Home Magazine

Met de IT-auditor voorbereid op een cyberaanval

04 april, 2024
Inleiding
Bedrijven omarmen digitalisering in steeds grotere mate om hun dienstverlening aan klanten c.q. afnemers efficiënter en gebruiksvriendelijker te maken. Aan deze ontwikkeling zit ook een keerzijde. Hierdoor krijgen bedrijven met toenemende mate te maken met cybercriminaliteit. Door misbruik te maken van kwetsbaarheden krijgen cybercriminelen toegang tot informatiesystemen, blokkeren zij toegang, stelen data en eisen losgeld. Nieuws dat we tegenwoordig steeds vaker tegenkomen.

Dit artikel beschrijft aan de hand van een tien stappenplan (figuur 1) hoe op een snelle manier inzicht verkregen kan worden in enerzijds de volwassenheid, en anderzijds de cyberweerbaarheid van de security-organisatie. Daarnaast wordt beschreven hoe de interne IT-auditor de organisatie verder kan helpen met het verhogen hiervan, om beter voorbereid te zijn op een cyberaanval.

Het tien stappenplan is ontwikkeld door Rob Wassink (DNB) en komt voort uit ervaring die hij als testmanager in het TIBER-programma heeft opgedaan. Hij heeft het artikel op persoonlijke titel geschreven, waarbij Jean- Jacques Bistervels (redactie NOREA-magazine) per stap de rol voor de IT-auditor heeft toegelicht.
Figuur 1: Stappenplan om inzicht te krijgen in de volwassenheid en cyberweerbaarheid van de security-organisatie, en om tot een securitytest-roadmap te komen.
De IT-auditor en de securitytest-roadmap
Hoewel de stappen in het stappenplan zijn genummerd, is de volgorde niet in beton gegoten. Het kan goed zijn dat bepaalde testen, zoals awareness testen, periodiek terugkomen. Terwijl de meest geavanceerde testactiviteiten, zoals red team testen, eens per jaar worden uitgevoerd. Het gaat erom dat de organisatie optimaal leert van elke testervaring, hierbij risico’s identificeert en zich continu blijft verbeteren om de weerbaarheid tegen cyberdreigingen te verhogen.

Afhankelijk van het type organisatie, de automatiseringsgraad, relevante dreiging en het belang van de diensten en gegevens die verwerkt worden, kan het management ervoor kiezen om elke stap periodiek in te plannen. Er zullen bedrijven zijn, die er op basis van kosten en baten voor kiezen om niet verder te gaan dan stap 7. Vanaf stap 8 Tabletop excercises wordt ook van de organisatie een stevige periodieke inspanning verwacht om testen uit te kunnen voeren.

De betrokkenheid van de IT-auditor verschilt per stap. Daar waar de organisatie nog onvolwassen is, zal de IT-auditor eerder een normerende rol vervullen. Maar naarmate de volwassenheid en weerbaarheid hoger is kan de IT-auditor een meer een katalyserende en/of coachende rol vervullen. In dit artikel wordt de rol van de IT-auditor bij de ontwikkeling van de cyberweerbaarheid van de organisatie nader toegelicht. In eerste instantie bij het op orde brengen van de basishygiëne (stap 2), daarna bij het verder ontwikkelen van de volwassenheid. Verder gaan we hier vooral uit van de rol van de interne IT-auditor en de mogelijkheden die zij of hij heeft om vanuit het Three Lines Model van het IIA (2020) te opereren.
Het stappenplan is eenvoudig van opzet: 
Op de horizontale as van figuur 1 wordt de mate van volwassenheid van de security-organisatie weergegeven: het omvat de structuur, beleidskaders, functionarissen e.d. Dit vormt het basisniveau, genaamd security-organisatie, en is het fundament om de securitytesten 5 t/m 10 enig optimaal nut te geven. Ook is het zo dat bepaalde securitytesten geen nut hebben zonder de nodige elementen uit het fundament. Zo zal het uitvoeren van purple team of red team testen (stap 9 en 10) zonder SOC (stap 3) weinig nut hebben.

