Sensus process management
  • Waarom Sensus?
    • Intelligent Procesmanagement
    • De Sensus-methode
    • BPM Integratie platform
    • Consulting en training
  • Producten
    • Producten
    • Functionaliteiten
    • IT processen en services
    • Voucher
  • Prijzen
  • Over ons
    • Over ons
    • Ondersteuning
    • Partners
    • Klanten
    • ISO 27001 certificering
    • Contact
  • Inspiratie
    • E-coaching & Webinars
    • Nieuws, blogs & meer
    • Eventkalender
    • Andere sites
  • Nederlands
  • Contact
  • Login

De eerste Interne Audit voor Informatiebeveiliging bij Sensus

By Michiel Ronde on september 7, 2020

Blog: Eerste Interne Audit Informatiebeveiliging

Zo, de eerste auditronde bij Sensus process management zit er bijna op. Alleen nog wat eindverslagen en dan op naar de volgende. Het is goed gebruik om als auditor na elke interne audit ook een zelf-evaluatie te doen. Laat ik deze blog eens gebruiken voor de eerste aanzet daartoe. Waar moet ik beginnen? Nou, daar dus, want dat is eigenlijk ook de eerste vraag die bij me opkwam toen mijn leidinggevende me verzocht om als interne auditor de beheersmaatregelen omtrent informatiebeveiliging bij Sensus te toetsen. Als consultant heb ik diverse audittrajecten bij klanten gedaan en met succes afgerond, dus hoe moeilijk kon het zijn om datzelfde trucje voor onze organisatie te doen? Daar heb ik nu wel een ietwat genuanceerde mening over.

Zoals bij elke interne audit is een degelijke voorbereiding van groot belang voor een resultaat waar ook vervolgacties aan verbonden kunnen worden. Collega’s van mij hadden al veel werk verzet, door op basis van ISO 27001: 2017 een risicoanalyse te doen. Dat dat veel werk was, bleek ook uit de hoeveelheid informatie die mij aangeleverd werd. Mijn laptop kan behoorlijk wat gegevens verwerken, maar voor de opgestelde spreadsheets met risico’s, dreigingen en voorgenomen vervolgstappen had hij toch even een koffiepauze nodig. Na enkele dagen door het doolhof van 30 geïdentificeerde dreigingen met meer dan 160 bijbehorende maatregelen, de ellenlange informatiebeveiligingsdocumenten en alle bedrijfsprocessen te hebben gefladderd, kon ik dan eindelijk een afbakening voor de eerste auditronde formuleren. Ik zou me concentreren op de dreigingen met betrekking tot menselijk handelen en daarnaast een gelimiteerd aantal dreigingen met de hoogste risicoscores. Menselijk handelen is een mooi onderwerp om de auditcyclus bij de organisatie te introduceren, omdat deze dreigingen voor de meeste medewerkers herkenbaar zijn. Zo begrijpt iedereen dat mobiele devices altijd met een degelijk wachtwoord moeten zijn  beveiligd. Om te verifiëren of de afbakening en wijze van vraagstelling effectief zouden zijn, stelde ik een aantal testvragen aan een zekere directeur. “Ja, als je dit soort vage vragen gaat stellen, kan ik natuurlijk geen fatsoenlijk antwoord geven”, was de reactie. Tsja, ach. Als auditor moet je mensen ook goed kunnen inschatten op hun competenties en achtergrond. Ik troostte me met de gedachte dat de directeur vooral goed is in delegeren en daarom niet gewend was om zelf vragen te beantwoorden. Daar kan hij verder niets aan doen. Conclusie: mijn aanpak was voor 9 van de 10 auditees geschikt. Die ene persoon moest ik dan maar een beetje aan het handje nemen.

