Interne audit functie kan cybersecurity aanpak versterken

11 april 2016 Consultancy.nl

Een nieuw onderzoek van Protiviti toont aan dat cybersecurity steeds vaker aandacht krijgt binnen interne audit teams. Die ontwikkeling wordt door de adviseurs toegejuicht, aangezien internal audit voor organisaties een belangrijke rol kan spelen in het versterken van cybersecurity. De mate van volwassenheid verschilt echter tussen de verschillende bedrijven. Organisaties met de best presterende internal audit teams profiteren van een solide cybersecuritycapaciteit, terwijl anderen nog een lange weg te gaan hebben.

Cybersecurity is de afgelopen tijd een steeds belangrijker vraagstuk geworden voor organisaties. Cyberaanvallen lijken steeds frequenter voor te komen, en de negatieve gevolgen van een succesvolle aanval kunnen een organisatie op zijn grondvesten doen schudden. Zo kunnen aanvallen de bedrijfsvoering verstoren door het aantasten van databases of websites, of er via phishing voor zorgen dat per ongeluk miljoenen worden overgemaakt naar verkeerde bankrekeningen. Bovendien kan de potentiële diefstal van persoonlijke gegevens, of intellectueel eigendom, voor een organisatie vaak leiden tot aanzienlijke, soms zelfs structurele reputatieschade.

De afgelopen jaren zijn organisaties zich daarom steeds meer gaan inspannen om te reageren op deze nieuwe bedreiging. Bestuurders zijn meer betrokken bij het probleem, personeel wordt getraind om met de bedreigingen om te gaan, en cyberbeveiliging aan de voorkant van organisaties en op onderdelen die kwetsbaar zijn voor aanvallen worden opgevoerd. Ook wordt analytics steeds meer toegepast om de cybersecurity te verbeteren.

Een nieuw onderzoek van Protiviti introduceert een andere, maar waardevolle benadering voor het verlagen van de risico’s die gepaard gaan met cyberactiviteiten. Op basis van een assessment onder meer dan 1.300 internal audit professionals, waaronder ruim 150 Chief Audit Executives (CAE’s), laat het consultancybureau zien dat er twee cruciale succesfactoren zijn bij de ontwikkeling en executie van een effectieve cybersecuritystrategie. De eerste factor omvat een hoge mate van betrokkenheid van het management bij informatiebeveiligingsrisico’s, vooral managers in hogere, leidinggevende posities. “De dreiging van cyberaanvallen is aanzienlijk en wordt steeds geraffineerder”, vertelt Brian Christensen, de Executive Vice President of Global Internal Audit bij Protiviti. “Uit ons onderzoek bleek dat wanneer het aankomt op cybersecurity in relatie tot audit-processen, dat de best presterende organisaties beschikken over audit commissies en besturen die actief schakelen met de internal audit afdeling indien dergelijke risico’s ontdekt en beoordeeld worden.”

De tweede succesfactor draait om voldoende samenspel tussen risk management en internal audit. “De internal audit afdeling zou cybersecurity in zijn dagelijkse activiteiten moeten opnemen, evenals in zijn jaarlijkse audit plan”, stelt Christensen. Bedrijven die over tenminste een van deze succesfactoren beschikken hebben een “aanzienlijk betere kans” om cyberbedreigingen het hoofd te kunnen bieden. Zo beschikt 91% van de organisaties waar sprake is van een hoge mate van betrokkenheid vanuit het bestuur over een cybersecurity risicostrategie, ten opzichte van 77% bij overige organisaties. In diezelfde lijn, heeft 83% van de organisaties die cybersecurity hebben opgenomen in hun internal audit plannen een cybersecuritybeleid, tegenover 53% van de organisaties die in hun interne audits geen aandacht besteden aan cybersecurity. 

Het onderzoek laat zien dat professionals in toenemende mate aandacht besteden aan de best practices die ontwikkeld worden op cybersecurity gebied. Als gevolg hiervan wordt er door internal audit teams over de hele linie meer strategische aandacht besteed aan cybersecurity. Zo beschikken vier op de vijf organisaties over een cybersecurity risicostrategie, en heeft driekwart van de organisaties cybersecurity risico opgenomen in hun jaarlijkse internal audit plannen, een toename van bijna 20% ten opzichte van 2015.  Op governance gebied rapporteert bij een meerderheid van de organisaties de CIO regelmatig aan de audit commissie, met betrekking tot cybersecurity en IT risico’s. Vooral bij de best presterende bedrijven in het onderzoek ligt dit percentage hoog. 

In navolging van de verscherpte focus lijken organisaties een stuk zelfverzekerder te zijn geworden als het op cybersecurity aankomt. Dit wordt geïllustreerd door het feit dat interne audit professionals zich, ten opzichte van 2015, op bijna alle belangrijke risicogebieden minder zorgen maken over de beveiliging van hun cyberomgeving. Merkschade vormt volgens hen het risico met de grootste impact, gevolgd door datalekken en datasecurity, hoewel in alle gevallen de risicoscore (op een tienpuntschaal) gedaald is van boven de 7,5 tot onder de 6.