De verticale as toont een steeds geavanceerdere securitytesten: van technische systeemtesten tot realistische aanvalssimulaties op de gehele organisatie. Elk type test adresseert een steeds complexere dreiging voor een organisatie. Naarmate men de stappen richting niveau 10 kan invullen, groeit de weerbaarheid van security-organisatie om deze dreiging af te kunnen weren. Een organisatie die zich rechtsboven kan positioneren, heeft een volwassen security-organisatie met hoge cyberweerbaarheid. Niet alleen heeft ze de structuren ingericht, ze oefent ook met regelmaat om geavanceerde aanvallen af te weren. Belangrijk hierbij is dat de bevindingen uit securitytesten worden opgelost
Eerst de security-organisatie op orde brengen: de normerende rol
Een volwassen security-organisatie heeft vier basisvoorwaarden ingevuld en laat zich daarop toetsen (Figuur 1: stap 1 t/m 4):

  • Stap 1 - Inrichten van de security-functie
    De CISO of vergelijkbare security-functie rapporteert aan het bestuur en krijgt de opdracht om het informatiebeveiligingsbeleid voor de organisatie op te stellen. Met het in leven roepen van de information security steering committee, regelt de CISO de governance. In de steering committee wordt naast het management van ICT, FM en HR, ook het management van contract- en leveranciersbeheer en de business vertegenwoordigd. De steering committee conformeert zich aan het door de CISO voorgestelde Information Security Management System (ISMS) om aan het beleid te kunnen voldoen.

    ISO27001 leert dat het ISMS is geen tastbaar systeem is, maar een manier van werken. Deze manier kenmerkt zich door het continu identificeren van nieuwe risico’s, die ontstaan door een dreigingslandschap dat altijd aan verandering onderhevig is (ISO27005). Risico’s worden beheerst met bijbehorende maatregelen in lijn met de risicostrategie. Maatregelen zoals die terugkomen in ISO27002 dienen als baseline voor een organisatie. Zo is de manager van ICT (de CIO) verantwoordelijk voor de implementatie van technologische beheersmaatregelen, hoofd HR voor de mensgerichte -, hoofd FM voor de fysieke - en de CISO voor implementatie van de organisatorische maatregelen. Een ander belangrijk kenmerk van het ISMS is dat bij implementatie van maatregelen de plan-do-check-act (PDCA)-cyclus wordt doorlopen.

    Zogenaamde ‘champions’ of ‘ambassadeurs’ binnen de operationele teams kunnen namens de CISO en de steering committee zorgen dat er focus blijft op het tijdig implementeren en evalueren van de ingevoerde maatregelen. Dat alles bij elkaar zorgt voor borging en continue verbetering van de kwaliteit van informatiebeveiliging. De CISO rapporteert de status en voortgang aan het bestuur dat eindverantwoordelijk is voor informatiebeveiliging.

    Wat kan de IT-auditor hier doen?
    De organisatie kan ervoor kiezen om intern zaken te regelen zonder een formele certificering. De rol van de IT-auditor zal zich in deze ontwikkelingsfase vooral richten op traditioneel toetsen ten aanzien van de norm en/of normuitleg aan het management omvatten. Hij of zij kan signaleren naar stakeholders waar de organisatie tekort schiet, een klankbord zijn of advies geven over de opties die er zijn om aan bepaalde normen te voldoen. Welke optie wordt gekozen blijft de verantwoordelijkheid van het management. Als de organisatie ook nog naar een formele ISO-certificering wenst te gaan, kan de IT-auditor samen met de CISO en het management de komst van externe ISO-auditor faciliteren zodat de lijnorganisatie is voorbereid op het ISO auditproces.

  • Stap 2 - Basishygiëne op orde
    Een volwassen security-organisatie beschikt in eerste instantie over de vereiste ISO27001-certificering, of vergelijkbare normering, zoals de NEN7510 voor de gezondheidszorg, de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid, of volgt de Good Practice Informatiebeveiliging (IB) van DNB die vooral van toepassing is op de financiële sector. Hierbij zijn verschillende type beheersmaatregelen geïmplementeerd (technologische, fysieke, mensgerichte en organisatorische). In hoeverre de basishygiëne ofwel de baseline voor informatiebeveiliging op orde is, kan met een methode als ‘opzet, bestaan en werking’-toetsing worden aangetoond. Dit wordt ook in het volwassenheidsniveau in de Good Practice IB 2023 van DNB benadrukt.

