Terugblik Young Internal Auditor Seminar (Deloitte)

27-12-2016

Op 13 december 2016 werd het derde Young Internal Audit Seminar gehouden, georganiseerd in samenwerking met Deloitte. Deze editie van het jaarlijkse evenement met Cyber Security als onderwerp vond plaats in het Cyber Intelligence Center van Deloitte in Den Haag.

Olaf Helmond (Director Internal Control Advisory) trapte de middag af met een introductie over de relevantie van Cyber Security voor organisaties en voor de Internal Audit Functie. Olaf liet door middel van een korte film zien hoe eenvoudig het kan zijn voor hackers om een organisatie “binnen” te komen. Stel je voor dat er een promotieteam van een populair merk bij de ingang van jouw organisatie usb-sticks uitdeelt: zou je deze usb-stick in je laptop steken omdat je nieuwsgierig bent naar wat erop staat? Alleen al het inpluggen van een usb-stick kan ervoor zorgen dat hackers toegang kunnen krijgen tot je computer. Daarnaast kregen we inzicht in de drie kernvragen die je als organisatie moet stellen om de cyberrisico´s van je eigen organisatie te verkennen:

  1. Wie wil je aanvallen?
  2. Wat willen de aanvallers hebben?
  3. Welke tactieken kunnen de aanvallers hanteren?

Na de kick-off zijn we in subgroepen uit elkaar gegaan. Allereerst kregen we een hack-demo waarbij de hacker inzicht kreeg in wat de gebruiker typt, alleen al door het openen van een simpel bestandje. Hiermee kunnen hackers eenvoudig inzicht verkrijgen in bijvoorbeeld gebruikersnamen en wachtwoorden.

Daarna werden we rondgeleid door het Cyber Intelligence Center (CIC) van Deloitte waarbij verschillende demo’s duidelijk maakten hoe een aantal bekende hacks hebben kunnen plaatsvinden, en hoe bedrijfsprocessen eenvoudig ontregeld kunnen worden.

Maar waar moet je nu als Internal Auditor naar kijken als je een onderzoek uitvoert naar de beheersing van cyber risico’s? Olaf presenteerde het Cyber Risk Framework met daarin drie pilaren: secure, vigilant, en resilient. Secure houdt in dat je als organisatie er alles aan moet doen om je zo goed mogelijk te beveiligen. Vigilant houdt in dat je continue monitort of er onbekende of verdachte activiteiten plaatsvinden op het netwerk. De laatste pilaar, resilient, heeft betrekking op hoe veerkrachtig je bent als er daadwerkelijk een aanval heeft plaatsgevonden. Denk hierbij aan: business continuity maar ook aan externe communicatie en crisismanagement.

Een belangrijk voorbeeld van Cyber Security voor de Internal Audit Functie bleek het om als organisatie periodiek hacking scenario’s te simuleren (red teaming) om zo blind-spots qua informatiebeveiliging bloot te leggen en hier ook daadwerkelijk iets mee te kunnen doen en op te kunnen anticiperen.

Wederom bleek deze editie een geslaagd event van Deloitte voor de Young Internal Auditors.

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 105F
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie