17-12-14 ICT-trends IT & accountant NEMACC symposium 2014 Ron de Korte Even voorstellen... Ron de Korte ([email protected]) • ACS (mkb) • Zakelijk Directeur IAA & ITAA • Mede-initiatiefnemer www.auditing.nl & www.MCAudit.nl & www.KADplus.nl • Recente en huidige opdrachten: – Uitvoeren/begeleiden (Internal / Operational / IT) audits; – Coachen/ training on the job IAD’s en hun MT’s – Organisatieonderzoek – Project/Programma audits – Auditvaardigheidstrainingen – Extern lid Auditcommittee DJI – Onderzoek IT&Accountant 1 17-12-14 Ervaringen als MKB’er • Ervaringen als MKB’er met accountant • Hobby-administrateur met e-Boekhouding • Toepassing van IT als MKB’er • Begeleiden IT-specialisten voor accountants • Leerbehoeftenonderzoek IT & Accountant ICT-trends: Graag reageren! 1e reactie: ‘… het zijn wel de bekende ontwikkelingen die we al jaren zien. De vraag is welke nieuwe ontwikkelingen er nog meer op ons pad komen. 2 17-12-14 • R.J. op 9 oktober 2014 Het zijn wel open deuren die Gartner intrapt. Lang leve de cloud: dat is het toverwoord voor al je IT-problemen en je haaruitval... • Punt 10 volgt eigenlijk uit alle voorgaande: als je alles in de cloud mikt, dan maak je het ook bereikbaar voor alles en iedereen. “De onderwerpen 1,2,7,8 en 9 kun je bij elkaar zetten. En 6 heeft ook weer een link met 2. Dan blijven er maar een paar over die we al eerder gezien hebben. So much voor het 'inzicht' van Gartner......” ICT-trends 1 2 3 4 Internet fraud & hacking 3 17-12-14 1. Cloud Computing • “... hardware, software en data die op aanvraag via internet beschikbaar worden gesteld voor gebruikers. De gebruiker van Clouddiensten neemt deze af naar behoefte, zonder dat hij verantwoordelijk is voor het onderhoud …” – SAAS : Software as a Service – PAAS : Platform as a Service – IAAS : Infrastructure as a Service Belangrijke aandachtspunten bij het gebruik van clouddiensten zijn: • Afhankelijkheid van een aanbieder (dataportabiliteit); • Afscherming van gegevens voor derden (toegangsbeveiliging); • Bedrijfszekerheid van de gegevensverwerking (continuïteit); • Aanpassing aan individuele eisen (maatwerk); • Aansluiting op bestaande bedrijfstoepassingen (connectiviteit); • Verantwoordelijkheid bij dataverlies of schade (aansprakelijkheid). 4 17-12-14 5 17-12-14 6 17-12-14 Duitse wetgeving ACS server Teamdrive server - Informatie over toegang tot mappen (keys) - e-mails, zoals uitnodigingen - Inlognaam - Wachtwoord Firewall i.c.m. authenticatie - Bestanden - Bestanden - Informatie over toegang tot mappen (keys) Data zowel lokaal (encrypted) als op ACS-server en met TD-encryptie over internet 7 17-12-14 - Inloggen verloopt via de servers van Teamdrive - Na het inloggen worden er door de Teamdrive server encryptie-keys uitgewisseld, waarmee de lokale Teamdrive software weet tot welke ‘Spaces’ er toegang is en waarmee de bestanden lokaal door de Teamdrive software ‘ingepakt en uitgepakt’ kunnen worden. - Verder verzorgt de Teamdrive server de mailcommunicatie. (uitnodig.) - Het synchroniseren (met versiebeheer) van de bestanden gaat via de ACS server. - Vóór de bestandssynchronisatie worden de bestanden voorzien van encryptie (door TD). - De bestanden zijn op de server zelf niet in te zien, hiervoor moet de teamdrive software gebruikt worden. - Bestanden staan ook lokaal op laptop in verschillende versies Access Control Components Policy Store Internet Web User User Directory Web Server with Access Control Agent External Firewall Internal Firewall Policy Server User Directory x x Secure Corporate Network Paul Kench/Martin Williams 8 17-12-14 1 Web User 1. Toegangspoging tot page (www.bedrijf/page1.nl) met identificatie 2. Agent ontvangt verzoek 3. Agent benadert policy server om te controleren of resource beveiligd is. 3 4 Internet 5 2 6 Policy Store 7 User Directory 8 External Firewall Web Server with Agent Internal Firewall 4. Resource is beveiligd. Daarom vraagt de agent om authenticatie 5. Gebruiker voert authenticatiegegevens 6. Agent stuurt deze door naar policy server Policy Server User Directory x x 