IT auditors: de kleren van de keizer en met een bek vol tanden

IT auditors hebben een belangrijke taak om onze maatschappij te wijzen op de gevaren van internetgebruik en webservices. IT auditors hebben bij uitstek de functie en rol om deze gevaren transparant te maken voor onze maatschappij. Ondertussen blijken organisaties en systemen die zijn gecertificeerd conform de best practice standaarden hard te falen op het gebied van security en privacy. Het blijven hanteren van de inmiddels versleten auditstandaarden leidt er toe dat de auditors rondlopen in de kleren van de keizer.

Opmerkelijk genoeg blijft het ondanks alle cyberincidenten, erg stil aan de zijde van de IT auditberoepsbeoefenaren. Het lijkt wel alsof de IT auditors “met een bek vol tanden staan”. Dit is uiteraard onverstandig want als IT auditors nu niet in actie komen dan zal de relevantie van hun beroep ter discussie komen te staan. Overigens zal iets vergelijkbaars ook voor security experts gelden.

Traditionele certificeringen falen

Eén van de problemen is dat veel auditstandaarden erg traditioneel zijn opgezet. Vaak richten deze standaarden zich op het beheersen van (management)processen, organisatorische maatregelen en verantwoordelijkheden. Allemaal erg belangrijk, maar feitelijk draait dit allemaal om de hete brei heen. Leuk voor de buitenwereld en om aansprakelijkheden te beperken.  Waar veel te weinig aandacht aan wordt besteed is de “IT werkelijkheid”. Wat doet het systeem echt, is het systeem betrouwbaar in architectuur, is het opgezet volgens privacy by design, zijn de securitymaatregelen werkelijk aanwezig en werken die? Zijn systemen ontdaan van overbodige en ongewenste functies, waaronder ook malware en backdoors? Transparantie over de IT werkelijkheid, dat is waar het echt om gaat als het om privacy en beveiliging gaat.

Grote maatschappelijke impact

Een steeds groter deel van het maatschappelijk verkeer speelt zich via digitale netwerken af. Het gebruik varieert van entertainment, gaming, onderwijs, nieuwsgaring, uitwisseling medische gegevens en zeker ook zakelijke transacties. Ongeveer alles wat in de reële wereld gebeurt doen we op de één of andere manier ook in de virtuele wereld. De technologie brengt ons veel goeds en schept nieuwe mogelijkheden. Maar tegelijkertijd blijkt ook dat juist deze technologie zich uitstekend leent voor extreem en grootschalig misbruik. Met de onthullingen van Snowden over de NSA praktijken, maar ook door binnenlandse incidenten over privacyschendingen en falende beveiligingen, blijkt de technologie zich tegen onze maatschappij en tegen ons als individu te keren.

Inbreuk op de individuele levenssfeer

Via internetgebruik kan niet alleen het gedrag en voorkeuren van individuen worden bepaald, maar ook denkbeelden en persoonlijkheidskenmerken kunnen hieruit worden afgeleid. Aanbieders kunnen hier gebruik van maken om vervolgens te bepalen wat zij relevant achten voor jou. De maatschappelijke consequenties hiervan worden nog maar beperkt begrepen. Maar duidelijk is wel dat dit fundamentele rechten van de mens raakt zoals zelfbeschikkingsrecht, vrijheid van nieuwsgaring en ook stigmatiserend kan werken voor groepen of individuen. De bewustwording hiervan begint voorzichtig op gang te komen, maar is nog onvoldoende.  De maatschappelijke relevantie van veiligheid en privacy is zeer groot. Deze relevantie wordt vanuit een IT audit en security perspectief veel te weinig belicht. Het is belangrijk dat de maatschappelijke risico’s van onveilige digitale diensten duidelijker worden gemaakt.

Positieve ontwikkelingen

Die zijn er gelukkig ook. De richtlijn van het Nationaal Cyber Security Centrum (NCSC) inzake de veiligheid van webapplicaties is een richtlijn die meer focus legt op de IT werkelijkheid. De verplichting binnen de Nederlandse overheid om bij het opzetten van nieuwe systemen een zogenaamde privacy impact assessment (PIA) uit te voeren,  is een goede stap vooruit. Binnen de PIA standaard wordt veel meer aandacht gevraagd voor de IT werkelijkheid. Wat doet het systeem echt en zijn privacy principes en beveiliging gerealiseerd binnen het systeem. Het mooie van een PIA is dat deze de link legt tussen én maatschappelijk belang én de technologie. Een enorm belangrijke ontwikkeling.

Call for action

Ondanks alle beveiligingsincidenten bij gecertificeerde organisaties, wordt er voorlopig nog flink door gehobbeld met de traditionele auditstandaarden. Ik maak mij zorgen of de bewustwording bij IT auditors over de noodzaak om nu in actie te komen voldoende is. Nieuwe auditstandaarden zullen moeten worden ontwikkeld. De relatie tussen security en maatschappelijke consequenties moet beter gelegd worden. IT auditors moeten van zich laten horen. Voorlopig krijg ik toch meer de indruk van: “een bek vol tanden en de kleren van de keizer”.


Jan Matto is partner bij Mazars en verantwoordelijk voor de IT audit en adviesactiviteiten.

Dit artikel verscheen op 6 december 2013 op het kennisplatform van Cqure en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Jan Matto