0318-830376 info@docco.nl

security_slider

Als professionele organisatie hoor je je informatiebeveiliging op orde te hebben. Daar hoort de praktische vraag bij welke maatregelen je in dat geval neemt, om ervoor te zorgen dat die informatiebeveiliging op het gewenste niveau is, komt én blijft. De toegevoegde waarde van de accountant richting zijn MKB-klant lijkt in ieder geval in de hoek van IT general controls te liggen. Dit was een van de rode draden van het allereerste event van Docco op 12 december jl. Spreker Marcel Westerhoud trapte af met een presentatie over informatiebeveiliging als asset, Gideon Folkers koppelde het thema informatiebeveiliging aan dienstverlening en Tom van Bolhuis zoomde in zijn verhaal dieper in op de rol van medewerkers rond dit thema.

Marcel Westerhoud betrok het publiek in de zaal gelijk bij zijn verhaal. ‘Hoe ga je zelf om met informatiebeveiliging? Welke maatregelen neem je en heb je ook enig idee van de kosten die hiermee gemoeid zijn?’ Dat bleek een lastige vraag. Er zijn in ieder geval diverse niveaus waarop je kunt nadenken over informatiebeveiliging en daar horen ook specifieke maatregelen bij. Elke onderneming heeft een soort basishygiëne; er zijn firewalls geïnstalleerd, data worden al dan niet opgeslagen in de cloud, enz. Organisatorisch betekent dit bijvoorbeeld dat je nooit je laptop in je auto mag laten liggen en dat changemanagement adequaat geregeld hoort te zijn. Maar het gaat bijvoorbeeld ook om het afsluiten van deuren/lades tijdens pauzes en buiten kantooruren, wachtwoordenbeleid, enz.

Focus op technisch gedreven maatregelen

Westerhoud: ‘Wat je in de praktijk veel ziet, is dat men in eerste instantie sterk neigt naar zeer technisch gedreven maatregelen. Er wordt bijvoorbeeld een nieuwe firewall geïnstalleerd. Maar misschien is het wel veel zinniger om te kijken hoe de medewerkers omgaan met beveiligingsmaatregelen rond de systemen. De link naar de business wordt ook nog wel eens uit het oog verloren bij informatiebeveiliging. En ook op het beruchte ‘silodenken’ moet men alert zijn; de interactiviteit van maatregelen ontbreekt dikwijls. Uiteindelijk bepaalt het menselijk gedrag of een maatregel werkt.’ Hij vervolgt: ‘Je moet ook anders leren kijken: oplossingen zijn vaak preventief van aard, maar misschien is het wel veel effectiever/goedkoper om te focussen op detectie. Bij een maatregel moet je steevast denken: doet die maatregel nu eigenlijk wel wat-ie zou moeten doen?’ Dit illustreerde Westerhoud aan de hand van de rem bij een auto. ‘Je hebt pas een rem nodig als je een auto hebt die harder kan dan 200 km/uur. Het achterliggende idee is dus dat je een rem nodig hebt om zo hard te kunnen rijden. Accountants kijken vaak naar de processen, maar soms is het beter om toch nog even op een iets hoger niveau te kijken naar de ‘rem’ die erop zit. Je bent niet op aarde om naar het proces te kijken, maar om het proces te laten werken voor de business!’

IT bij de klant

‘In het MKB ontbreekt het vaak aan goede beheersing van IT-processen’, vervolgde Gideon Folkers als tweede spreker. ‘Hoe kunnen we als accountant onze MKB-klanten hier nu mee helpen? Dat we er iets mee moeten doen, staat buiten kijf, want informatiebeveiliging is hoe dan ook hot. Kijk maar naar de recente Ddos-aanvallen en Facebook dat begin december 318.000 gestolen wachtwoorden moest resetten, die waren gekaapt door een in Nederland aangestuurd botnet. Wat je daarbij ook ziet, is dat MKB- bedrijven zich steeds meer richten op online dienstverlening. En medewerkers willen van buitenaf kunnen inloggen op het bedrijfsnetwerk, nemen hun eigen mobiele apparatuur mee, etc. Informatiebeveiliging is daarbij duidelijk een issue.’

