Presentatie(s) / Pitch Werk- en Kennisgroepen

Transcriptie

1 Presentatie(s) / Pitch Werk- en Kennisgroepen Ledenvergadering [13 december 2018]

2 Presentaties Pitch (jaarplannen en speerpunten werk- en kennisgroepen): Sandeep Gangaram Panday (Kennisgroep Software Development) Kees Riemens (Kennisgroep Application System Auditing) Angelique Koopman (Werkgroep IT en Financial Audit) Nico Huizing (Kennisgroep ICT & Zorg) René Matthijsse (Kennisgroep Keteninformatiemanagement) Jan de Heer (Kennisgroep Privacy, ter vervanging van/in overleg met Jan Roodnat) Wouter-Bas van de Vegt (Kennisgroep Cybersecurity) Peter Buur (Kennisgroep Betalingsverkeer) René Ewals (Commissie Beroepsregels) Joep Janssen (Werkgroepen DigiD en ENSIA) Dwayne Valkenburg (Commissie YoungProfs) Mona de Boer (Kennisgroep Algorithm Assurance) Thomas Wijsman (Kennisgroep Innovatie en Redactiecommissie) 2

3 Kennisgroep Software Development - Jaarrekeningcontrole focus - Verschil waterfall en Agile (DevOps) - Toepassingsgebied - Mapping naar relevante raamwerken - Aandacht voor rol Cultuur en Volwassenheid 3

4 Resultaten Veel wijzigingen in team - Eerste aanzet paper en referentieraamwerk - Validatie interviews - Samenwerking met Secure Software Foundation (SSF) 4

5 2019: Nieuwe opzet samenwerking met partners - Giarte - Secure Software Foundation - Schuberg Philis (content marketing, technische schrijver) - Workshop en publicaties (o.a. management scope) - Verzoek Technical Writer (ca 6.000,-) 5

6 preview Control Domain 1. Governance 2. Requirement s 3. Design 4. Code 5. Test 6. Deploy 7. Maintenance Control steps per domain Agile DevOps Mapping naar: - CobiT - SSA secure software framework - Audit Defense toolkit 6

7 Doelstelling Kennisgroep Application System Auditing Het leveren van een handvat / toolset / guideline voor een IT-Auditor voor het geven van assurance of advies over een in ontwikkeling zijnde- of bestaande applicatie. Een Applicatie in de context van deze kennisgroep is iedere toepassing van IT ter ondersteuning van één of meerdere processen voor een algemene of specifieke gebruikersgroep. Motivatie Back office applicaties -> Front office applicaties Van ondersteunend naar strategisch Direct toegankelijk via www Platform onafhankelijk Nieuwe soorten applicaties (apps, RPA, AI) Nieuwe technologieën (o.a. blockchain) Time to market steeds korter -> gevolgen voor ontwikkel methoden: van Waterfall naar Agile/Scrum/DevOps Accent op andere kwaliteitsaspecten: van traditioneel CIA maar naar gebruiksgemak, robuustheid, beschikbaarheid 7 Eddy van der Geest (Tata Steel), Paul Beckers (Obvion), Tjerk-Peter de Bruijn (ABN AMRO), KonstantinGordievitch(ING), Kees Riemens (NN Group / gepensioneerd)

8 Kennisgroep Application System Auditing Aandachtsgebieden 1 Robotic Process Automation 2 Huidige raamwerken en uitgangspunten toereikend? (ofwel oude wijn in nieuwe zakken?) Gap analyse ofwel: wat missen we nog en hoe hierin te voorzien? Risk Management en kwaliteitsborging bij versnelde ontwikkelmethoden Motivatie RPA bots Vervangen handmatige invoer; eenvoudig te programmeren (scripts); Virtuele gebruiker (userid, password, rechten); Risico s; (zijn functiescheidingen nog effectief?) Beheer-aspecten (controls); Bestaande audittools, methoden en technieken toereikend? Deliverables RPA bots Publicatie in IT Auditor (vorm n.n.t.b.) Toelichting in seminar/alv 8 Eddy van der Geest (Tata Steel), Paul Beckers (Obvion), Tjerk-Peter de Bruijn (ABN AMRO), KonstantinGordievitch(ING), Kees Riemens (NN Group / gepensioneerd)

9 Werkgroep IT & Financial Audit ( Together is better ) Doelstelling: Bijdragen aan een verdergaande integratie van de werkzaamheden van de accountant en de IT auditor. En daarmee faciliteren dat beide beroepsgroepen nog beter op elkaar kunnen aansluiten en elkaar kunnen aanvullen. Strategie: De Accountant en de IT auditor de dialoog aan laten aangaan over actuele thema s en samen bestaande thema s te verdiepen. Deze dialogen gebruiken we als input voor het publiceren van discussie documenten, best practices en mogelijk handreikingen. Samenwerken met andere werkgroepen op technische thema s 9

