Een interne audit is in veel gevallen een jaarlijkse verplichting. Organisaties met bijvoorbeeld een ISO 27001 certificaat, onder de DORA vallen of overheidsorganisaties die aan BIO2 moeten voldoen, hebben hiermee te maken. Maar wat komt er allemaal kijken bij een dergelijke audit? En hoe kiest u een partij die een kwalitatief hoogstaande audit uit kan voeren, die ook aansluit bij de behoeften van uw organisatie? In dit artikel beschrijven wij hoe een interne audit in zijn werk gaat en leggen wij uit wat u kunt verwachten van Nestor Security.
Wat is een Interne audit?
Een interne audit op gebied van informatiebeveiliging is een onafhankelijke beoordeling van hoe een organisatie de beveiligingsmaatregelen heeft ingericht. Er wordt ook gekeken naar de uitvoering van deze maatregelen. Met een audit controleert u of uw organisatie voldoet aan de normen en verplichtingen die in uw specifieke situatie gelden. Een jaarlijkse audit helpt organisaties daarnaast om informatiebeveiliging te verbeteren waar nodig.
Marcel Dusink, auditor bij Nestor Security licht toe: “De basisgedachte van een interne audit is dat een onafhankelijke partij meekijkt in de organisatie. Wij hebben niet alle voorkennis van de interne situatie, maar wel de expertise. Juist die combinatie zorgt ervoor dat risico’s en verbeterpunten scherp gesignaleerd kunnen worden. Vreemde ogen dwingen.” Interne audits maken onderdeel uit van een breder systeem van kwaliteitsborging en toezicht. Ze helpen organisaties om aantoonbaar in control te blijven en voorbereid te zijn op externe audits.
Tijdens een audit verzamelt de auditor bewijs door interviews, documentatieonderzoek en technische controles. “Een belangrijk onderdeel is bepalen welke gesprekken gevoerd moeten worden en welke bewijsvoering nodig is,” legt Marcel uit. “Wanneer bijvoorbeeld incidentbeheer wordt onderzocht, wil een auditor zien hoe incidenten worden geregistreerd en afgehandeld. Bij back-ups willen wij kunnen vaststellen dat ze daadwerkelijk werken. De resultaten worden vastgelegd in een rapport met bevindingen en aanbevelingen. Een audit levert bijna altijd verbeterpunten op. Sommige zijn verplicht om op te lossen, andere zijn aanbevelingen. Beide helpen de organisatie om volwassener te worden in informatiebeveiliging.”
Werken met normenkaders
Interne audits worden uitgevoerd aan de hand van normenkaders, zoals ISO 27001, BIO of DORA. Deze frameworks bevatten concrete beheersmaatregelen die organisaties helpen hun informatiebeveiliging te structureren. “Zo’n normenkader kan gezien worden als een checklist,” legt Marcel uit. “Wij kijken systematisch of de organisatie voldoet aan de maatregelen die zijn afgesproken. ISO 27001 is daarin de bekendste, met een groot aantal beheersmaatregelen verdeeld over verschillende domeinen.”
Door audits op te delen in overzichtelijke onderdelen, ontstaat een beheersbaar en effectief auditproces. “Wij kiezen er bewust voor om audits op te splitsen in kleinere, operationele onderdelen,” zegt Marcel. “Daardoor kunnen wij gerichter kijken, beter aansluiten bij de organisatie en uiteindelijk kwalitatief betere audits uitvoeren.”
Een interne audit kent altijd drie duidelijke rollen: de opdrachtgever, de auditor en de auditee.
- De opdrachtgever is de organisatie die de audit initieert en verantwoordelijk is voor opvolging van de resultaten.
- De auditor voert het onderzoek uit en moet daarbij onafhankelijk opereren.
- De auditee is de persoon of afdeling binnen de organisatie, waarvan de werkzaamheden tijdens de audit worden onderzocht.
“Een audit werkt alleen als de rollen duidelijk zijn en het proces zorgvuldig wordt gevolgd. De auditor moet voldoende tijd en bevoegdheden krijgen, en de organisatie moet goed geïnformeerd zijn over het proces en de resultaten. Transparantie en hoor en wederhoor zijn daarbij essentieel. Wij leggen bevindingen altijd voor aan de organisatie. Het doel is niet om te verrassen, maar om een eerlijk en volledig beeld te geven.”
De aanpak van Nestor Security
Bij Nestor Security is de audit niet alleen gericht op controle, maar ook op het verder helpen van organisaties. Marcel vertelt: “Ons onderzoek laten we aansluiten bij de context van de organisatie. Zo zorgen we ervoor dat we geen onnodig strenge interpretatie toepassen van een beheersmaatregel, maar dat deze past bij de wijze waarop een organisatie haar werk doet. Onze aanpak is nuchter en pragmatisch. We denken mee over hoe beveiliging echt beter kan. Wij zorgen er daarnaast altijd voor dat auditors onafhankelijk zijn. Als wij ergens hebben geholpen met implementatie, voeren wij daar niet zelf de interne audit uit. Dat is essentieel voor de objectiviteit. Het belangrijkste is dat organisaties zich geholpen voelen en concrete handvatten krijgen om verder te verbeteren.”
Benieuwd wat een interne audit van Nestor Security voor uw organisatie kan betekenen? Neem contact met ons op.