Komt een auditor bij de zaak
Vrijwel iedere organisatie kent een ICT-controleur (lees: auditor, accountant, fiscus) die periodiek langs komt om te checken of alles nog volgens de regels verloopt. Een paar dagen of zelfs weken voor het bezoek wordt een deel van de organisatie bevraagd en verzocht informatie te verzamelen en op te sturen. Dan komt de controleur, soms vergezeld door een aantal juniors ; die gaan beoordelen of “het allemaal wel klopt”. Of, komen ze nog wel? Veel accountantskantoren lijken te gaan stoppen met wettelijke controles (bron: FD) vanwege hoge regeldruk .
Incidentele versus continueel auditing
Steeds meer kosten en tijd worden dus geïnvesteerd in dergelijke momentopnames; meestal is er wat mis. Na het bezoek wordt weer tijd besteed aan het corrigeren van e.e.a. en dan keert de rust terug… tot de volgende periodieke controle. Tussen de controles door is de organisatie in toenemende mate meer in overtreding of juist niet compliant.
Voornamelijk wanneer een overtreding of non-compliancy een relatie heeft met financiën of veiligheidsrisico’s is een structurele oplossing wenselijk: Continuous Monitoring in combinatie met Continuous Auditing.
Ideaal zou het zijn als systemen voortdurend in de gaten houden of regels worden overtreden en als dat gebeurt hier melding van plaatsvindt. Bij voorkeur melding richting de juiste personen zodat direct actie kan worden ondernomen. De kloof tussen techniek en monitoring speelt hierbij een rol. Zonder het te weten beschikken veel systemen namelijk over brongegevens voor Continuous Monitoring en – Auditing.
Weten waar de informatie te vinden is, deze op te halen en dan in bruikbare vorm aan te bieden is de uitdaging!
Goede IAM heeft Continuous Auditing
Een goed ingerichte IAM-omgeving bevat altijd een actuele stand van zaken m.b.t. (de relaties tussen) personen, identiteiten, groepen, rechten, en toestemmingen, en ook de geschiedenis daarvan. Uw IAM heeft dan ook grote potentie als ondersteunende tool welke fijnmazige en automatische controles uitvoert op basis van uw spelregels. Met behulp van rapportagemogelijkheden en notificaties wordt (non-)compliancy bijgehouden, en kunnen overtredingen voorkomen worden of juist direct worden aangepakt. De audit wordt dus continu bijgehouden door IAM met rapportages en notificaties en door uw IAM voortdurend te laten monitoren brengt u de integriteit van uw gegevens naar een hoger niveau.
Uw IAM heeft de benodigde gegevens al; Continuous Monitoring en – Auditing presenteren de data namelijk in een samenhangend geheel. De goede IAM tool is dus uw dagelijkse ICT-controleur die alles al op orde en geregeld heeft wanneer de auditor op bezoek komt . Uw medewerkers worden ontzorgd en kunnen zich bezig houden met andere zaken.
Revish Basropansingh
IAM Consultant