De cybersecurityterreur
Het lijkt soms wel of alles cybersecurity is. Kostenbeheersingsprogramma’s om de gierende inflatie en grondstofprijzen te lijf te gaan? Alle investeringen onder verscherpt toezicht, behalve de cybersecurityprojecten?
Governanceherinrichting van de IT-organisatie? Meer verantwoordelijkheden en taken voor de CISO? Hr-awarenessprogramma’s opnieuw uitgerold? Zero-tolerancebeleid voor de medewerkers die op een phishing e-mail klikken? De corporate nieuwspagina op het intranet? Elke week de cyberhero in het zonnetje die ons voor iets vreselijks heeft behoed? Het IT-auditprogramma bevraagd in audit committee? Graag de focus op cybersecuritybeleid. En zo kan ik nog wel even doorgaan…
Ik moest dan ook even slikken bij het thema van dit kwartaal. Ik ben een beetje cybermoe, terwijl die cyberrisico’s natuurlijk niet volgende week over zijn. In mijn organisatie hebben we naast de jaarlijkse verplichte e-learnings rondom onze gedragscode nu ook jaarlijks verplichte e-learnings over cybersecurity. Haalt dat nog allemaal wat uit, of ben ik alleen nog maar benieuwd welk lollig animatiefilmpje nu weer gevonden is, of welke vriendelijke Engelse stem mij nu weer vertelt hoe belangrijk het is dat ik externe e-mails niet zomaar moet openen.
Ooit heb ik geleerd dat het stelsel van interne controle faalt in geval van samenzwering. Daar was namelijk geen kruit tegen gewassen. En dus liet de theorie het daar maar bij en ging iedereen vrolijk verder met het uitdiepen van controletechnische functiescheidingen in primaire en secundaire CTF’en. Een beetje kop-in-het-zandaanpak? Dat moeten we met cyberrisk maar niet doen.
En toch, wordt cybersecurity niet een buzzwoord? Grijpen de CISO’s met hun angstaanjagende voorbeelden niet te veel macht? Heeft de gemiddelde CEO wel voldoende begrip en technisch inzicht om dit risico goed af te wegen (lees: in proportie te plaatsen)? Het beste middel tegen phishing e-mails blijft natuurlijk de postkamer weer in het leven te roepen die gewoon alle externe e-mails mag printen en rondbrengen. Of is het misschien toch mogelijk om een tweede of derde systeem in hot-standby te hebben waar we gewoon naar overstappen, mocht een of andere onverlaat toch zijn inloggegevens invullen om zijn onverwachte bonusspecificatie online in te kunnen zien. Dus toch een IT-vraagstuk…
Mijn organisatie is nog geen wereldwijd bekend merk, maar het is de ambitie van onze CEO om dat wel te worden. Het thema zal dus nog wel even op onze agenda blijven staan. En wij houden uiteraard onze audits op de effectiviteit van de vijf pijlers van ons cyberbeleid op onze planning om ons steentje bij te dragen.
Als columnist moet ik prikkelend zijn. En een mening hebben. Maar ik vind niet zoveel van cybersecurity, geloof ik. Misschien is dat het hele punt. Het thema is te groot en te veelomvattend, net zoiets als wereldvrede, of governance. Daar vind ik ook niet zoveel van, omdat het te grote thema’s zijn en ik graag concreet bijdraag aan iets. Dus daar komt-ie. Laten we ophouden met cybersecurity. Maar laten we als internal auditors het risico op ongewenste toegang tot onze systemen goed in de gaten houden. Laten we zorgen dat onze medewerkers regelmatig herinnerd worden dat ze hun toegangspasjes en -codes goed beheren. Laten we zorgen dat we echte specialisten hebben die ons netwerk scannen op rare dingen. Laten we zorgen dat onze cruciale bestanden niet door iemand ‘per ongeluk’ met Google Translate vertaald worden (want dat werkt zo makkelijk).
Kortom, laten we blijven werken aan concrete risico’s en vaststellen of de organisatie daar zorgvuldig mee omgaat. En dat door die werkzaamheden ook onze cybersecurity verbetert, ach, dat vind ik prima hoor.
Over
Arjan Man was redactielid van Audit Magazine en bestuurslid van IIA. Hij is director Global Internal Audit bij Atotech en voorzitter van de Professional Practice-groep voor internal auditors binnen Handel en Industrie. Hij schrijft deze column op persoonlijke titel.
@arjanoperaman
Reacties (0)
Lees meer over dit onderwerp:
De auditor als bet(er)weter?
Lijken wij inderdaad op onderwijzers? en als dat zo is, of we daar dan nog wat van kunnen leren.
Lees meerZe belazeren de boel!
De nieuwe regionale financemanager trekt aan de bel: de onkostendeclaraties van de verkopers in land Q kloppen van geen kant. Paniek in de tent. ‘Dat kunnen we nu niet hebben, we willen juist naar de beurs!’
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.