Stevige kritiek cyberbeveiligers op plan voor jaarlijkse IT-audit

Vorige week werd bekend dat de Nederlandse vereniging van it-auditors (Norea) werkt aan een certificaat waarmee bedrijven kunnen aantonen dat hun netwerken veilig zijn. Experts in cybersecurity keuren het plan af, maar niet iedereen kan zich in de kritiek vinden. De discussie is met name of zo’n certificaat iets toevoegt, maar het punt “we zijn hier te vroeg mee” is ook wel een hele leuke.

Norea werkt aan een it-auditverklaring, schrijft het op de website. De Nederlandse Orde van Register EDP-Auditors is de beroepsorganisatie van IT-auditors in Nederland, en je zou dus verwachten dat die wel iets weten van het auditten van IT-0mgevingen. Security is daar een onlosmakelijk deel van, dus niet gek dat men ook daar een slag wil slaan.

Het verslag van de Norea-auditor, vaak een accountant, geeft een breed oordeel: zowel over de weerbaarheid van een organisatie tegenover hackers, als over de kwaliteit van de digitalisering in een organisatie. En het is dat “vaak een accountant” waar de security-pro’s over vallen. Want, zoals Alex Bik, technisch directeur van BIT zegt: Een echte techneut die de techniek snapt, staat over het algemeen niet te trappelen om bij een accountantskantoor te gaan werken.

Waar ik dan weer tegenover wil stellen dat zulke slimme mensen toch ook juridische adviesbureaus binnenstappen, en dat we toch ook al geruime tijd werken met ISO certificeringen rondom security. Als deze certificeringsorganisaties capabele mensen kunnen vinden, waarom dan niet de it-auditbedrijven?

Fundamenteler vind ik de kritiek dat een jaarlijkse verklaring te statisch is. Security verandert immers een stuk sneller dan je jaarrekening, en een bedrijf dat in januari gecertificeerd is kan prima in februari gehackt worden zonder dat dat iets afdoet aan de waarde van het certificaat. Maar wat heb je er dan aan, aan zo’n momentopname?

Daarentegen vind ik de stap verder die Norea wil nemen weer wél een goeie:
Volgens Vettewinkel-Raymakers van Norea zijn [certificeringen als ISO27001 en NEN7510] hiervoor juist onvoldoende: `Bij deze certificering wordt niet gekeken naar wat er daadwerkelijk gebeurt bij een organisatie. Wij kijken ook in hoeverre bedrijven zich aan de regels houden.
En zeker bij de bedrijven die ict niet als core business hebben, lijkt het me echt een goede om niet alleen de papieren checks af te gaan maar ook daadwerkelijk met je toetsenbord in de modder te gaan zitten. Daar kan de Norea aanpak dus wel degelijk meerwaarde bieden.

Het komt voor mij dan uiteindelijk neer op `beter iets dan niets’ versus `dit is onvolledig dus je houdt jezelf voor de gek’. Maar gezien het belang van security heb ik echt liever kleine stapjes vooruit en zeer basale verbeteringen (zoals dat mensen eindelijk pátchen, backups maken en wachtwoorden als welkom123 tegenhouden) dan dat we nog een paar jaar wachten op een mooi Europees framework.

Arnoud

Het bericht Stevige kritiek cyberbeveiligers op plan voor jaarlijkse IT-audit verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• Bedrijven | Brussel pakt auditors aan (27/09/11 17:09)

Reacties:

Er zijn nog geen reacties op dit bericht.