    De NOREA Werkgroep Reporting Initiative (NRI) ontwikkelt op dit moment een format voor een IT-verslag en -assurancerapport waarmee bedrijven en organisaties jaarlijks kunnen rapporten over hun IT-beheersing. Op dit moment (Q1 2024) ligt de verslaggevingsstandaard voor ter consultatie. Het biedt een handvat voor het management om zich met een IT-beheerverslag te verantwoorden en belanghebbenden te informeren over IT-Governance, Risk and Compliance en essentiële IT-onderwerpen zoals Digital Innovation and Transformation, Data Governance and Ethics, Outsourcing, Cybersecurity, IT Continuity Management en Privacy. Een rapportage over het beheer van IT is op dit moment echter nog niet verplicht.

    Bij rapportages gaat het om momentopnamen. Informatiebeveiliging is ook tenslotte ook een continu proces. Door nieuwe en veranderende dreigingen en het ontstaan van nieuwe kwetsbaarheden, ontstaan er ook nieuwe risico’s. Onder aansturing van de steering committee en werkend volgens het ISMS, worden deze risico’s geanalyseerd en belegd bij de juiste eigenaren. Afhankelijk van de risicostrategie worden passende maatregelen genomen en risico’s beheerst. Met de PDCA-cyclus wordt de kwaliteit van ingevoerde maatregelen door het management en de CISO geborgd en continu verbeterd.

    Wat kan de IT-auditor hier doen?
    Nadat de certificering eenmaal is behaald kan de rol van de IT-auditor ook naar een ander niveau. Reflecterend en als sparring-partner voor het bestuur, het management en de CISO. Bijvoorbeeld op hoe gedegen zij hun rol pakken in de PDCA-cyclus. Dit vergt natuurlijk niet alleen ‘hard skills’ van de auditor zoals in stap 1 nog vooral het geval is, maar ook de nodige ‘soft skills’. De IT-auditor moet in staat zijn de deelnemers de spiegel voor te houden, zonder zelf onderdeel te worden van de besluitvorming. Je kan daarbij denken aan:
  • Reflectie op hoe professioneel en degelijk men omgaat met het uitvoeren van risicoanalyses voor en door de organisatie;
  • De kennis over dit onderwerp aan de bestuurstafel versterken (haal- en brengplicht!);
  • Het vasthouden aan de rolverdeling binnen de security-organisatie en bijbehorende processen, maar ook ruimte geven aan de andere rollen binnen dit proces;
  • Adviseren of ondersteunen bij een eventueel IT-verslag en -assurancerapport, waarbij de externe IT-auditor natuurlijk de onafhankelijke controle kan invullen;
  • Gedragsaspecten als het gaat om taakvolwassenheid en kwaliteit van opvolging van de besluitvorming.

  • Stap 3 - Inrichten van een SOC
    Een Security Operating Center (SOC) of soortgelijk team doet aan logging en monitoren van informatiesystemen en het analyseren van security events. Na bevestiging van een security incident verzorgt het Security Incident Response Team (SIRT) de operationele incident response binnen de organisatie. Een SOC kan intern of (deels) uitbesteed zijn bij een security provider. Daarnaast kan afhankelijk van de waarde van informatiesystemen (gebaseerd op de BIV- of CIA-rating) en het dreigingsbeeld gekozen worden voor bijvoorbeeld 5x8 of 7x24 monitoring door een SOC.

    Wat kan de IT-auditor hier doen?
    Op het moment dat het SOC deel uitmaakt van de security-organisatie, gaat de rol van de (interne) IT-auditor zich ook richten op de kwaliteit van dienstverlening door het SOC. Naast de kwaliteit van de dienstverlening is daarbij ook de security-organisatie van het SOC zelf van belang.

