De eerste Interne Audit voor Informatiebeveiliging bij Sensus

Blog: Eerste Interne Audit Informatiebeveiliging

Zo, de eerste auditronde bij Sensus process management zit er bijna op. Alleen nog wat eindverslagen en dan op naar de volgende. Het is goed gebruik om als auditor na elke interne audit ook een zelf-evaluatie te doen. Laat ik deze blog eens gebruiken voor de eerste aanzet daartoe. Waar moet ik beginnen? Nou, daar dus, want dat is eigenlijk ook de eerste vraag die bij me opkwam toen mijn leidinggevende me verzocht om als interne auditor de beheersmaatregelen omtrent informatiebeveiliging bij Sensus te toetsen. Als consultant heb ik diverse audittrajecten bij klanten gedaan en met succes afgerond, dus hoe moeilijk kon het zijn om datzelfde trucje voor onze organisatie te doen? Daar heb ik nu wel een ietwat genuanceerde mening over.

Zoals bij elke interne audit is een degelijke voorbereiding van groot belang voor een resultaat waar ook vervolgacties aan verbonden kunnen worden. Collega’s van mij hadden al veel werk verzet, door op basis van ISO 27001: 2017 een risicoanalyse te doen. Dat dat veel werk was, bleek ook uit de hoeveelheid informatie die mij aangeleverd werd. Mijn laptop kan behoorlijk wat gegevens verwerken, maar voor de opgestelde spreadsheets met risico’s, dreigingen en voorgenomen vervolgstappen had hij toch even een koffiepauze nodig. Na enkele dagen door het doolhof van 30 geïdentificeerde dreigingen met meer dan 160 bijbehorende maatregelen, de ellenlange informatiebeveiligingsdocumenten en alle bedrijfsprocessen te hebben gefladderd, kon ik dan eindelijk een afbakening voor de eerste auditronde formuleren. Ik zou me concentreren op de dreigingen met betrekking tot menselijk handelen en daarnaast een gelimiteerd aantal dreigingen met de hoogste risicoscores. Menselijk handelen is een mooi onderwerp om de auditcyclus bij de organisatie te introduceren, omdat deze dreigingen voor de meeste medewerkers herkenbaar zijn. Zo begrijpt iedereen dat mobiele devices altijd met een degelijk wachtwoord moeten zijn  beveiligd. Om te verifiëren of de afbakening en wijze van vraagstelling effectief zouden zijn, stelde ik een aantal testvragen aan een zekere directeur. “Ja, als je dit soort vage vragen gaat stellen, kan ik natuurlijk geen fatsoenlijk antwoord geven”, was de reactie. Tsja, ach. Als auditor moet je mensen ook goed kunnen inschatten op hun competenties en achtergrond. Ik troostte me met de gedachte dat de directeur vooral goed is in delegeren en daarom niet gewend was om zelf vragen te beantwoorden. Daar kan hij verder niets aan doen. Conclusie: mijn aanpak was voor 9 van de 10 auditees geschikt. Die ene persoon moest ik dan maar een beetje aan het handje nemen.

De opzet was om eerst de dreigingen te toetsen en relevante risico’s naderhand aan de bedrijfsprocessen te relateren. Voor de uitvoering werd gekozen voor kwalitatief onderzoek, waarbij elke dreiging werd getoetst op persoonlijke maatregelen en maatregelen bij uitvoering van de bedrijfsprocessen. Dat gaf mij de gelegenheid om in ieder geval met 10 collega’s individueel rond de tafel te gaan zitten. Toch wel fijn, na maanden van social distancing. De interviews verliepen vrij soepel. Natuurlijk moest ik bij de eerste gesprekken mijn draai nog een beetje vinden, maar er was nooit sprake van een ongemakkelijke situatie en ik had het gevoel dat ik objectief bleef. De auditees bevestigden dit, zelfs voor de 2 interviews die onverwachts via een video call zijn afgenomen.

