Het zoemt als een mantra door de organisatie…de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

De multinationals en gezondheidszorg zijn hier al jaren mee ‘belast’. Hetzelfde geldt voor de overheid. Ook is dit een steeds groter wordend onderwerp bij de lagere overheden; onder andere waterschappen en gemeenten.

Informatiebeveiliging (IB) is anno 2015 nog steeds een belangrijker thema in organisaties. In de tijd dat de maatschappij steeds meer transparantie eist, is het de taak van de auditor om zekerheid te geven hierover. Voor informatiebeveiliging geldt daarbij dat bedrijven voldoende maatregelen nemen om de gevoelige informatie te beschermen en de continuïteit te kunnen garanderen.

Informatiebeveiliging is geen IT-feestje

Vaak wordt gedacht dat informatiebeveiliging een IT-feest is en dat zij maar eens goed hun best moeten doen om het voor elkaar te krijgen. Niets is minder waar: de hele organisatie is erbij betrokken.

Natuurlijk heb je de ‘digitale wereld’ en dit is inderdaad het domein van de IT-afdeling. Hier moeten allemaal technische maatregelen genomen worden zodat de applicaties beschikbaar en integer blijven en de informatie vertrouwelijk blijft. Enkele voorbeelden van IB waar de IT-afdeling verantwoordelijk voor is:

• Configuratie van de firewalls
• Netwerkbeveiliging
• Het maken van back-ups
• Monitoring op cyberaanvallen (en het voorkomen hiervan)

Toch is ook de business hierbij betrokken, zij bepalen namelijk mee waar de prioriteit ligt en waar de grens ligt tussen beveiligingsmaatregelen en werkbaarheid. De business wil bijvoorbeeld dat een klant zijn eigen laptop aan kan sluiten op het netwerk. IT zorgt ervoor dat dit werkt, zonder dat de klant toegang heeft tot (gevoelige) bedrijfsinformatie.

Daarnaast bepaalt de business ook uiteindelijk voor een groot gedeelte of er prioriteit ligt bij het ontwikkelen van nieuwe functionaliteit of bij beveiligingsmaatregelen.

Toch wordt je als auditor vaak raar aangekeken als je aangeeft dat je graag zou willen spreken met een aantal applicatie-eigenaren. We weten natuurlijk allemaal dat deze zich vaak in de business bevinden. Toch?

De business is de organisator van het feestje

De IT-afdeling is de eregast, zij hebben namelijk de technische kennis om de informatiebeveiliging in de IT-systemen in te richten. Maar er zijn nog veel meer genodigden op het feestje, hopelijk zijn HR en Facilities ook uitgenodigd, net als de directie. Iedereen binnen de organisatie zou namelijk uitgenodigd (of vertegenwoordigd) moeten zijn. Informatiebeveiliging staat of valt met de betrokkenheid van het hele bedrijf.

Als ik als auditor een bedrijfspand inloop, zie ik bijvoorbeeld uitdagingen bij het (fysiek) binnenkomen van dit pand. Eerst langs de bewaking om een bezoekersbadge op te halen, vervolgens loop ik (alleen of onder begeleiding?) via overvolle kasten op de gang (vol met gevoelige informatie?), door gehorige gangen (waar ik gesprekken tussen collega’s opvang) naar de juiste vergaderkamer voor m’n afspraak. Onderweg denk ik:

• Ligt er nog papier op de printer?
• Had ik me bij de balie voor kunnen doen als iemand anders?
• Had ik überhaupt wel een badge nodig? Kon ik niet gewoon meelopen achter iemand aan?
• Kan ik op plekken komen waar ze liever niet willen dat ik kom?
• Zou het iemand opvallen als ik hier ga zitten werken achter een bureau?
• Als het ze opvalt, zou iemand me dan aanspreken?

Zolang de auditor maar niet de eregast is…

Zoals ik al benoemde, voor wie zorg je dat de informatiebeveiliging op orde is. Toch niet voor de auditor hè? Het laatste wat je als organisatie zou moeten willen, is de auditor proberen om de tuin te leiden en mooi weer spelen. Ja, de audit zou dan goed kunnen aflopen en dan ben je er mooi weer voor een jaar vanaf. Ook heb je dan een hoop schijnveiligheid. Het is echter behoorlijk dramatisch als je bedrijfsnaam op de spreekwoordelijke ‘voorpagina van de Telegraaf’ komt bij een securitybreach die voorkomen had kunnen worden.
Dus, hoe belangrijk vinden we informatiebeveiliging eigenlijk met z’n allen binnen het bedrijf?

(oorspronkelijk gepubliceerd op: http://www.inspearit.nl/nl/blogs/oh-nee-de-auditor-komt-langs/)