Opinie

Internal auditor in cybersecurity-land

Gebukt onder beroepsregels en geheimhoudingsplicht is de internal auditor soms weinig uitgesproken. Terwijl hij op een positie zit om belangrijke observaties te doen. Jammer ook van die grote stilte over cybersecurity. Hoe kritisch kijk je naar de 'tone at the top' over informatiebeveiliging en waarom is dat nodig?

Michael Schoevaart

Privé en zakelijk lopen steeds meer door elkaar. 24/7 verbonden met bedrijf, collega's, vrienden en dierbaren. Oeps, je ontvangt een zakelijke e-mail van het privé e-mailadres van een boardmember. Een onbezonnen tweet van een commissaris verdwijnt met de snelheid van het licht in de ongrijpbare dimensies van het web.

Zelf vrij en mail je veilig. Maar je stuit op desinteresse als je anderen vraagt om dat ook te doen. Laat staan dat ze openstaan voor PGP (pretty good privacy) of een andere encryptietechniek. Heb je moeite cybersecurity op de agenda van de top te krijgen? Zie je irritaties richting de IT-service desk en de chief information security officer (ciso) als personal devices van de top niet meteen worden toegelaten op het bedrijfsnetwerk?

Is er überhaupt begrip voor beperkingen van wat je op het onveilige 'byod' (bring your own device) netwerk mag doen? Aantekeningen en bestuursstukken op privétablets: handig of ontoelaatbaar? Is dit de kolossale olifant die bij jou in de boardroom staat? Staat de deur wagenwijd open ondanks de ronkende beleidsstukken en fraaie governance-paragrafen?

Tekenaar: Daniel Schoevaart

Afbreukrisico’s nemen toe, terwijl de investeringen in cybersecurity achterblijven. De risicomanager waarschuwt voor een grote impact en een hoog risico! Waarom zet je dit als internal auditor niet eens nadrukkelijk in jouw auditplanning voor het komende jaar? Werp de schroom af. En durf te zeggen waar het op staat!

Je weet dat cybersecurity-aanvallen niet alleen kunnen worden voorkomen door het op orde hebben van beleid, procedures en processen en dat topmanagement mentaal nu echt aan boord moet komen.

Een goede tone at the top betekent het voorbeeld geven in een goede securitycultuur, de beperkingen in het vrije gebruik van IT accepteren en de hearts en minds hiervoor bedrijfsbreed winnen. En tone at the top is zeker niet het gebruik van 'schaduw-IT', waarbij de bedrijfs-IT onbedoeld wordt ondergraven door bestuursactiviteiten via privé e-mail en persoonlijke clouddiensten!

Je worstelt met de tone at the top en hoe je ze zover krijgt dat ze cybersecurity op de agenda zetten? Bestaat de top gedeeltelijk uit digibeten met andere prioriteiten? Maar hoe dubbel: het is ook je werkgever waarmee je de volgende dag je functioneringsgesprek voert.

Schuil niet achter de ciso, techniek of beroepsregels. Moed is waar het op aan komt! Voorkom een datalek at the top!

Michael Schoevaart RA RE is als practice leader verbonden aan De Risicopraktijk, een adviesbureau op het gebied van risicomanagement.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

    Aanmelden nieuwsbrief

    Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

    Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.