    Veel SOC-dienstverleners verstrekken hiertoe al zogenaamde ISAE- en/of COS-verklaringen: een toetsingsrapport van externe auditors op eisen die de SOC-dienstverlener voor zichzelf heeft gesteld, dan wel door haar klanten zijn opgelegd. De IT-auditor kan de organisatie helpen met het interpreteren van deze verklaringen, en het management adviseren welke punten eventueel aandacht behoeven.

  • Stap 4 - Verzamelen van dreigingsinformatie
    Threat intelligence    -diensten kunnen de organisatie van relevante dreigingsinformatie (Threat Intelligence, afgekort met TI) voorzien. Hierdoor kan met passende maatregelen tijdig geanticipeerd worden op nieuwe of toenemende (cyber)dreiging. Dat kan gedaan worden specifiek voor één instelling of voor een gehele sector, bijvoorbeeld het mkb of de financiële- of zorgsector. Er wordt onderscheid gemaakt tussen strategische -, tactische - en operationele dreigingsinformatie, waarbij vooral operationele dreigingsinformatie direct belangrijke voeding kan zijn voor het SOC.

    Wat kan de IT-auditor hier doen?
    Veel organisaties hebben al moeite de intern gegenereerde informatie over de kwaliteit van beheersmaatregelen adequaat te verwerken, laat staan dat men daarnaast in staat is de eerder geïdentificeerde risico’s bij te stellen op basis van externe dreigingsinformatie. In het verlengde van de eerder genoemde taken kan de IT-auditor evalueren in hoeverre de organisatie ook echt stuurt en acteert op basis van dreigingsinformatie die wordt verzameld, of risicoanalyses effectief worden bijgewerkt en of maatregelen effectief worden bijgesteld.

    Ook kan de IT-auditor tenslotte de eigen risicoanalyse op basis van deze externe dreigingsinformatie aanscherpen om de noodzaak en prioritering van toetsing van specifieke beheersmaatregelen vast te stellen. En daarmee zijn of haar onderzoek-planning tijdig bijstellen en zijn of haar inspanningen richten op de actualiteit, om de organisatie scherp te houden.
Verhogen van de weerbaarheid: de katalyserende / coachende rol
Als aan de vier basisvoorwaarden voor de security-organisatie wordt voldaan en deze in lijn met de verwachting uit de ‘wet op het financieel toezicht’ (WFT) ‘auditable’ is, dan kunnen technische securitytesten overgaan in steeds realistischer wordende aanvalssimulaties (Figuur 1: stap 5 t/m 10).

Door te leren van securitytesten zal de weerbaarheid van de organisatie omhoog gaan. Mits de PDCA-cyclus continu wordt doorlopen: welke maatregelen hebben we volgens plan ingevoerd (Plan-Do) in hoeverre voldoen ze aan de verwachting (Check) en wat is de vervolgactie (Act) om het effect van de maatregelen te verbeteren. In de stappen 6 tot en met 10 wordt de rol van de IT-auditor meer die van uitdager, katalysator of coach.

  • Stap 5 - Het scannen naar kwetsbaarheden
    Vulnerability scanning is een technische securitytest waarmee bekende kwetsbaarheden, common vulnerabilities and exposures (CVE’s) worden opgespoord in informatiesystemen (businessapplicaties en onderliggende ICT-infrastructuur) van de organisatie.

    Wat kan de IT-auditor hier doen?
    Heel basaal is de rol van de IT-auditor in dit proces nog vooral toetsen en aanjagen: nagaan of er effectief wordt ge-patched volgens beleid, en of de managementrapportages hierover correct zijn. Dit is onderdeel van het traditionele testen van IT general controls. In de praktijk blijkt dat het voor IT-beheerorganisaties een uitdaging blijft om gecontroleerd en tijdig te patchen. De IT-auditor is bij uitstek de functionaris om de urgentie hiervan bij het management te blijven benadrukken, en de IT- en security-organisatie hierin kritisch te blijven volgen. Daarnaast toezien dat de output van de scans en mogelijke risico’s die daardoor in kaart worden gebracht, worden gemanaged door de tweede lijn (risk management) binnen de organisatie.