Integriteit data

Folkers: ‘De integriteit van de data speelt hierbij een belangrijke rol; de data die wij gebruiken voor jaarrekeningen moeten juist, tijdig en betrouwbaar zijn. Vanuit procesbeheersing kunnen we onze klanten ook helpen door van digitale data informatie te maken. Maar: hoe weten we dat alles wat in het dashboard bij de klant terechtkomt tot stand gekomen is op basis van integere data? Je zult je als accountant moeten kunnen uitspreken over de kwaliteit en de continuïteit van de geautomatiseerde gegevensverwerking.’ Vervolgens wees Folkers nog even op de manier waarop er nu veel gewerkt wordt: ‘We hebben veel klantdata ter beschikking, maar waar staan die allemaal? Ze gaan ook mee op een usb-stick, naar Dropbox of worden soms verstuurd via WeTransfer. Dat zijn wel zaken waar wij als accountantskantoor heel goed over na moeten denken. MKB-ondernemers leggen dit bovendien vaak bij een systeembeheerder neer, terwijl ze zelf enorm afhankelijk zijn van de integriteit van de data! Bovendien, die systeembeheerder heeft doorgaans beduidend minder oog voor de rol van de mens in het hele proces. Daar zie ik duidelijk een rol voor de accountant.’

Toegevoegde waarde

Gideon Folkers: ‘Binnen de IT-omgeving moet we ons wenden tot IT general controls en application controls, waarbij we als accountant vooral heel goed moeten kijken naar de samenhang tussen de business en IT. De toegevoegde waarde van de accountant ligt mijns inziens in de hoek van de IT general controls; dat richt zich op procesbeheersing en betrouwbaarheid van de gegevensverwerking. Daar moet je als accountant wat zinnigs over kunnen zeggen. Bij IT general controls denk je ook aan zaken als IT-beleid, toegangsbeveiliging, changemanagement, fysieke en logische toegangsbeveiliging, enz.

Je moet voor je klant inzichtelijk maken dat er op verschillende niveaus toegang mogelijk is tot dezelfde gegevens. Je klant realiseert zich vaak niet bewust (genoeg) dat dit zo werkt en dat kun je uitstekend met hem bespreken in een ‘matrixgesprek’. Kortom, het gaat erom dat jij als accountant je klant bewust maakt van de beveiligingsrisico’s. Je kunt hem een risicoanalyse aanbieden, samen met hem kijken naar herinrichting van functiescheidingen in IT-systemen, maar denk ook aan actieve bemoeienis met het mappen van de bedrijfsprocessen naar IT-systemen, met het doel deze systemen te optimaliseren. Voor de AA-accountant zitten de advieskansen juist in procesoptimalisatie. Bovendien, als je de processen niet heel goed snapt, kun je deze ook niet goed controleren.’

De factor mens

Tom van Bolhuis trad vervolgens aan als laatste spreker. Ook hij benadrukte in zijn verhaal nog eens heel expliciet dat de factor mens by far de belangrijkste factor is als het gaat om informatiebeveiliging. Van Bolhuis: ‘We moeten niet de illusie hebben dat onze gegevens ‘wel veilig’ zijn. Denk maar aan slingerende usb-sticks die ongewild bij anderen terechtkomen, dossiers die per ongeluk terechtkomen bij het oudpapier. Als medewerkers slordig omgaan met bedrijfsinformatie, moet je aansturen op bewuste gedragsverandering. Dat lukt je alleen door de omgeving aan te passen. Voorbeeld: een goed wachtwoordsysteem moet je afdwingen. Bezie de zaken daarbij vanuit het juiste perspectief. Als iemands laptop uit zijn auto gestolen wordt is dat uiteraard heel vervelend en levert dat schade op, maar die schade valt naar verhouding dus mee als de gestolen laptop beveiligd is met een sterk wachtwoord. De realiteit is dat het delen van wachtwoorden bij heel veel bedrijven gebeurt en per jaar blijven er 2600 mobiele telefoons (al dan niet beveiligd) liggen in Nederlandse treinen.

Veel indruk maakte het filmpje dat Van Bolhuis liet zien aan het begin van zijn presentatie. Dit maakte heel ondubbelzinnig duidelijk hoe gehaaid men bij social engineering te werk gaat. Hij waarschuwde dan ook: ‘Pas op met social media; Facebook is munitie voor de social engineer. Die wil specifieke informatie over je bedrijf en probeert een vertrouwensrelatie met je op te bouwen. Wees daarom alert op wat je deelt en wat de risico’s zijn. Aan de andere kant geldt natuurlijk nog steeds dat je ook geen vertrouwelijke informatie op de printer moet laten liggen.’

Download de presentaties van het event over informatiebeveiliging

Test uw eigen kantoor en ontdek hoe uw informatiebeveiligingsvraagstukken opgelost kunnen worden:

bewustkantoor_nieuw_klein_turkoois

Share This