De opzet was om eerst de dreigingen te toetsen en relevante risico’s naderhand aan de bedrijfsprocessen te relateren. Voor de uitvoering werd gekozen voor kwalitatief onderzoek, waarbij elke dreiging werd getoetst op persoonlijke maatregelen en maatregelen bij uitvoering van de bedrijfsprocessen. Dat gaf mij de gelegenheid om in ieder geval met 10 collega’s individueel rond de tafel te gaan zitten. Toch wel fijn, na maanden van social distancing. De interviews verliepen vrij soepel. Natuurlijk moest ik bij de eerste gesprekken mijn draai nog een beetje vinden, maar er was nooit sprake van een ongemakkelijke situatie en ik had het gevoel dat ik objectief bleef. De auditees bevestigden dit, zelfs voor de 2 interviews die onverwachts via een video call zijn afgenomen.

Een groot voordeel van een interne audit als kwalitatieve toetsing is dat er direct een bepaalde bewustwording bij de auditee wordt uitgelokt. Door na te denken over hoe bepaalde werkzaamheden worden uitgevoerd, denk je ook na over handelingen die heel vanzelfsprekend lijken, maar dat in het perspectief van risicobeheersing niet zijn. Dat komt vaak doordat medewerkers na verloop van tijd een bepaalde routine in werkzaamheden opbouwen, waarbij er onbewust dreigingen worden gecreëerd die alleen aan bod komen als er een aanleiding is om erover te praten. Daar kwamen ook wel verrassende bevindingen uit. Je krijgt dan af en toe feedback in de vorm van: “goh, daar heb ik helemaal niet bij stilgestaan”. Denk bijvoorbeeld aan het maken van een afspraak in een ERP pakket, dat automatisch gegevens doorstuurt naar een agenda die vervolgens weer gedeeld wordt met alle medewerkers. Op die manier ontstaat er een waslijst van informatie in ieders agenda, die eigenlijk nooit bewust wordt opgeschoond. Ook over het opslaan van informatie van klanten bleek toch nog wel wat onenigheid te bestaan. De informatie wordt altijd veilig opgeslagen, alleen was niet duidelijk wat nou de officiële omgeving is om bijvoorbeeld getekende offertes te bewaren. Waar de ene auditee dacht dat een opslaglocatie vooral bedoeld was om een totaaloverzicht van elke klant als naslagwerk te genereren, vond een bepaalde directeur dat dat nou juist de officiële opslaglocatie was, waar ook back-ups van worden gemaakt. “….Als dat niet duidelijk is, dan wil ik daar meteen een beheersmaatregel voor implementeren”, was daarop de reactie van een zekere directeur die uiteindelijk toch heel goed antwoord bleek te kunnen geven op mijn vragen.  Dat is wederom niet erg, maar zo werkt een interne audit natuurlijk niet. Interne audits zijn bedoeld als toets op de beheersmaatregelen, waarvan de bevindingen en eventuele aanbevelingen in de volgende fase van het traject geëvalueerd worden, om vervolgens te bepalen welke aanbevelingen opgevolgd worden en wie daarvan de actiehouders zijn. Al met al vond ik de audits goed verlopen en blijkt maar eens te meer dat een dienstverlener op het gebied van proces- en verbetermanagement zelf ook nog wel een en ander kan verbeteren. Het voordeel is wel dat Sensus voor wat betreft bescherming van klantgegevens de zaken goed op orde heeft.

De uitwerking van de gespreksverslagen heeft ‘wat lang’ geduurd. Daar moet ik volgende keer wellicht aanpassingen in doen. Natuurlijk hebben de complexiteit van het onderwerp en de gekozen opzet daar een grote invloed op, maar dat biedt geen volledige verklaring voor de uiteindelijk tijd die ik nodig had. Dat zal ik toch echt bij mezelf moeten zoeken. Ten eerste ben ik van nature kritisch en nooit helemaal tevreden. Daarom heb ik alle gesprekken eerst vrijwel letterlijk uitgewerkt, zodat ik zeker wist dat ik geen detail zou missen. Dat is echter wel tijdrovend. Wellicht kan ik daar bij de volgende auditronde wat efficiënter mee omgaan. Het werk is overigens nog steeds niet klaar. Natuurlijk had ik kunnen kiezen om in plaats van dit relaas eerst het uiteindelijke auditverslag te schrijven, maar door de delegeerkrachten van een bepaalde directeur waren die prioriteiten ineens verlegd. Gelukkig is deze zelfreflectie ook belangrijk voor mijn werk, dus is het ook geen verspilde moeite. Aan het eind van de streep telt alleen het resultaat en als al die moeite er uiteindelijk toe leidt dat wij als organisatie onze informatiebeveiliging (volledig) onder controle hebben, was het de moeite dubbel en dwars waard. Na al die jaren als consultant te hebben gewerkt ben ik deze hoge mate van professionaliteit niet vaak tegengekomen bij andere organisaties en daar mogen wij best trots op zijn. Daarom alle lof aan ons team, niet alleen voor dit traject, maar zeker ook voor de wijze waarop wij onze informatiebeveiliging hebben ingericht!