Een groot voordeel van een interne audit als kwalitatieve toetsing is dat er direct een bepaalde bewustwording bij de auditee wordt uitgelokt. Door na te denken over hoe bepaalde werkzaamheden worden uitgevoerd, denk je ook na over handelingen die heel vanzelfsprekend lijken, maar dat in het perspectief van risicobeheersing niet zijn. Dat komt vaak doordat medewerkers na verloop van tijd een bepaalde routine in werkzaamheden opbouwen, waarbij er onbewust dreigingen worden gecreëerd die alleen aan bod komen als er een aanleiding is om erover te praten. Daar kwamen ook wel verrassende bevindingen uit. Je krijgt dan af en toe feedback in de vorm van: “goh, daar heb ik helemaal niet bij stilgestaan”. Denk bijvoorbeeld aan het maken van een afspraak in een ERP pakket, dat automatisch gegevens doorstuurt naar een agenda die vervolgens weer gedeeld wordt met alle medewerkers. Op die manier ontstaat er een waslijst van informatie in ieders agenda, die eigenlijk nooit bewust wordt opgeschoond. Ook over het opslaan van informatie van klanten bleek toch nog wel wat onenigheid te bestaan. De informatie wordt altijd veilig opgeslagen, alleen was niet duidelijk wat nou de officiële omgeving is om bijvoorbeeld getekende offertes te bewaren. Waar de ene auditee dacht dat een opslaglocatie vooral bedoeld was om een totaaloverzicht van elke klant als naslagwerk te genereren, vond een bepaalde directeur dat dat nou juist de officiële opslaglocatie was, waar ook back-ups van worden gemaakt. “….Als dat niet duidelijk is, dan wil ik daar meteen een beheersmaatregel voor implementeren”, was daarop de reactie van een zekere directeur die uiteindelijk toch heel goed antwoord bleek te kunnen geven op mijn vragen.  Dat is wederom niet erg, maar zo werkt een interne audit natuurlijk niet. Interne audits zijn bedoeld als toets op de beheersmaatregelen, waarvan de bevindingen en eventuele aanbevelingen in de volgende fase van het traject geëvalueerd worden, om vervolgens te bepalen welke aanbevelingen opgevolgd worden en wie daarvan de actiehouders zijn. Al met al vond ik de audits goed verlopen en blijkt maar eens te meer dat een dienstverlener op het gebied van proces- en verbetermanagement zelf ook nog wel een en ander kan verbeteren. Het voordeel is wel dat Sensus voor wat betreft bescherming van klantgegevens de zaken goed op orde heeft.

De uitwerking van de gespreksverslagen heeft ‘wat lang’ geduurd. Daar moet ik volgende keer wellicht aanpassingen in doen. Natuurlijk hebben de complexiteit van het onderwerp en de gekozen opzet daar een grote invloed op, maar dat biedt geen volledige verklaring voor de uiteindelijk tijd die ik nodig had. Dat zal ik toch echt bij mezelf moeten zoeken. Ten eerste ben ik van nature kritisch en nooit helemaal tevreden. Daarom heb ik alle gesprekken eerst vrijwel letterlijk uitgewerkt, zodat ik zeker wist dat ik geen detail zou missen. Dat is echter wel tijdrovend. Wellicht kan ik daar bij de volgende auditronde wat efficiënter mee omgaan. Het werk is overigens nog steeds niet klaar. Natuurlijk had ik kunnen kiezen om in plaats van dit relaas eerst het uiteindelijke auditverslag te schrijven, maar door de delegeerkrachten van een bepaalde directeur waren die prioriteiten ineens verlegd. Gelukkig is deze zelfreflectie ook belangrijk voor mijn werk, dus is het ook geen verspilde moeite. Aan het eind van de streep telt alleen het resultaat en als al die moeite er uiteindelijk toe leidt dat wij als organisatie onze informatiebeveiliging (volledig) onder controle hebben, was het de moeite dubbel en dwars waard. Na al die jaren als consultant te hebben gewerkt ben ik deze hoge mate van professionaliteit niet vaak tegengekomen bij andere organisaties en daar mogen wij best trots op zijn. Daarom alle lof aan ons team, niet alleen voor dit traject, maar zeker ook voor de wijze waarop wij onze informatiebeveiliging hebben ingericht!

Wilt u hier meer over weten, bel ons gerust!