  • Stap 6 - Het uitvoeren van pentesten
    Bij penetratietesten (afgekort met pentesting) wordt niet alleen gezocht naar kwetsbaarheden, maar ook of deze - in combinatie met menselijke creativiteit - misbruikt kunnen worden om in te breken in bijvoorbeeld informatiesystemen, webapplicaties via de digitale weg of fysiek in kantoren of datacenters.

    Wat kan de IT-auditor hier doen?
    In de praktijk komen veel pentestrapportages voor, die niet meer dan veredelde vulnerability-scan rapportages zijn. Of die niet de systematische aanpak dan wel de diepgang hebben die ervan verwacht mag worden. Er is veel kaf tussen het koren op dit vlak. De IT-auditor kan met een review de CISO ondersteunen door haar of hem te adviseren over de kwaliteit van de uitgevoerde pentest. Bijvoorbeeld door na te gaan of het product voldoet aan de “Pentesten doe je zo”-richtlijn van GOVCERT.NL. Of als onderdeel van de monitoringactiviteiten bewaken of er over de hele linie binnen de organisatie wel adequaat wordt gepentest. Zeker als de verantwoordelijkheid hiervoor decentraal is belegd bij DevOps-teams. Belangrijk is dat door de tweede lijn risicoschattingen waar nodig worden aangepast op basis van de output van pentesten. De IT-auditor ziet er op toe dat die taak effectief wordt uitgevoerd.

  • Stap 7 - Het verhogen van het bewustzijn over cyberrisico’s
    In security awareness-testen zijn alle medewerkers - dus ook het management - in scope. Aanvallers maken regelmatig gebruik van phishing en andere social engineering-technieken om misbruik te maken van de natuurlijke neiging van mensen om behulpzaam te zijn. Awareness programma’s worden gebruikt om het risicobewustzijn van de mensen in de organisatie te verhogen met als doel een gedragsverandering te realiseren. Dit kan bijvoorbeeld via trainingen tijdens onboarding, via online campagnes, of door middel van social engineering en (spear) phishing tests.

    Wat kan de IT-auditor hier doen?
    Dit is ook onderdeel van de traditionele ‘basis op orde’. In de praktijk komt nog regelmatig voor dat bijvoorbeeld de IT-organisatie, en specifiek de IT delivery en data (management) tak, onvoldoende aandacht krijgt. De IT-auditor kan zich als onderdeel van zijn of haar monitoringactiviteiten een beeld vormen van de geschiktheid van zowel de frequentie alsook inhoud van de uitgevoerde awareness-activiteiten. En of de uitgevoerde awareness-verhogende activiteiten voldoende alle onderdelen van de organisatie afdekken. Voor security awareness wordt een cyclus verwacht van: opzetten, meten, bijstellen (PDCA). Is de effectiviteit van het awareness programma meetbaar en vindt waar nodig bijsturing plaats? Ook dit kan de auditor nalopen.
De meer geavanceerde testtypen
Bovenstaande securitytesten zijn nog relatief eenvoudig. Bij de nu volgende, te weten: tabletop, purple team en red team testen is de impact op de organisatie groter, en van een niveau waarbij actieve management-betrokkenheid een vereiste is. Sterker nog: het management vervult zelf een directe bestuurdersrol.

  • Stap 8 - Oefenen met het (crisis)management
    Tijdens tabletop exercises oefent het crisismanagementteam (CMT) een scenario waarbij een grootschalig security-incident of een calamiteit een crisis veroorzaakt. Een ernstige verstoring van de dienstverlening. Naast informatiesystemen kan een crisis betrekking hebben op toegang tot fysieke locaties of beschikbaarheid van medewerkers. Een CMT en een actueel crisismanagementplan zijn een vereiste voor elke organisatie. Jaarlijks oefenen van verschillende scenario’s op basis van relevante dreiging (bijvoorbeeld een brand, overstroming, bommelding, staking of een ddos- of ransomware aanval) verhoogt de weerbaarheid van de organisatie.

