Security-audits vaak wassen neus

Bedrijven, leveranciers en samenwerkende organisaties koppelen steeds vaker hun ICT-systemen met elkaar. Om efficiënter te werken worden bestanden via apps en allerlei vormen van digitale gegevensuitwisseling gedeeld. Hoewel dit veel bedrijfskansen biedt, brengt het volgens Martijn Sprengers ook beveiligings- en privacy-risico’s met zich mee. Ketenbeveiliging wordt daarom steeds belangrijker.

Als je kijkt naar de beveiliging in een keten van samenwerkende bedrijven, dan zijn niet alleen de leverende partijen belangrijk. Kun je er bijvoorbeeld zeker van zijn dat door jou vervaardigde software of (digitale) producten geen schade bij anderen aanrichten? Een beveiligingsincident bij één partij kan grote gevolgen hebben voor de andere organisaties in de keten. Organisaties proberen zich daarom op allerlei manieren in te dekken tegen aansprakelijkheid, bijvoorbeeld door audits of assurance-opdrachten te laten uitvoeren. Maar wat is precies de waarde daarvan? En hoe zorg je ervoor dat de beveiliging van de keten echt gewaarborgd is?

Martijn schrijft dat een ISAE3402-rapport bijvoorbeeld gaat over de beheersing van uitbestede financiële processen die relevant zijn voor de jaarrekeningcontrole, of een ISAE3000-rapport gaat over uitbestede niet-financiële processen. Voor het testen van die diensten gelden echter heel andere regels dan voor het testen van ketenbeveiliging. De vaak beperkte scope maakt het meestal onmogelijk om zekerheid af te geven over security van één partij, laat staan over de beveiliging van de gehele keten.

Lees hier het hele artikel van Martijn Sprengers.