Wilt u hier meer over weten, bel ons gerust!

Wilt u op de hoogte blijven van de voortgang van onze ISO certificering? Meld u hier aan!

Posted in Blogs, ISO.
←  NewerCorporatiePlein Online
Older  →Quick tip: Aanmaken en koppelen van categorieën

Related Posts

  • augustus 5, 2020

    Procesmanagement: het verguisde goud van uw organisatie

    Het liefst had ik als titel van deze blog geschreven; “Alleen Sensus process management kan uw organisatie redden ? !!” Klinkt lekker, maar helaas niet erg geloofwaardig. Echter, Sensus process …

  • januari 11, 2021

    Integrations van Sensus BPM Online: de gouden schakel in een data driven organisatie

    Herkent u dit? U beschrijft een proces en legt het vast op basis van de situatie zoals die op dat moment is. Daarmee wordt zo’n proces vaak een [...]
  • november 2, 2020

    Veilig, veiliger, het veiligst

    Beste lezer, Misschien ervaart u het ook in uw eigen organisatie? Er is een steeds grotere bewustwording dat organisaties kwetsbaar zijn als het gaat over informatiebeveiliging. Ook voor [...]
  • april 2, 2020

    Sensus gaat voor het behalen van de ISO 27001 certificering

    Breed draagvlak binnen Sensus process management om voor ISO certificering te gaan. De argumenten vanuit de verschillende onderdelen van onze organisatie op een rij.
    Lees het Blog van Hans

    • Waarom Sensus?
      • Intelligent Procesmanagement
      • De Sensus-methode
      • BPM Integratie platform
      • Consulting en training
    • E-coaching & Webinars
    • Producten
      • Producten
      • Functionaliteiten van Sensus BPM Designer
      • Prijzen en licenties
    • Bedrijf
      • Over ons
      • Klanten
      • Partners
      • Contact
      • Vacatures
    • Social Media
      • Linkedin
      • Twitter
      • YouTube
  • Sensus process management
    Kantoor: Schippersgracht 14, 3603 BC Maarssen

    Telefoon: +31 (0) 88 – 888 7777
    Email: info@sensus-processmanagement.com

    Terms & Conditions | Privacy Statement

  • Waarom Sensus?
    • Intelligent Procesmanagement
    • De Sensus-methode
    • BPM Integratie platform
    • Consulting en training
  • Producten
    • Producten
    • Functionaliteiten
    • IT processen en services
    • Voucher
  • Prijzen
  • Over ons
    • Over ons
    • Ondersteuning
    • Partners
    • Klanten
    • ISO 27001 certificering
    • Contact
  • Inspiratie
    • E-coaching & Webinars
    • Nieuws, blogs & meer
    • Eventkalender
    • Andere sites
  • Nederlands
  • Contact
  • Login
Leer in 8 stappen alles over procesmanagement

Wilt u aan de slag met procesmanagement binnen uw organisatie? Abonneer u op onze serie van 8 nieuwsbrieven inclusief de uitgebreide whitepapers. Deze nieuwbrieven zijn de basis BPM opleiding die u nodig hebt om met Sensus BPM Online een procesmanagement traject bij uw organisatie  succesvol in gang te zetten.

Abonneer u hier op deze leerzame BPM nieuwsbrief.