    Wat kan de IT-auditor hier doen?
    In deze stap is een grote rol weggelegd voor de IT-auditor, namelijk: de beoordeling van response - en herstelplannen en de evaluatie van de getoonde effectiviteit. Dit laatste komt overigens in de (aankomende) DORA-regelgeving ook nadrukkelijk naar voren. Dit kan verder gaan dan een opzet, bestaan en werking toetsing van de beheersmaatregel (control toetsing) zelf: de IT-auditor neemt idealiter als toehoorder deel aan de oefening en geeft vervolgens feedback en reflectie op hoe de oefening is verlopen, of de plannen toereikend waren, besluitvorming onder druk goed verloopt, getroffen maatregelen ook functioneerden en hoe de verschillende actoren hebben samengewerkt gedurende de oefening. De IT-auditor zal daarvoor ook ‘coachende’ vaardigheden nodig hebben om deelnemers te overtuigen van de nog aanwezige ontwikkelruimte voor de organisatie en – mogelijk nog belangrijker en lastiger – de functionarissen zelf. De IT-auditor zou moeten vaststellen dat de tweede lijn bevindingen uit de test met de eerste lijn evalueert, en opvolging hiervan plaatsvindt.

  • Stap 9 - Purple team testen
    Voor purple team testen huurt de organisatie ethische hackers in van een externe security provider (een red team) om samen met het SOC en (delen van) de verdedigende organisatie (het blue team) de huidige staat van verdediging op de proef te stellen. Hierbij wordt onderzocht of de plannen, procedures en geïmplementeerde (detectie)maatregelen van het SOC en het blue team in de praktijk ook echt effectief blijken.

    Purple team sessies zijn voor technisch medewerkers van het SOC en worden vaak ervaren als een ‘training on the job’. Niet alleen de door hun geïmplementeerde beheersmaatregelen, maar ook hun technische vaardigheden worden getoetst. Alle bevindingen die tijdens de sessies naar voren komen, kunnen vaak direct door het SOC worden opgelost in de eigen omgeving. In de praktijk blijkt ook dat het voor een red team significant moeilijker is geworden om na een aantal purple team sessies niet meer gedetecteerd te worden bij een poging om binnen te komen. Uiteraard pas nadat de aanbevelingen uit purple team testen zijn opgevolgd. Afhankelijk van de volwassenheid van de security-organisatie, de complexiteit van het ICT-landschap en het aantal nieuwe aanvalstechnieken kunnen purple team testen bijvoorbeeld per kwartaal worden uitgevoerd.

    Wat kan de IT-auditor hier doen?
    Het is bij deze stap van belang om vooraf goed scherp te hebben welke doelstellingen men met deze test wil realiseren. Gaat het om de capabilities of capaciteit van het blue team, of bijvoorbeeld de samenwerking met een extern SOC. Gedurende het traject is de auditor voornamelijk toehoorder. Daarbij kan de IT-auditor tussentijds wel reflectie geven, maar richting het einde van het traject zelf haar of zijn conclusies vormen over de mate waarin de vooraf afgesproken doelstellingen zijn waargemaakt. Een andere variant is dat men de eindevaluatie samen met de betrokkenen uitvoert onder begeleiding van de IT-auditor. Laatstgenoemde werkwijze leidt vaker tot een beter draagvlak voor eventueel noodzakelijke verbeteringen. De controle op tijdig opvolgen van aanbevelingen van het red team door de eerste lijn ligt bij de tweede lijn. De IT-auditor kan bijvoorbeeld nagaan of dit ook echt is uitgevoerd en of oplossingen opnieuw zijn getest.

  • Stap 10 - Scenario gedreven pogingen tot computervredebreuk en/of datadiefstal
    Bij red team testen huurt de organisatie wederom ethische hackers in die minimaal één aanvalsscenario spelen met in principe de gehele organisatie van ‘people, processes en technology’ en de fysieke locatie(s) in scope. Het scenario is bij voorkeur gebaseerd op relevante tactische dreigingsinformatie. Het blue team incl. het SOC wordt vooraf niet geïnformeerd, waardoor de test nog realistischer is. Vaak worden red team testen afgesloten met een purple team sessie - ook wel replay-sessie genoemd - om het blue team inzicht te geven in welke technieken zijn toegepast. Hiermee krijgt het SOC en het blue team de kans om met terugwerkende kracht van de test te leren, en de weerbaarheid van de organisatie te verhogen.

