image

IT-Auditverklaring gaat cyberweerbaarheid bedrijven beoordelen

donderdag 12 augustus 2021, 12:06 door Redactie, 6 reacties

Norea, de beroepsvereniging van IT-auditors, werkt aan een IT-Auditverklaring waarmee de cyberweerbaarheid van bedrijven kan worden beoordeeld, zo laat de organisatie via de eigen website weten. Die verklaring kan straks nodig zijn wanneer bedrijven bijvoorbeeld krediet bij een bank willen aanvragen.

"De bedoeling is dat de beoogde IT-auditverklaring assurance geeft bij een door de organisatie zelf opgesteld IT-verslag. Daarin kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen", aldus de Norea. Het IT-verslag zegt ook iets over de toekomstbestendigheid van de IT binnen een organisatie. Het zal naar verwachting daarmee bestaan uit generieke onderwerpen, zoals informatiebeveiliging en continuïteit, als sector specifieke onderwerpen.

Volgens de Norea hoeft de invoering van een IT-auditverklaring in de praktijk niet ingewikkeld te zijn, aangezien IT-auditor in de huidige situatie al deel uitmaken van het controleteam van de externe accountant. De beroepsvereniging voegt toe dat het rapporteren over IT van nationaal belang is, aangezien Nederland één van de meest gedigitaliseerde landen ter wereld is. "Het is daarom van nationaal belang dat al die informatietechnologie binnen organisaties foutloos werkt en blijft functioneren."

Wanneer de IT-Auditverklaring precies zal verschijnen laat Norea niet weten. Banken zien de verklaring wel zitten. "We sluiten niet uit dat de verklaring in de toekomst een voorwaarde wordt bij kredieten aan bedrijven die afhankelijk zijn van IT", zegt een woordvoerder van zakenbank NIBC tegenover het FD.

Reacties (6)
12-08-2021, 12:45 door Anoniem
Wanneer de IT-Auditverklaring precies zal verschijnen laat Norea niet weten. Banken zien de verklaring wel zitten. "We sluiten niet uit dat de verklaring in de toekomst een voorwaarde wordt bij kredieten aan bedrijven die afhankelijk zijn van IT", zegt een woordvoerder van zakenbank NIBC tegenover het FD.

Bijna ieder bedrijf is afhankelijk van IT. Wie gaat dit betalen? Leuk dat een IT-auditor al deel uitmaakt van het controleteam van de externe accountant, maar de IT controles die daarbij worden uitgevoerd zijn niet zo bijzonder veelzeggend. Ik ben bang dat dan meer controles worden uitgevoerd om een beter en realistischer beeld te vormen, met meer kosten tot gevolg. Worden die controles niet uitgevoerd, dan is de vraag hoe nuttig dat papiertje is. ISAE statements zijn te zwaar, maar "het ziet er allemaal wel aardig uit" natuurlijk te licht. Het zal touwtrekken worden om een juiste balans te vinden.
12-08-2021, 14:47 door Anoniem
Cybersecurity is in eerste plaats geen IT-uitdaging. Zou goed zijn als NOREA eerst verstand gaat krijgen van cybersecurity alvorens ze dit soort dingen gaat roepen. En waarom dit als we al 27001 hebben. Een nutteloze vertroebeling dit.
12-08-2021, 16:38 door Anoniem
Door Anoniem: Cybersecurity is in eerste plaats geen IT-uitdaging. Zou goed zijn als NOREA eerst verstand gaat krijgen van cybersecurity alvorens ze dit soort dingen gaat roepen. En waarom dit als we al 27001 hebben. Een nutteloze vertroebeling dit.

Eens hoor, maar ook die 27001 is vaak niet veel waard. Informatiebeveiliging hangt voor een belangrijk deel af van de cultuur van een organisatie en die toetsen we niet bij een 27001-certificering: hoe gedisciplineerd volgen we de richtlijnen, processen, procedures etc? Doen we aan afspraak = afspraak? Hoe consciëntieus zijn we in ons werk? De gemiddelde Nederlander (zeker de 'professional') wil graag wat vrijheid in zijn werk en kan zelf wel bepalen hoe het moet.... Helaas wordt dat cultuuraspect in geen enkele derdenverklaring meegenomen vanwege de vermeende subjectiviteit. Overigens denk ik dat je met de big5 best wetenschappelijk verantwoord kunt scoren op bepaalde karaktereigenschappen die je wilt terugzien in bepaalde (IT-/security)rollen.
13-08-2021, 00:31 door Anoniem
Laten we over een ding duidelijk zijn, de NOREA is er alleen maar voor zichzelf en de leden.

Daarnaast gaat assurance je niet helpen, je kunt morgen gecertificeerd zijn en overmorgen heb je een ransomware attack en ben je de sjaak. Totaal zinloze geldklopperij die niks gaat toevoegen.
13-08-2021, 08:40 door Anoniem
Wij hebben ISO27001, NEN7510, ISO9001, ISO14001 en een SOC2 Type 2 accountantsverklaring. Moet er nou weer een flutverklaring bij omdat een stel auditors hun inkomen terug ziet lopen? Dat de banken dit willen moge duidelijk zijn. Hoe meer kleine lettertjes om niet te hoeven betalen, hoe beter.
13-08-2021, 11:38 door Anoniem
De grote verwarring bij de reaguurders is dat ISO27k (en dus ook NEN7510) Test of Design verklaringen zijn, wat nodig is is een Test of Effectiveness van diezelfde design documenten. ToE kun je bijvoorbeeld in een SOC2 of een ISAE3402 statement zien. Je zult echter altijd de scope moeten controleren van zowel ISO27k als van de ToE documenten.

Daarom is wat NOREA voorstelt niet zo gek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.