Steeds vaker is de vraag actueel of bedrijven grip hebben op hun it. Een nieuw soort rapportage over alle belangrijke ict-aspecten, moet hierop antwoord geven. Volgens de betrokkenen gaat het niet om de zoveelste certificering, maar is er een serieuze audit nodig die verder gaat dan controles op deelgebieden.
Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), ziet met dit initiatief van de Norea (it-auditors) een langgekoesterde wens in vervulling gaan. Liever nog had hij gezien dat koepels van aandeelhouders en kredietverstrekkers de Norea al eerder om zo’n verklaring hadden gevraagd. Dat zou de kritiek hebben voorkomen dat de betrokken beroepsorganisatie een preek voor eigen parochie houdt. Steltman, tevens initiatiefnemer en projectleider van de Online Trust Coalitie (OTC), weerspreekt ten stelligste dat Norea alleen maar een stukje extra markt wil creëren.
Volgens hem is it-auditing met recht een vakgebied in opkomst. Met de vergaande digitalisering van de bedrijfsvoering is it niet langer het exclusieve domein van techneuten. Ook vanuit de accountancy-hoek bestaat het besef dat controle van de jaarrekening en andere financiële rapportages niet voldoende zijn. Financieel-economisch kan een bedrijf gezond ogen, terwijl de leiding elke regie over de it heeft verloren.
‘Aandeelhouders, kredietverstrekkers en andere financiers lopen risico’s als de it een zootje is. Hun investering kan bij een cyberaanval fors in waarde dalen of zelfs helemaal verloren gaan. Ook afnemers kunnen zich behoorlijk in de vingers snijden als hun leverancier de it niet op orde heeft. Voor directies is het al lastig zich een goed beeld te vormen van de it binnen hun organisatie, laat staan dat buitenstaanders daartoe in staat zijn. Dat heeft ook waarde voor leveranciers van diensten. Als de it-auditor een goedkeurende verklaring geeft, kunnen klanten erop vertrouwen dat hun leverancier zelf ook in control is.’
Want een complicatie is dat niet alleen de eigen it op orde moet zijn, maar ook die van de leveranciers. ‘Processen worden immers uitbesteed. Outsourcing is regel geworden. Bovendien vindt steeds meer informatieverwerking in een keten plaats. Ook software en data komen van buiten, of er wordt gebruik gemaakt van clouddiensten. Daarom is ook zekerheid nodig dat een clouddienst, digitaal platform of andere ketenpartij aan de gestelde eisen voldoet. Zie daar maar eens een onafhankelijk en deskundig oordeel over te verkrijgen. Dat is een hele klus.’
‘ISO-standaarden geven geen volledig beeld’
Volgens Steltman schieten de gangbare certificeringen en verklaringen van leveranciers vaak tekort. ‘Certificaten volgens standaarden als ISO2700x geven alleen momentopnames van de veiligheid. Bovendien is hun scope meestal beperkt. Ze bieden dan geen inzicht in de mate waarin een organisatie alle it-processen onder controle heeft. Ook komt het voor dat de privacy buiten de beoordeling valt.’
Steltman: ‘Als Online Trust Coalitie waarin 28 organisaties uit overheid, bedrijfsleven en wetenschap samenwerken aan het thema “vertrouwen”, vinden we drie zaken noodzakelijk. Ten eerste moet er meer duidelijkheid zijn voor aanbieders hoe ze betrouwbaarheid moeten regelen. Daarvoor zijn standaarden nodig voor de toe te passen normen en raamwerken. Denk aan privacy, weerbaarheid, veiligheid en service management. Op deelgebieden bestaan vaak al wel allerlei normen maar het ontbreekt aan een totaalbeeld en aan standaardisatie, het gaat om het geheel.
Ten tweede moet daar als bewijs een enkele goedkeurende verklaring aan worden gekoppeld; één verklaring waar alle afnemers blind op kunnen varen. Voor de manier van controle zijn ook standaarden nodig. Ook moet de controle onafhankelijk zijn. Pas dan heeft de buitenwereld daar iets aan.