Overige vragen/ klachten
PR & Communicatie
Chat met Sensus

 

Click hier naar de chat pagina te gaan

Support
Stel uw vraag aan de afdeling verkoop
Technische vragen

Verander de taal

Aenean malesuada tellus vel mi volutpat dapibus. In sit amet mauris orci. Ut vulputate eros ac purus tincidunt egestas. Fusce rutrum libero sed felis mattis, eget tincidunt metus accumsan. Cras vehicula, odio quis faucibus tincidunt, mauris risus eleifend ligula, eget accumsan tortor odio non lectus.

  • nlNederlands

Cookies voor de beste ervaring

 

Sensus process management maakt gebruik van marketing, social, analytische en functionele cookies op deze websites. Klik op “Bewaar instellingen” om hiermee akkoord te gaan.

Wij slaan uw keuze maximaal twee jaar op. Uw keuze achteraf wijzigen? Dat kan via de knop onderaan de pagina.

 

 


Functionele Cookies

Analytische cookies

Marketing cookies


Bewaar Instellingen Settings
 
Privacyoverzicht
Sensus process management

Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.

Functionele Cookies

We gebruiken deze cookies om essentiële onderdelen van onze websites te laten functioneren en om ervoor te zorgen dat bepaalde functies goed werken, zoals de mogelijkheid om in te loggen of om een product in uw winkelwagen te bewaren. Deze cookies zijn altijd ingeschakeld, omdat U anders de website niet kunt bezoeken of niet online kunt winkelen en deze cookie melding bij elk bezoek inbeeld komt.

If you disable this cookie, we will not be able to save your preferences. This means that every time you visit this website you will need to enable or disable cookies again.

Analytische cookies

Wij gebruiken de analytische cookies om te kunnen analyseren hoe onze websites gebruikt wordt. Deze data helpt ons fouten te ontdekken en nieuwe ontwerpen te ontwikkelen en testen. Ook kunnen we zo de effectiviteit van onze website in kaart brengen en verbeteren. Daarnaast bieden deze cookies ook inzichten die nuttig zijn bij reclameanalyse.

Please enable Strictly Necessary Cookies first so that we can save your preferences!

Marketing cookies

Sensus process management en onze advertentiepartners (waaronder social media-platformen zoals Google, Instagram en Linkedin) maken gebruik van cookies om gepersonaliseerde aanbiedingen te kunnen doen. Als je deze vorm van cookies niet accepteert, kunt u nog steeds willekeurig op andere platformen advertenties van Sensus process management zien.

Naam Doel Eigenschappen Cookienaam
LinkedIn Deze cookies worden gebruikt voor gerichte advertenties en om de effectiviteit van elke afzonderlijke advertentie te documenteren. De cookie blijft maximaal 1 jaar bewaard. RT, lidc, bcookie, bscookie, L1c, BizoID, BizoData, BizoUserMatchHistory, BizoNetworkPartnerIndex
Facebook Deze cookies worden gebruikt voor gerichte advertenties en om de effectiviteit van elke afzonderlijke advertentie te documenteren. De cookie blijft maximaal 2 jaar bewaard.

Facebook deelt geen informatie met derden.

lu, xs, s, presence, act, c_user, csm, p, fr, datr
Capterra Deze cookies worden gebruikt om conversies te meten De cookie blijft maximaal 1 jaar bewaard.
DoubleClick Deze cookies worden gebruikt voor gerichte advertenties en om de effectiviteit van elke afzonderlijke advertentie te documenteren. De cookie blijft maximaal 18 maanden bewaard. id, _drt_, __gads, NID, DSID, IDE_, cto_lwid
Google Analytics Remarketing Deze cookies worden gebruikt voor gerichte advertenties en om de effectiviteit van elke afzonderlijke advertentie te documenteren. De cookie blijft maximaal 2 jaar bewaard.

Google deelt geen anonieme data

Please enable Strictly Necessary Cookies first so that we can save your preferences!

Privacy Statement en Cookie Policy

Lees hier onze privacy statement inclusief cookie policy