Zo’n 25 jaar geleden beperkte de aandacht van IT-auditors zich vooral tot mainframeomgevingen. Bedreiging van ICT was iets nieuws waar nog lang niet iedereen van doordrongen was. Zo moesten we bijvoorbeeld nog ons best doen om organisaties duidelijk te maken dat niet iedereen zomaar toegang tot de computerzaal mocht hebben. Met de komst van pc’s en netwerken moesten we weer aan het missiewerk: data was niet langer alleen op een tape aanwezig in de computerzaal en op de back-uplocatie, maar raakte toegankelijk vanuit de hele organisatie. Ook de afhankelijkheid van ICT nam sterk toe. Inmiddels hoeven we gelukkig zelden meer aan de leiding van organisaties uit te leggen dat de bedrijfsprocessen sterk afhankelijk zijn van informatietechnologie en dat ICT aan een veelheid van bedreigingen blootstaat.
Een nieuwe fase is ingetreden: het senior management wordt geconfronteerd met toenemende druk om aan te tonen dat de bedrijfsprocessen onder controle zijn. Hiermee zien we geleidelijk een nieuw fenomeen: er wordt vanuit de business gevraagd om strak georganiseerde, aantoonbaar goed geregelde beveiliging van de informatie(verwerking). Bij onze klanten ervaren we dan ook over de volle breedte een toegenomen aandacht voor informatiebeveiliging. Aanleiding voor de redactie van Compact om dit nummer hieraan te wijden.
U treft een zeer breed scala aan onderwerpen aan. Zo vindt u artikelen over nieuwe ontwikkelingen in ICT, zoals Voice over IP, Radio Frequency IDentification en webservices. Deze ontwikkelingen vormen een belangrijke beweging waarmee we zowel in ons werk als in ons dagelijks leven te maken krijgen. Het is belangrijk om hier ook vanuit het perspectief van risicomanagement bij stil te staan.
Er is natuurlijk ook plaats voor de vraag hoe we moeten omgaan met SOX 404 in het kader van IT-infrastructuurbeveiliging. Scoping en planning van deze trajecten blijken telkens een stevige uitdaging op te leveren, en het artikel van Kornelisse, Van Dijk en Van den Berg reikt u daarbij de helpende hand.
Eveneens vanuit de dagelijkse praktijk van KPMG Information Risk Management komt een artikel over Identity & Access Management. Veel organisaties zijn hiermee bezig, en vele vinden het een omvangrijk en lastig onderwerp. Dit artikel reikt u een handvat om dit onderwerp aan te pakken. Eén van de lastigste aspecten van Identity & Access Management blijkt telkens het inrichten van de autorisaties te zijn. Het artikel van Mienes beschrijft hiervoor een aanpak die zich in de praktijk meermalen heeft bewezen. Een nieuwe dimensie in identity management is de opkomst van federated identity management: een ontwikkeling die u als burger en als bedrijf in Nederland sowieso zal raken gelet op de plannen van onze overheid. Het artikel van Verbree en Van der Hulst geeft u een gevoel voor wat er op dat front gebeurt.
TCP/IP is een protocol waar we tegenwoordig allemaal mee werken. In het artikel van De Jong kunt u lezen hoe u dit protocol ook kunt gebruiken om IT-componenten in uw infrastructuur te vinden en te identificeren.
Ons palet wordt gecompleteerd door artikelen over informatiebeveiliging bij pensioenfondsen, standaarden voor bedrijfscontinuïteit en over de beoordeling van Oracle-databases.
Als we zo dit extra dikke nummer overzien, is er veel gebeurd in 25 jaar. Niet alleen in de hoeveelheid en soorten technologie waarmee we dagelijks te maken hebben, maar zeker ook in de aandacht voor de risico’s die zij met zich meebrengt. De auteurs en ik hopen u met de artikelen te helpen op uw reis naar het ‘in control’ brengen en houden van uw organisatie voor wat informatietechnologie betreft. Ik wens u veel leesplezier toe.