De derde pijler is de informatie over de it-audit en de verklaring. Ook die documentatie, de verantwoordingsinformatie, dient gestandaardiseerd te zijn. Als de it-verklaringen helder zijn, hoeft de it-auditor niet meer bij elke leverancier op de koffie om te checken hoe het zit.’ Steltman: ‘Je moet op die verklaringen kunnen bouwen. Ze moeten er allemaal in grote lijnen hetzelfde uitzien.’ Als de it-check op die drie pijlers rust, hoeft ook geen grote papierberg te ontstaan.
Transparantie
Belangrijk is dat de hele keten transparant wordt. Want achter leveranciers zitten weer andere leveranciers. Het is ondoenlijk dit allemaal zelf af te lopen. Steltman erkent dat een volledige audit op alle aspecten best duur is. ‘Je zit al gauw op enkele tienduizenden euro.’ Maar er zijn mogelijkheden om de kosten te drukken, en Steltman ziet dat ook als noodzaak.
Zo valt op langere termijn efficiënter te werken door over te stappen van momentopnames naar een stelsel van continue monitoring. Alle data over de it-operaties zouden in systemen moeten zitten waar it-auditors op ieder moment in kunnen kijken. ‘Dan kan die zijn werk grotendeels op afstand wanneer hem dat schikt.’ De Erasmus Universiteit Rotterdam bekijkt momenteel de mogelijkheden. Ook zijn er al leveranciers zoals Complions die zulke systemen bieden. Verder is er op termijn een rol voor kunstmatige intelligentie. IBM ziet daar kansen toe.
Een belangrijk detail is het verkrijgen van inzicht over de it-realiteit, namelijk hoe het er op de systemen zelf echt uit ziet. Dat kan bijvoorbeeld met pentesten, steekproeven en allerlei vormen van white en blackbox testing.
Tenslotte zouden ook Europese standaarden voor it-management goed helpen. Ook financiële jaarrekeningen kennen een standaard-formaat. Maar vooralsnog is er op dit gebied nog te weinig beweging. Behalve in Duitsland leeft dit onderwerp nauwelijks. Nederland is echt voorloper in Europa. In de Verenigde Staten is men echter verder. Alle normen zijn daarom Amerikaans. De EU heeft zelfs nog geen complete lijst van normen en raamwerken gemaakt die bij de it-audits kan worden gebruikt.’
Luchtvaart-, auto en voedingsindustrie zijn een voorbeeld
Steltman vindt dat de it-sector een voorbeeld kan nemen aan de luchtvaart. ‘Daar bestaat complete transparantie over de veiligheid. Alles is tot in de puntjes geregeld, tot het kleinste onderdeel toe. Ook over het onderhoud bestaan vaste afspraken en normen. Niets wordt aan het toeval overgelaten. Qua volwassenheid kan de it-sector daar een punt aan zuigen. Ook in de auto- en voedingsmiddelenindustrie is alles beter geregeld.’
Één verklaring van goedkeuring werkt uiteindelijk ook goedkoper dan een hele rits aan losse certificaten. Het gaat om het totale stelsel, niet om losse punten. Volgens Steltman moeten bedrijven ook niet zo bang zijn om fouten te ontdekken. ‘Juist het feit dat feilen aan het licht komen, bewijst dat je in control bent. Er zou een eind moeten komen aan de afrekencultuur die ertoe leidt dat misstanden worden bedekt. We moeten het zeker niet in meer regels gaan zoeken. Alleen al op cloud gebied schrijft de EU 400 controlepunten voor. Zo’n groot aantal is onuitvoerbaar. In plaats van aan al die regels te voldoen kan je er beter voor zorgen ‘in control’ te zijn door te laten beoordelen of het stelsel als geheel goed functioneert. Als organisatie moet je een bepaalde mate van vrijheid hebben welke controls je daarvoor gebruikt.’
De Norea bevordert met opleidingen de deskundigheid over de implementatie, beveiliging en beheersing van de it. Deze beroepsorganisatie werkt ook aan de inhoudelijke invulling van het it-verslag en de -controle.