    Wat kan de IT-auditor hier doen?
    Hier komen de diverse rolinvullingen weer samen: evalueren van het procesverloop en het behalen van de doelstellingen, met leveranciers en CISO de ketenveiligheid evalueren, het bewaken dat de benodigde stappen ook allen tijdig en kwalitatief aan de maat worden uitgevoerd door de organisatie, en het challengen van de eerder opgestelde continuïteitsplannen.

    Zeker in deze fase is een zeer gedegen en objectieve oorzaakanalyse essentieel als de red teams hun buit (de ‘kroonjuwelen’ van de organisatie) hebben binnengehaald. De ervaring leert dat als de red teams succesvol zijn, de objectiviteit (na de eerste schok in het management) vaak het eerste slachtoffer is. Deze analyse faciliteren is bij uitstek dan ook iets wat de IT-auditor kan invullen, omdat deze geen belanghebbende is bij zowel de resultaten, als de (kosten van de) op te volgen verbeteracties.

Tenslotte: de evaluatie van de securitytest-roadmap 
Door aangehaakt te zijn bij securitytesten en het beoordelen van de effectiviteit van geïmplementeerde maatregelen kan de IT-auditor als onderdeel van haar of zijn derdelijns-taak het gesprek voeren met de CISO en het management over de volwassenheid en weerbaarheid van de organisatie. Naarmate de stap meer en meer naar rechtsboven beweegt in het stappenplan (figuur 1) kan ook de IT-auditor in zijn of haar rol gaan verschuiven van toetsend/normerend naar meer adviserend/coachend. Dit vraagt ook iets van het niveau van de auditor.

Onderstaande tabel vat per stap kort de mogelijke rol van de interne IT-auditor samen:

StapRol van de IT-auditor
1. Security-functie inrichtenNormerend / normuitleg
2. Basishygiëne op ordeNormerend / aanjagen
3. Inrichten SOCNormerend / adviserend
4. Threat intelligenceEvaluerend / adviserend
5. Vulnerability scanningNormerend / aanjagen
6. PentestingEvaluerend / adviserend
7. Awareness-testenEvaluerend / adviserend
8. Tabletop exercisesEvaluerend / coachend / adviserend
9. Purple team testenEvaluerend / coachend
10. Red team testenEvaluerend / coachend / adviserend
Als de organisatie zelf zover is, kan zij het model vervolgens ook weer inzetten om derde partijen te evalueren op hun volwassenheid en cyberweerbaarheid. Nieuwe risico’s die hierbij geïdentificeerd worden kunnen in lijn met de risicostrategie opgenomen worden in het bestaande informatiebeveiligingsprogramma. Door het blijven volgen van een geactualiseerd programma zal de organisatie steeds beter voorbereid zijn op een echte cyberaanval. De IT-auditor kan hierbij weer een rol vervullen in het testen van de uitbestedingsketen.

Het is tenslotte aan het bestuur van een organisatie zelf om de mate te bepalen waarin de IT-auditor betrokken dient te worden. Dit op basis van een eigen risicoafweging of afhankelijk van hoe de governance is ingericht. De voordelen zijn dat men als management eerder feedback ontvangt op de kwaliteit van de implementatie en de resultaten. Men kan zich afvragen of dit opweegt tegen de extra capaciteit die dit van de IT-auditor vergt.

Voor meer informatie over het stappenplan, neem contact op met Rob Wassink (jbwassink@gmail.com). Voor meer informatie over een mogelijke rol van de interne IT-auditor, Jean-Jacques Bistervels (jean-jacques.bistervels@bovemij.nl).
Rob Wassink
Rob Wassink werkt sinds 2019 als testmanager in het TIBER-team bij DNB. Als cyber security specialist geeft hij part-time les bij Inholland, werkte in het CISO-office van NN Group, en was daarvoor ICT projectmanager bij ING. Rob Wassink | LinkedIn
Jean-Jacques Bistervels
Jean-Jacques is momenteel werkzaam als Manager Internal Audit a.i. en sleutelfunctionaris Internal Audit bij Bovemij NV. Tevens is hij hoofdredacteur voor het NOREA-magazine. Jean-Jacques Bistervels | LinkedIn