grote omgevingen met wel vijfhonderd of duizend servers behandeld. Welke tool kun je daarvoor gebruiken zonder dat je iedere server afzonderlijk hoeft na te lopen? Realiteitszin is belangrijk voor IT auditors. Het moet niet te theoretisch zijn, want dan krijgen ze een vinklijstje en weten ze niet hoe het in de praktijk eraan toegaat.’

Hoe anticiperen organisaties op de snelle veranderingen van technologieën (robotisering, internet of things)? En wat is daarvan het belang voor het toekomstige onderwijs?

‘Onlangs sprak ik met iemand over een baseline, een document hoe je een bepaalde server moet inrichten. We bespraken versie 6.0, terwijl versie 6.5 al ontwikkeld is. We weten nu al dat wat we uitrollen oude techniek is. Niet heel oud, dus het is niet heel erg. In de veranderende wereld zien we dat bedrijven steeds kortcyclischer kunnen en moeten uitrollen. Er zijn steeds meer technieken waardoor dat kan. Ieder halfjaar kan een bedrijf al gauw uitrollen. Steeds meer producten werken niet meer echt met versies, alles wordt onderwater geüpdatet. Dat zie je terug in de hele IT-infrastructuur. Het wordt dynamischer en het aantal technieken neemt toe, zo heb je ooit een chip op een pak melk zodat je weet waar die staat, hoe lang die nog houdbaar is en wat de temperatuur is en is geweest. 

In de collegezaal is het niet per se belangrijk om te vertellen hoe je iets doet, maar eerder wat je ermee kunt. Een besturingssysteem heeft een universele functie. Het ‘hoe’ verandert, het ‘wat’ niet. Waarom een besturingssysteem nodig is, is nog meer universeel. Dat kan pas veranderen als je hele andere soorten computers krijgt, misschien in de toekomst met kwantumcomputers. De systeemarchitectuur van Von Neumann staat nog steeds overeind, en dat al sinds 1945. Deelnemers vinden zelf informatie, het is echt niet meer nodig om alles klassikaal uit te leggen. Je bent veel meer een begeleider, een coach. Wat staat er en hoe moet je het lezen, onderzoeken en analyseren, meer dan pure rauwe kennis.
Er vindt een verschuiving plaats van de klassieke auditor die allerlei processen doorneemt en gedragingen bekijkt, naar een wat meer toetsend karakter. Daarnaast ook een verschuiving van preventieve securitymaatregelen naar detectieve en repressieve. Dat biedt namelijk vaak meer bescherming tegen lage kosten. ’

Wat zijn de gevolgen voor werkzaamheden met de komst van de nieuwe Privacy Act?

‘De gevolgen zijn dat aan de ene kant in het IT-systeem, de omgeving en het landschap fijnmaziger grip moet worden verkregen op data. Nu is het vaak zo dat er met afdelingshares wordt gewerkt waar mensen op dezelfde manier bij kunnen terwijl ze er niet op dezelfde manier bij hoeven te komen. De IT-afdeling zal met meer rollen en autorisatierollen moeten gaan werken. Meer moeten afschermen op files en databases. Daarnaast zal de business zich meer moeten gaan afvragen waarom je bepaalde data opslaat. De data moet er immers zijn met een doel. Je kunt van iemand zijn adres opslaan, maar als dat niet nodig is, waarom zou je dat dan doen? De nieuwe wet betekent dat IT security en compliance naar de business gaan om te zeggen wat sla je op en waarom. Het moet fijnmaziger en het doel van de data moet bekend zijn.

Executive Master of IT-Auditing

De Executive Master of IT-Auditing is een deeltijd opleiding voor IT-auditing professionals die op de hoogte willen zijn van de nieuwste IT-ontwikkelingen en regelgeving en een IT-audit willen leren uitvoeren van acquisitie tot rapportage en toelichting.

Lees meer over deze master

Relevante Artikelen