7. Policy server kan gebruiker authenticeren en bevestigt de autorisatie zoals is vastgelegd 8. Gebruiker is geauthoriseerd dus de agent staat toegang tot resource toe. Browser van gebruikers toont de homepage 2. Bring Your Own Device • “... dat medewerkers hun eigen apparaten meenemen naar het werk, om hiermee zowel op kantoor als daarbuiten bestanden en gegevens te delen. …” – Beheerkosten – Gratis apps die gegevens verzamelen? Of Lek! – Cloud computing – Social media gebruik – Bluetooth – GSM intercepter systemen 9 17-12-14 s 10 17-12-14 3. Big Data of Data analytics? • “De uitdaging ligt hier in het opvangen, opschonen, opslaan, verzenden, analyseren en visualiseren van deze Big data.” • “Data-analytics staat voor het proces waarbij data wordt onderzocht, opgeschoond, getransformeerd en geanalyseerd, met het doel zinvolle informatie te genereren.” • “Customer intimacy: de mkb-accountant zorgt ervoor dat hij zoveel mogelijk te weten komt over de klant en zijn business, zodat hij hier goed over kan meepraten en ook scherp kan adviseren. Met betrekking tot ICT vereist dit domeinkennis van de bedrijfstak van de klant en ICTkennis over de toepassing daarvan in die sector.” terabytes petabytes 4. Internet fraude terminologie • Phising: Password harvesting & fisching lokken naar valse websites; voordoen als website van bekende organisatie • Spoofing: gelijkende url-naam • Social engineering: veelal gericht op zwakkeren • Pharming: omleiden na inbraak in organisatiesite • Scam: vragen om voorschot om groot bedrag te delen (Nigerian Scam) • Skimming: pinpasfraude 11 17-12-14 Phishing URL-spoofing: nabootsen van de url • Sinds gebruik van International Domain Name in url mogelijkheid van niet-ASCII gelijkende letters • www.google.com = www.googIe.com ? Verzoeken via mail en telefoon om geheime data • Verzoek om op een (plaatje met) url te klikken • Vaak “gratis” aanbiedingen of “extra bloot” of “hulp” bij een niet bestaand probleem • Vraag om nogmaals in te loggen • Mail met trojaans paard als keylogger • Bekende gevallen: ABN AMRO, Hotmail, Gmail 12 17-12-14 Gerenommeerde IT-auditors: • “Het is niet meer de vraag óf de organisatie gehackt is, • maar wanneer de effecten van de inbraken zichtbaar worden of tegen de organisatie worden gebruikt.” • Organisaties houden inbraken stil en zijn soms chantabel. 13 17-12-14 Oorzaken naast techniek? • • • • • • • Nonchalance Onwetendheid Misvattingen Psychologische factoren Voorbeeldgedrag Blind vertrouwen Generatie Y en Z Identificatie & Authenticatie • Kennis: – Password – Wiskundige funktie – Geheime sleutel • Bezit: – Chipkaart – Calculator – Mobiele telefoon • Biometrische kenmerken: Identificatie: Wie ben je? Authenticatie: Ben je het echt? Autorisatie: Wat mag je? – Vingerafdruk – Irisscan – Handtekening 14 17-12-14 Password Parameters • • • • • • • Syntaxis Actie na login failures Expiratie Monitoring Geheimhouding Procedures Encryptie Aandachtspunten voor accountants: Control Environment! CE 15 17-12-14 Classificatie IT © SRA-Vaktechniek 12 Basisregels IT in de zorg NEN7511 1. Beleidsdocument als basis voor een kwaliteitsmanagementsysteem 2. Verantwoordelijke voor informatiebeveiliging vastgelegd 3. Bewustzijn door opleiding en training cf. beleid 4. Met gezond verstand en “wat techniek” 5. Gebruik overeenkomsten voor gegevensuitwisseling 6. Wie heeft waar toegang toe en hoe? Leg vast en laat ondertekenen. 7. Zorg voor back-up. Continuïteitsonderbreking. 8. Gebruik alleen geregistreerde apparatuur. 9. Stel procedure op voor elektronische gegevensopslag 10. Bescherm persoonsgegevens 11. Controleer. Zorg voor naleving beveiligingsbeleid 12. Rapporteer en acteer naar beveiligingsincidenten 16 17-12-14 Afsluitend • IT biedt veel moois en is een motor achter onze welvaart • IT-risico’s horen bij IT-kansen • We zullen moeten wennen aan de volgorde: eerst functionaliteit daarna beheersing • ‘Nee’ zeggen heeft maar kort gewerkt • Bewust mee omgaan is het antwoord • Kennis is vereist, houding en gedrag blijvend punt van aandacht 17
© Copyright 2024 ExpyDoc