“Cybersecurity is uitgegroeid tot een strategisch bedrijfsrisico”, vertelt Christensen, die toevoegt dat experts – ondanks het feit dat er terrein gewonnen is – niet te vroeg moeten juichen. De trend is volgens hem deels een logisch gevolg van de “wijdverspreide communicatie” over het onderwerp, wat er waarschijnlijk toe heeft geleid dat veel organisaties aan de slag zijn gegaan met het opstellen van cybersecuritystrategieën en –beleid. Christensen spreekt van “positieve stappen”, maar benadrukt dat dit voor organisaties “slechts het begin vormt”, willen ze in hun strijd tegen cyberbedreigingen succesvol zijn.

De resultaten van het onderzoek onderschrijven deze uitspraak, aangezien deze bevindingen aantonen dat organisaties nog steeds “een lange weg hebben af te leggen”, zeker wanneer het aankomt op de mate van volwassenheid bij uitvoerings-gerelateerde aspecten van cybersecurity. Gebrek aan talent wordt bijvoorbeeld als een belangrijk obstakel gezien. In vergelijking met de resultaten uit 2015 geven ongeveer twee keer zoveel respondenten aan niet in staat te zijn aandacht te besteden aan specifieke risicogebieden, vanwege een tekort aan vaardigheden en middelen.

Soortgelijke bevindingen zijn er ook op het gebied van tooling, wat onderstreept dat een meer toekomstgerichte benadering de cybersecurity ten goede komt. Hierbij moet men denken aan zaken als strategische workforce planning en een IT-strategie voor cybersecuritytoepassingen. Verder biedt een meer holistische blik zicht op nog een ander mogelijk verbetergebied. “Cybersecurity is niet alleen maar een IT-vraagstuk – het is een bedrijfsrisico dat alleen kan worden beheerst door het hanteren van een samenhangende aanpak”, aldus Christensen. Organisaties worden geadviseerd om een organisatiebrede executie te stimuleren, die gepaard gaat met effectieve communicatie. 

Op basis van de bevindingen hebben Christensen en zijn team bij Protiviti – een wereldwijd consultancybureaus gespecialiseerd in GRC en internal audit – tien cybersecurity aanbevelingen opgesteld voor bestuurders: 

  • Werk bij het ontwikkelen van cybersecuritystrategie en -beleid samen met het management en de rest van het bestuur.
  • Identificeer en benut kansen die het vermogen van de organisatie versterken om cybersecurityrisico’s te identificeren, beoordelen en tot een acceptabel niveau te verminderen.
  • Erken dat cybersecurityrisico’s niet alleen van buitenaf komen – beoordeel en beperk potentiële bedreigingen die kunnen voortkomen uit de acties van een werknemer of businesspartner.
  • Benut de relaties met de auditcommissie en het bestuur om (a) het bewustzijn en de kennis van cyberbedreigingen te verhogen; en (b) ervoor te zorgen dat het bestuur nauw betrokken is bij cybersecurityvraagstukken en up to date blijft bij de veranderende aard van cybersecurityrisico’s.
  • Integreer cybersecurity risk formeel in het audit plan.
  • Ontwikkel inzichten in hoe nieuwe technologieën en trends de organisatie en zijn cybersecurity risicoprofiel beïnvloeden, en houd deze up to date.
  • Evalueer het cybersecurityprogramma van de organisatie aan de hand van het NIST Cybersecurity Framework, en houd daarbij in gedachten dat omdat het framework niet tot op controleniveau reikt, er mogelijk extra evaluaties nodig zijn aan de hand van ISO 27001 en 27002.
  • Zoek kansen op om richting het management te communiceren dat, met het oog op cybersecurity, het sterkste preventievermogen voortkomt uit een combinatie van menselijke en technologische beveiliging – oftewel een complementaire mix van voorlichting, bewustzijn, oplettendheid en technologische tools.
  • Benadruk dat cybersecurity monitoring en reageren op cyberincidenten een topprioriteit moet zijn voor het management. Een duidelijk escalatieprotocol kan daarbij helpen.
  • Werk tekorten aan IT- en auditpersoneel en resources weg, evenals een gebrek aan ondersteunende technologische tools, omdat deze tekorten effectieve beheersing van cybersecurityrisico’s kunnen tegenwerken. 

“Het is duidelijk dat meer inspanning benodigd is om de interne audit capaciteit uit te bouwen. Bedrijven moeten meer actie ondernemen om deze vereiste vaardigheden in positie te brengen”, concludeert Christensen.

Het onderzoek '2016 Internal Audit Capabilities and Needs Survey' kan worden gedownload via deze link.

Nieuws