De IT-auditor wordt geacht een brede kennis van en ervaring op een verscheidenheid van aspecten betreffende informatietechnologie (IT) te hebben. In de praktijk herkennen wij nogal eens dat technische aspecten van IT beheersmatig worden geadresseerd, terwijl de wezenlijke risico’s daarmee niet altijd op passende wijze aan de orde worden gesteld. Hier liggen dan ook kansen voor de (technisch) IT-auditor om toegevoegde waarde te leveren, aan alle onderdelen van een organisatie.
Vanuit de praktijk weten wij dat een IT-auditor gedurende bijna elke audit wel zaken aantreft die noemenswaardig zijn als risico. Het is daarom aan de technisch IT-auditor om niet alleen dergelijke risico’s te duiden, maar ook om deze in een passend kader te plaatsen. Zo’n kader vraagt ook om een bedrijfsmatige risico-inschatting.
Tevens is het aan de IT-auditor om naast het beschrijven van een risico ook de oorzaken daarvan vast te stellen en eventuele achterliggende oorzaken in kaart te brengen, alsmede aanbevelingen te doen om deze oorzaken weg te nemen.
Dan blijft toch het knagende gevoel of het nu wel nodig is als IT-auditor zo diep de techniek in te gaan. Laten wij daarom hier twee voorbeelden belichten, waarvan het eerste ook in deze Compact wordt behandeld: RFID en sterke wachtwoorden.
Bij een audit van fysieke toegangsbeveiliging zijn voorname aandachtsgebieden de uitgifte en inname van toegangspassen, evenals het toekennen en opheffen van autorisaties en de controle hierop. Maar wat vinden wij uiteindelijk van de kwaliteit van toegangspassen? In het verleden werd vrijwel nooit een voorbehoud gemaakt als de techniek van toegangspassen niet was onderzocht, en toch werd veelal een uitspraak gedaan over fysieke toegangsbeveiliging. Met de kennis van nu verdient het echter aanbeveling wel te onderzoeken of de technieken die ten grondslag liggen aan de fysieke beveiliging wel veilig zijn. Immers, juist deze technieken completeren de vereiste procedurele maatregelen betreffende fysieke toegangsbeveiliging, en beide zijn noodzakelijk voor een adequate beveiliging.
En dan is er het wachtwoord als fopspeen. In veel gevallen zijn wij al tevreden als wachtwoorden in gebruik zijn, maar is dat afdoende? Is het afdoende als wij vernemen dat een lang wachtwoord in gebruik is? Er zijn twee belangrijke redenen om hieraan te twijfelen. In de eerste plaats is de sterkte van wachtwoorden afhankelijk van het kanaal via welke deze worden gecommuniceerd (in sommige gevallen nog steeds een onversleuteld kanaal), in de tweede plaats zijn wachtwoorden ‘sneller’ te kraken dan wij soms hopen.
Het is duidelijk dat techniek voor de IT-auditor kansen en bedreigingen biedt. Techniek biedt maatregelen om risico’s te beperken of zelfs om deze op te heffen. Ook levert de techniek bedreigingen op, namelijk het niet doorzien van alle aanwezige risico’s die daarmee gepaard gaan, wat resulteert in een auditrisico, namelijk dat het oordeel van de IT-auditor onjuist is.
In alle gevallen waarbij de scope van een audit wordt vastgesteld, is het dan ook van belang een goed inzicht te krijgen in zowel de beheerprocessen als de te onderzoeken technieken, alvorens tot een oordeel te komen.
Als bij de scoping van een audit blijkt dat techniek diepgaand dient te worden onderzocht, is het van belang de benodigde technische kennis en ervaring in het auditteam beschikbaar te krijgen.
In de voorliggende Compact wordt de relevantie van technical audits in verschillende omgevingen helder uiteengezet, van het belichten van fopspenen tot de vereiste diepgaande kennis op gebieden zoals Windows, SCADA en SaaS. Uiteraard mogen wij tot slot niet verzuimen te vermelden dat bij technical audits procesmatige aspecten zoals identity en access management niet mogen worden vergeten.
Wij wensen eenieder veel leergenot!