026 38 111 73          06 5141 0592          info@benutuwpotentieel.nl        

31/12/1969

Waarom it-algemene controles belangrijk zijn voor compliance en cyberbeveiliging

door Matt Kelly op 23 november 2020

Algemene IT-controles behoren tot de belangrijkste elementen van effectieve compliance en IT-beveiliging. Het is dus een beetje vreemd dat veel bedrijven - en compliance professionals, wat dat betreft - moeite hebben om precies te begrijpen hoe "ITGCs" compliance ondersteunen en de vele manieren waarop ze kunnen falen.

Laten we vandaag een duik nemen in algemene IT-controles en hoe organisaties hun ITGCs moeten besturen om die fouten te voorkomen.

Wat zijn it-algemene controles?

In de eenvoudigste definitie zijn ITGCs besturingselementen die bepalen hoe technologie wordt ontworpen, geïmplementeerd en gebruikt in uw organisatie. ITGCs geven vorm aan alles, van configuratiebeheer tot wachtwoordbeleid, applicatieontwikkeling tot het aanmaken van gebruikersaccounts. Ze regelen kwesties zoals hoe technologie wordt verworven en ontwikkeld, of hoe beveiligingsprotocollen worden uitgerold in de hele onderneming.

Zonder ITGCs kunnen werknemers niet vertrouwen op de gegevens en rapporten die IT-systemen leveren.

Dat kan leiden tot een groot aantal compliance-rampen, zoals privacyschendingen, diefstal van bedrijfsmiddelen, niet-naleving door de regelgeving en meer - plus de operationele verstoring die wordt bezocht bij bedrijfsonderdelen die niet kunnen vertrouwen hoe hun IT-systemen presteren.

Vandaar de noodzaak van een duidelijk begrip van ITGCs, en hoe effectieve ITGCs in uw bedrijf te handhaven. Zonder hen ben je gezonken.

Wat doen ITGCs precies?

 

ITGCs bepalen de technologie die andere delen van de onderneming gebruiken om hun werk te doen. Een groot bedrijf kan bijvoorbeeld toepassingen hebben die ondersteuning bieden voor financiering, inkoop, voorraad, onderzoek, verkoop en marketing en human resources. Al deze teams gebruiken hun eigen IT-toepassingen en zijn afhankelijk van die toepassingen die op bepaalde manieren werken. Bij de meeste grote bedrijven zullen elk van deze toepassingen deel uitmaken van één ERP-systeem (Enterprise Resource Planning), zoals Oracle of SAP.

De ITGCs bepalen hoe dat ERP-systeem werkt. Zij zouden taken controleren zoals:

  • Het maken van beheerdersaccounts of 'supergebruikers', die vervolgens andere gebruikersaccounts voor elke IT-toepassing kunnen maken.
  • Software lifecycle management, dat bepaalt hoe een nieuwe toepassing wordt ontwikkeld, getest en geïmplementeerd in uw onderneming.
  • Patchbeheer, om ervoor te zorgen dat beveiligings- of software-upgrades snel worden uitgerold naar alle systemen die de upgrade nodig hebben.
  • Wachtwoordbeheer en andere identiteitsverificatie, om ervoor te zorgen dat elke toepassing over de juiste toegangscontroles beschikt.
  • Controlelogboeken, zodat alle transacties of wijzigingen in de IT-systemen worden geregistreerd en op een later tijdstip beschikbaar zijn voor audits of andere beoordelingen.

U ziet waarom ITGCs zo belangrijk zijn voor cyberbeveiliging en naleving van de regelgeving (compliance). Als elke werknemer bijvoorbeeld de macht heeft om nieuwe gebruikersaccounts te maken, kan iedereen een "stealth-gebruiker" maken om vertrouwelijke gegevens te bekijken of bedrijfsgelden over te maken naar een offshore-account. Met slordig patchbeheer kunt u een systeem dat is verbonden met internet met verouderde beveiliging achterlaten; vervolgens kunnen aanvallers een exploit gebruiken die ze op het dark web hebben gevonden om uw ERP-systeem te infiltreren en onder te duiken met gegevens of waardevolle intellectuele eigendommen te wissen.

Een directer probleem met ITGCs is dat externe accountantskantoren routinematig ITCGs onderzoeken als onderdeel van hun audits over financiële rapportage of beveiligingscontroles (SOX-audits) - dus als u slechte ITGCs hebt, laat u de audit zakken. Dat kan leiden tot ongemakkelijke onthullingen aan beleggers als de ITGCs worden aangehaald in een financiële audit; of verloren zaken als slechte ITGCs potentiële klanten bang maken over beveiligingsrisico's. Het zal ook leiden tot kostbare sanering hoe dan ook.

Zo dus verstandige bedrijven zullen ITGCs vanaf het begin serieus nemen en een sterke, goed bestuurde set ITGCs bouwen om die hoofdpijn te voorkomen.

Wat houdt sterk ITGC-management in?

