IT-auditors bijeen ‘Secure IT’: Rijksbrede IT-auditdag 2008 Nathalie Timmer en Peter Doorduin De Rijksauditdienst (waar voormalig EDP AUDIT POOL nu onderdeel van is) organiseerde 8 oktober in Den Haag de zevende Rijksbrede IT-auditdag. Het overgrote deel van de IT-auditors die werkzaam zijn bij de rijksoverheid was daarbij aanwezig. Martine Koedijk, lid van het management van de Rijksauditdienst, opende de dag en heette iedereen welkom. Vervolgens gaf zij het woord aan dagvoorzitter Paul Overbeek (OIS), die zijn beeld van een IT-auditor gaf: een Tarzan, bungelend aan een liaan, niet altijd wetend waar hij of zij naartoe gaat. Dit beeld heeft hij bijgesteld, want de auditor is een professional die slingerend aan de liaan uiteindelijk zijn weg vindt. In het programma waren twee plenaire sessies opgenomen. In de ochtend vertelde Rob Meijer (van het ministerie van Binnenlandse Zaken) in de sessie ’Een Rijksbrede CIO’ dat hij, in zijn functie als Rijksbrede CIO, onder andere de interdepartementale strategie en visie op informatie en ICT op moet stellen, die actueel moet houden en daarbij tevens moet toezien op de naleving. Na de lunch verzorgde Christiaan Beek (Hoffmann) de sessie ‘Fraude en IT’. Hij ging in op de achtergronden van forensisch onderzoek en op de sporen die kwaadwillenden in ICT-toepassingen achterlaten. Naast de plenaire sessies zijn er ook negen workshops verzorgd door medewerkers van de Rijksauditdienst en diverse gastsprekers: Oracle Audit Vault – Continuous auditing (Frank Blom en Ton Stevenhagen) Aan de hand van een demo is gediscussieerd over het vervolmaken van de beveiligingscyclus van Oracle, met behulp van Oracle Audit Vault. Mw. drs. ing. N.D. Timmer RE en drs. P.A. Doorduin RE zijn als IT-auditor werkzaam bij de Rijksauditdienst. Zij maakten deel uit van de organisatie van dit symposium. Secure network: uit het (bedrijfs)leven gegrepen (Brian Todd, ING) Tijdens deze workshop werd het proces van ING om een minimum beveiligingsniveau voor externe kop40 | de EDP-Auditor nummer 4 | 2008 pelingen te realiseren behandeld, waarbij de techniek niet altijd de zwakke schakel is. Veilige webapplicaties: een illusie! (Xander Bordeaux en Nanno Zegers) De overheid gebruikt steeds vaker webapplicaties voor haar communicatie. In deze workshop is ingegaan op wat een website succesvol maakt en aan welke normen de beveiliging van een website zou moeten voldoen. De IT-auditor in een keten: een praktijkcasus (Ivo Kerkkamp en Ruurd Smildiger) Aan de hand van een casus uit de praktijk is behandeld waar een auditor tegenaan loopt als een audit in een keten moet worden uitgevoerd. Test uw ICT-audit kennis met Jeopardy (Corné Heijnen en Stephan van Hofwegen) Aan de hand van het spel ‘Jeopardy’ is de kennis van de deelnemers over het huidige IT-auditlandschap getoetst. Tijdens het spel werd over de vragen en antwoorden gediscussieerd onder de bezielende leiding van de quizmaster. The auditor is watching you (Ron van ’t Boveneind, Marnix Eedens en Ronald de Boer, SAP) Continuous auditing en monitoring is een trend. George Orwell schreef in zijn boek 1984 al ‘Big brother is watching you!’. In 2008 moeten auditors meepraten over het in control zijn en een oordeel geven over de werking van beheersmaatregelen. Worden zij nu ‘Big brother’? Architectuur! Kunnen we daar wat mee?! (David Campbell en Leo Geubbels, ICTU) Wat is het belang van architectuur? Deze workshop bestond uit twee delen: Het schetsen van de stand van zaken rond Architectuur en Audit en de behandeling van MARIJ, een architectuur voor de rijksoverheid. SAPpige nieuwtjes (Ron van ’t Boveneind, Marnix Eedens en Ronald de Boer, SAP) De laatste tijd zijn er veel veranderingen en nieuwe toepassingen in SAP beschikbaar. Tijdens deze workshop zijn de laatste nieuwtjes over business objects, auditmanagement en auditrollen in SAP behandeld. 41 | de EDP-Auditor nummer 4 | 2008 Het insider risico (Petr Kazil) Misbruik door interne medewerkers is een nogal ongrijpbaar risico. Het risico wordt daarom vaak overdreven of juist gebagatelliseerd. Tijdens deze workshop is het insider risico besproken aan de hand van literatuur, onderzoeksresultaten en de mening van de spreker. Tot slot Na alle workshops rondde dagvoorzitter Paul Overbeek de bijeenkomst af met een korte samenvatting. De dag werd afgesloten door ROPE theatersport die op ludieke wijze de auditor neerzette: een redder in nood, die ook niet alles weet.
© Copyright 2025 ExpyDoc
