IT-auditor, denk na over business case van aanvaller

Als het gaat om cybersecurity is voldoen aan compliance-eisen niet genoeg, de praktijk leert dat van een 100-procent beveiliging niet kan worden uitgegaan. Naast het afvinken of compliance-eisen genoeg dichtgetimmerd zijn, moet een IT-auditor nadenken over de daadwerkelijke risico’s en in het bijzonder de business case van een eventuele aanvaller.

Beeld: © Nationale Beeldbank

Dat zegt Peter Kornelisse, ‎risk & compliance, corporate security bij Booking.com en docent aan het TIAS Executive Master of IT-Auditing. De afgelopen jaren is er meer aandacht voor het onderwerp cybersecurity in de TIAS-opleiding.

“Natuurlijk moeten IT-auditors controleren of bedrijven voldoen aan de compliance-regels. Maar daarnaast is het belangrijk dat het dreigingsrisico wordt geanalyseerd”, zegt Kornelisse. Vragen die dan beantwoord moeten worden: hoe monitort een bedrijf wat er gebeurt op het systeem, hoe wordt een aanval herkent en wat gebeurt er als een aanvaller binnen is. “Dus nadenken over de business case van een eventuele aanvaller. Wat heeft hij aan de data van het bedrijf? Hoe kan hij het makkelijkst aan deze data komen.” Dat kan in de praktijk betekenen dat systemen niet 100 procent worden dichtgetimmerd, want als het geen profijt heeft om van een gat gebruik te maken dan zal een aanvaller dat toch niet doen. Kornelisse: “Beveiliging wordt effectiever, het richt zich op de risico’s die er echt toe doen.”

Kornelisse merkt dat door de toenemende digitalisering IT steeds belangrijker wordt. “Data breaches steeds vaker aan de orde. Daarnaast heeft de regering onlangs een wet aangenomen waardoor bedrijven de plicht hebben om dataverlies te melden. Om al die redenen is cybersecurity een topic geworden dat in de boardroom wordt besproken.”

Kill chain

Om hierop goed voorbereid te zijn is het, aldus Martijn Dekker, CISO bij ABN Amro en ook docent aan TIAS, van belang te beseffen dat de effectiviteit van een cybersecurityframework wordt bepaald door drie factoren: de dekkingsgraad van de attack surface, de mate van verstoring van de kill chain, en de mate waarin het de business case van de aanvaller teniet doet.

Door het toenemende belang van cybersecurity is het een specifiek aandachtspunt in de opleiding van TIAS. “In het vijfde blok wordt er aandacht besteed aan het onderwerp. We gaan in op de verschillende aspecten, namelijk techniek, processen, organisatie en cultuur.” Vaak focust een IT-auditor op de processen en organisatie, merkt Kornelisse. “Maar de mate van bewustzijn van beveiliging – de cultuur – is een belangrijk aspect. En ook de techniek wordt steeds belangrijker door de toenemende digitalisering. Hoe meer een IT-auditor van de technologie weet, hoe beter de vragen zijn die hij stelt.”

Daarnaast is Rob Fijneman, academic director van de TIAS Master of IT-auditing en Head of Advisory en lid van de Raad van Bestuur van KPMG nauw betrokken bij een initiatief om cybersecurity bij bedrijven te verbeteren. Het initiatief van KPMG in samenwerking met Microsoft en Shell bundelt kennis en ervaring in een onderzoek naar een fundamenteel andere aanpak van cybersecurity. Fijneman: “Wij achten het van belang dat bedrijven onderling meer kennis delen en dat er gericht wordt samengewerkt aan beter kennismanagement over de online dreigingen en incidenten. Zodat cybersecurity een volwaardig onderdeel wordt van het Risk Management Framework van bedrijven, dat is het op dit moment niet.”

Op 4 september organiseert TIAS een bijeenkomst voor deelnemers en alumni van de Executive Master of IT-Auditing. Martijn Dekker en Peter Kornelisse spreken tijdens dit evenement. Voor meer informatie of aanmeldingen, zie www.tias.edu.