 

Begin eerst met een compliance framework dat alle "standaard" ITGC-risico's en potentiële controles omvat. (Het COSO-kader voor interne controles is een voorbeeld; het COBIT-framework specifiek voor IT-controles is een ander.) Hierdoor kan de CISO (of de IT-auditor of interne auditor) een fundamentele risicobeoordeling uitvoeren en zwakke punten in uw ITGCs identificeren. Enkele veelvoorkomende zwakke punten zijn:

  • Als u het maken van een gebruikersaccount niet regelt,kan iemand een gebruikersaccount maken zonder de juiste machtigingen of een gebruikersaccount actief laten, zelfs nadat de gekoppelde werknemer is vertrokken.
  • Slecht patch- en configuratiebeheer, een van beide kan uw ERP-systeem kwetsbaar maken voor exploits van aanvallers.
  • Onvoldoende audit logs,zodat als er iets mis gaat en je wilt precies onderzoeken wat er gebeurd is, kun je niet.
  • Slechte softwareontwikkelingscontroles,waardoor iemand kan wijzigen hoe een toepassing werkt of welke transactionele gegevens worden geregistreerd.

Die zwakke punten komen keer op keer opdagen bij datalekken en andere beveiligingsincidenten. Slecht patchbeheer laat bedrijven bijvoorbeeld blootgesteld aan het RECON-beveiligingslek als u SAPof het BigDebIT-beveiligingslekgebruikt als u Oracle gebruikt. Beide stellen aanvallers in staat om standaardtoegangscontroles te omzeilen om uw gegevens rechtstreeks te manipuleren, waaronder het rechtstreeks stelen van uw gegevens (privacyschending!) of het wijzigen van financiële gegevens (fraude, diefstal en omkopingsrisico).

Het herstellen van zwakke punten kan vaak het lastige deel zijn. Sommige herstelstappen zijn eenvoudig en kunnen alleen door de CISO worden uitgevoerd, zoals het configureren van het ERP-systeem om auditlogboeken te genereren of het it-systeem regelmatig te scannen om alle technologische activa van het bedrijf te catalogiseren. Het implementeren van deze stappen, het testen van hun succes, het documenteren dat ze zijn gebeurd - dat kan vervelend zijn, en je zou er goed aan doen om te vertrouwen op een technologie tool om ervoor te zorgen dat het allemaal correct gebeurt. Maar het zijn nog steeds eenvoudige stappen die een CISO kan nemen zonder controverse.

Andere saneringsstappen zullen ingaan op hoe werknemers hun werk doen. De CISO zou er goed aan doen om een compliance- of IT-risicocomité te hebben dat regelmatig bijeenkomt om te praten over interne controle, waar leidinggevenden in de hele onderneming gezamenlijk overeenstemming kunnen bereiken over een strategie voor de implementatie van ITGC.

Beleid over wachtwoordcomplexiteit of multifactorauthenticatie zijn bijvoorbeeld belangrijke algemene IT-besturingselementen. Ze kunnen ook medewerkers of klanten ergeren. Dus de CISO en andere leidinggevenden moeten beslissen over een passende hoeveelheid controle gezien het risico - "Hebben we echt behoefte aan 19-karakter wachtwoorden maandelijks bijgewerkt? Zijn de gegevens die we beschermen zo belangrijk?" — en vervolgens de juiste berichten en training opvolgen, zodat werknemers de noodzaak begrijpen van wat ITGCs binnen uw organisatie ook implementeert.

Gerelateerd artikel: Het definiëren en bouwen van uw in-house compliance committee 

Bovendien heeft uw organisatie een governanceproces nodig, dat uw ITGCs gebonden houdt aan de wettelijke en operationele risico's waarmee u wordt geconfronteerd. Dit is een andere taak voor de interne compliance of risicocommissie. Komt regelmatig bijeen om te zien hoe bedrijfsactiviteiten of wettelijke vereisten zijn gewijzigd en breng deze wijzigingen in kaart in uw bestaande ITGCs.

Conclusie

 

ITGCs werken uit het zicht van de meeste werknemers, maar ze zijn ongelooflijk belangrijk voor beveiliging, compliance en operationeel succes.

Compliance officers hebben daarom een grote waardering nodig voor de manier waarop ITGCs een sterk complianceprogramma ondersteunen. Ze hebben tools nodig om de prestaties van ITGCs te beoordelen en om eventuele zwakke punten te beperken die uw ERP-systeem of andere technologie die uw bedrijfseenheden gebruiken in gevaar kunnen brengen. En zoals altijd moeten compliance officers ook begrijpen hoe hun interne controleacties de mensen binnen uw organisatie zullen beïnvloeden, anders gaat uw werk niet erg ver.

Het belangrijkste feit is echter dat de moderne onderneming alleen maar meer op technologie zal vertrouwen als we in de toekomst gaan. Hoe sterker uw greep op de ITGCs die uw bedrijf ondersteunen, hoe beter uw bedrijf in staat zal zijn om te concurreren in onze sterk gereguleerde, zeer riskante wereld.

Over auteur

Matt Kelly is de redacteur van Radical Compliance, een blog die corporate compliance en risico problemen volgt. Hij spreekt ook regelmatig over compliance, governance en risicoonderwerpen. Kelly werd uitgeroepen tot 'Rising Star of Corporate Governance' door Millstein Center for Corporate Governance in de eerste klasse van 2008; en genoemd naar ethisphere's 'Most Influential in Business Ethics' lijst in 2011 (nr. 91) en 2013 (nr. 77). In 2018 won hij een Reader's Choice award van JD Supra als een van de Top 10 auteurs op het gebied van corporate compliance.

De post Waarom IT General Controls zijn belangrijk voor compliance en cybersecurity verscheen eerst op Hyperproof.

Hoe het ERM-kader van COSO toe te passen op compliance risk management

Lees verder

Lees verder

Powered by