Binnen Internal Audit is er veel aandacht voor financiën en management processen. De aandacht voor informatiebeveiliging blijft nog wel eens achter. Terwijl er juist winst te behalen is, als ook Internal Audit zich dit domein eigen maakt.
Complex
Informatiebeveiliging wordt nog wel eens als complex ervaren. Dat is op zich te verklaren, want het is een onderwerp dat veel afdelingen in de organisatie raakt. Het strekt zich uit van IT tot P&O, en van facilitair tot lijnafdelingen. En ook daarbuiten, richting leveranciers.
Dan hebben we ook nog de verschillende normenkaders, zoals de ISO27001 (de standaard voor informatiebeveiliging). En de aanpak vanuit beheersmaatregelen: van (IT-)general controls tot user controls. En als laatste de vraag in welke line (of Defense) je de werkzaamheden belegt. Kortom, het wordt al snel een hele puzzel.
Ontrafelen
Om als internal audit van toegevoegde waarde te zijn bij het in control zijn over informatiebeveiliging is het goed om de zaken te ontrafelen. Want wellicht is security een complex vakgebied, heel moeilijk is het niet.
Kwaliteitseisen
Informatiebeveiliging is gestoeld op drie kwaliteitseisen: Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatievoorziening. Of, in het Engels: Confidentiality, Integrity and Availability.
Het kwaliteitsaspect beschikbaarheid van de informatievoorziening is vooral gericht op een IT-dienst of applicatie; is die op de juiste plaats en op de juiste tijd beschikbaar? Het kwaliteitsaspect integriteit van de informatievoorziening is gericht op de informatie; is die juist en volledig? Het kwaliteitsaspect vertrouwelijkheid van de informatievoorziening is gericht op de informatie; is die alleen bestemd voor wie die is bedoeld?
Het hanteren van deze kwaliteitseisen is dus belangrijk voor informatiebeveiliging en het geeft een goede basis voor risicomanagement. Welk aspect is voor de organisatie het belangrijkst?
Risicomanagement
In de meeste organisaties heeft risicomanagement een bepaalde volwassenheid bereikt. Bij het onderwerp risk is internal audit veelal ook betrokken. Dat maakt een mooie combinatie mogelijk: zijn er security-gerelateerde risico’s opgenomen in de risicomatrix en is de risk appetite besproken en vastgelegd? En welke maatregelen zijn er genomen om de risico’s te verminderen?
Normenkaders
Als we het dan toch hebben over de getroffen of te treffen maatregelen: die hoef je niet zelf te verzinnen. Het meest gebruikte normenkader en managementsysteem voor informatiebeveiliging in West-Europa is de ISO27001/2. De eerste hoofdstukken behandelen een stuk risicomanagement en het managementsysteem: Plan – Do – Check – Act. En juist bij de ‘Check’ zit de grootste toegevoegde waarde van Internal Audit. In de dagelijkse praktijk zien we te vaak dat er na de ‘Do’ fase niets meer gebeurt, of er teruggegaan wordt naar ‘Plan’.
Aanvullend zijn er veertien hoofdstukken opgenomen met maatregelen en implementatierichtlijnen. Deze hoofdstukken behandelen het gehele speelveld van informatiebeveiliging.
Op basis van de aandachtsgebieden uit de ISO27001/2 en de activiteiten van risicomanagement is een gedegen internal auditprogramma op te stellen. En je zult zien, een aantal controles en audits komen overeen met degene die je toch al deed in het kader van de general IT-controls. En een aantal worden afgedekt door application- en user controls.
Zo wordt de complexe wereld van security toch een beetje eenvoudiger.
