Informatiebeveiliging volgens ISO/IEC 33020:2015 en de gewijzigde functie van IT audit.

Optimalisering interactie tussen mens - techniek  - proces voor inrichting informatiebeveiliging en IT audit

Programma woensdag 16 oktober :

18:30 Ontvangst met boerensandwiches en fruit

19:00 Presentatie en discussie: André Beerten

20:00 Koffie / thee pauze

20:15 Presentatie en discussie: Daan Koot

21:15- 22:00 Netwerkborrel

André Beerten spreekt uit zijn ruime ICT ervaring over de voordelen van het gebruik van een volwassenheidsmodel bij de implementatie van preventieve, detectieve en represieve informatiebeveiligingsmaatregelen. Hiervoor is een een gebalanceerde verbinding tussen het trio mens - techniek  - proces het uitgangspunt. De mens moet het goede gedrag vertonen (ja, ook de beheerder) en via een goed ontworpen proces komen we dan bij een goed gebruik van beveiligingstechniek uit. Dat gaat een spa dieper dan opzet-bestaan-werking, omdat het een toetsbaar maatregelontwerp oplevert langs de volwassenheids-as met ISO/IEC 33020:2015 als uitgangspunt en met de toepassing in de praktijk.

Daan Koot belicht de rol van de IT auditor in zo'n optimaal ingerichte en beveiligde procesomgeving.Traditioneel is de IT-auditor een onafhankelijke deskundige vertrouwensman, die door eigen waarneming (aanvullende) zekerheid verschaft aan de leiding over de beheersing van de bedrijfsprocessen en de daarmee samenhangende risico’s. De nieuwe opdracht van de IT-auditor zou die van een onafhankelijk ‘disruptief vertrouwensman’ kunnen zijn, die balanceert tussen enerzijds de ‘audit&assurance’-rol en anderzijds de ‘adviseur&sparringpartner’-rol voor de leiding. De vraag is immers of de auditors vooral blijven zoeken naar gewenste zekerheid (complexiteitsbeheersing) of zich meer gaan richten op de eliminatie van onzekerheid (complexiteitsreductie). Hierdoor verandert de functie van de IT-audit van verplicht examen naar gewenst verbeterproces.