Als internal auditor is IT niet meer te ontlopen. Sla de trends in internal audit van de afgelopen jaren en voor het komende jaar er maar op na: cybersecurity, AI, data intelligence, data protection, agile, DevOps… enzovoort. In al het IT-geweld is het gemakkelijk om de focus te leggen op techniek en bijbehorende beveiligingsrisico’s op hardware niveau en daar als auditor mee aan de slag te gaan, maar dan laat je wel iets belangrijks liggen…
Als IT-auditor heb ik in de opleiding veel IT-techniek gekregen. Doe maar een greep: auditen van Unix, Windows, databases, encryptietechnieken en hacking. Niet voor niets bestaat het binaire logo van het NOREA uit nullen en enen. (Het binaire getal staat overigens voor 1992, het jaar van oprichting). We zijn er trots op, op al onze techniek-kennis.
Als je vervolgens in het vak aan het werk gaat, blijkt dat die kennis van techniek weliswaar noodzakelijk en nuttig is, en de basis vormt voor bijna alle IT-audits, maar dat er toch iets mist… Er is wat mij betreft één levensgroot probleem, waar ik in elk geval altijd tegenaan loop. Niet de techniek, maar de mens is soms de sterkste en soms de zwakste schakel. Een computer doet, wat de mens hem opdraagt. Of het nou de ontwikkelaar is, de koper, de tester, of de gebruiker. Fouten van de computer zijn dus eigenlijk altijd menselijke fouten. Ik laat hier AI, machine learning en deep learning even buiten beschouwing, want eerlijk gezegd wordt het dan pas echt eng. Daar hoef je alleen maar een paar films voor te downloaden. I, ROBOT, anyone?
Nee, die mens. Die fascineert me. Wat doet die mens, en waarom? Waarom leert die mens, en waarom begaat hij keer op keer dezelfde fout? Begrijp me goed, ik houd heus wel van mensen. Maar af en toe verbaas ik me over de interactie tussen mens en computer – en hoe de mens de computer en de beveiliging ervan in gevaar kan brengen.
Op dat beveiligingsaspect is inmiddels iets gevonden: IT security awareness-programma’s. Sinds een aantal jaar is awareness het toverwoord vanuit IT-organisaties, om de mens voor de gevaren van het gebruik van de computer en de bijbehorende, soms vijandige externe automatiseringsomgeving te waarschuwen. Zo proberen ze die zwakste schakel (ach ja, ik ben dan toch biased in het voordeel van de techniek) te versterken.
Vinden we daar als internal auditor eigenlijk wat van? Auditen we de ‘IT security awareness-programma’s’ van onze organisaties? Te weinig, lees ik in de vakbladen. Terwijl dat juist dé manier is om als auditor bij te dragen aan continue verbetering van de beveiliging van de organisatie.
“Blame the computer” lijkt soms de kreet voor alle IT-problemen. “Blame the Human” zou ik zeggen. En aan ons als auditors om die mens te beschermen, te waarschuwen, mee te nemen en te begeleiden. Audit eens de IT security awareness-trainingen en -activiteiten van jouw organisatie. Zorg dat zo’n awareness-programma bijvoorbeeld voldoet aan de modellen voor succesvol trainen van Kirkpatrick (peilen van reactie, lerend vermogen, gedragsverandering en resultaten/effectmeting). In de complexe, technische wereld van IT.
Wegrennen? Nee, omarm ze maar, die mensen. Na toestemming, natuurlijk. Dat moet je wel even vragen. Een computer vindt het niet meteen #metoo. Ik had al gezegd dat ik biased was, toch? Succes!
Auteur: Elizabeth Rosheuvel is lid van de Commissie Leden en Vrijwilligers van het IIA. Deze blog is op persoonlijke titel geschreven.