10 Werkgroep IT & Financial Audit ( Together is better ) 10

11 Kennisgroep ICT & Zorg Plannen voor 2019

12 Agenda Plannen 2019 Bezetting kennisgroep verbreden met nieuwe mensen, professionaliseren inzet Verbinding leggen met NBA via deelname aan Coziek Actualiseren ZekereZorg 1 Handreiking DBC/DOT (inclusief funding vanuit NOREA) Afronden ZekereZorg 2 Handreiking Langdurige Zorg, Jeugdzorg, Thuiszorg, etc. Actualiseren ZekereZorg 3 Handreiking Informatieveiligheid in de Zorg Produceren Handreiking Horizontaal Toezicht in de Zorg VIPP programma: - aanhalen contacten met VWS, inclusief funding Ervaringen met de assessments tot nu toe (v.w.b. rapportages en beoordelingsmatrix). Instellen vragen desk voor IT-auditors via NOREA. Afspreken communicatielijnen Trainingssessie eerste kwartaal

13 Bedankt Voor meer informatie kun je contact opnemen met: [ Nico Huizing ] [ ] [ nico@dutch.nl ] NOREA

14 Kennisgroep Keteninformatiemanagement en Control Dr. René Matthijsse RE ALV 13 december

15 Kennisgroep introductie Leden Kennisgroep o drs. Michael Bosch RE o Adri de Bruijn RE RA o drs. ir. Ronald Koorn RE CISA o dr. René Matthijsse RE o Ruud MollemaRE RA De Kennisgroep Keteninformatiemanagement en Controls" draagt bij aan de vaktechnische profilering en ondersteuning van de beroepsgroep door totstandbrenging van relevante kennisontwikkeling, kennisdeling en produkten. o o o o o Ruurd Smildiger RE drs. Bart van StaverenRE drs. Reza Torabkhani RE drs. Marc WeltersRE RA Christel Maas, contactpersoonnorea-bureau De Kennisgroep heeft tot doel het ontwikkelen van een raamwerk voor het uitvoeren van ketenaudits, waarmee auditors over een toolkit beschikken om op een efficiënte en effectieve wijze de klantvragen te kunnen bedienen. 15

16 Ketensamenwerking, digitalisering en dataficering dwingen tot andere audit modellen 16

17 Projecten 2018 Focus op maatschappelijke relevantie Loonaangifteketen Financiële aorta NL BD UVW - CBS Gemeentelijk management control Digitalisering en ketensamenwerking 17

18 Projecten 2019 Ecosysteem informatiestromen en data governance Blockchain en accountantscontrole 18

19 Budget en samenwerking gezocht Twee projecten in 2019 met nadruk op maatschappelijke relevantie en media aandacht Ronde Tafels 2-4 x, publicatie, presentaties en publieke management letter Budget euro ,-- Samenwerking gezocht met NOREA kennisgroepen en externe expertise 19

20 Dank voor uw aandacht Voor informatie : drs. Christel Maas c.maas@norea.nl NOREA

21 ... Ga ondernemen met producten van de kennisgroep Privacy Jan de Heer 13 december 2018

22 Kansen, kansen, kansen. Ruim 150 dagen na AVG D-Day vragen, klachten, datalekken bij AP Bron: AP bijdrage: - FG Café Theater Spant! Bussem dd CIP-iBestuur VNG 22

23 Agenda Successen afgelopen periode Plan komend jaar Vragen aan NOREA Bestuur 23

24 Successen afgelopen jaar Privacy Control Framework (PCF) wordt toegepast Marketing - Communicatie PCF AP - Autoriteit Persoonsgegevens CIP Centrum voor Informatiebeveliging en Privacy ISACA roundtable (200 + opkomst) Symposium Min. van Fin. AVG, Audits en FG s Nationaal Privacy Event Duthler Artikel Computable Training NOREA PCF goede evaluatie & opkomst & cash-in Werkgroep gestart Privacy Audit Proof 2.0 Op weg naar PIA 2.0 AVG Proof Afstudeerder begeleiding 24

25 (Concept) Plan komend jaar Under construction moet nog nader met de kennisgroep Privacy worden afgestemd Voorstel: Privacy Control Framework (PCF) vervolg: Framework referenties bepalen ISO xxx Uitwisselingen van ervaringen NOREA ISACA CIP etc. Afhankelijk van reacties 2.0 Release uitbrengen Onderzoeken van mogelijkheid tot verkrijgen van internationale erkenning iov NOREA Bestuur PIA 2.0 vervolg Verwerken input student referaat in NOREA PIA 2.0 Robuust maken van Privacy Proof 2.0 Vaktechnisch puntjes op de i 25

26 Vragen aan NOREA Bestuur Budget voor: Privacy Control Framework (PCF) Nederlandse versie Toelichting: vraag van overheden gemeentes Reactie AP (Autoriteit Persoonsgegevens) inzake PCF Toelichting: veel voorkomende vraag van klanten NB - 2 bezoeken afgelegd bij het AP reacties AP positief expliciete reactie nodig Verkrijgen van internationale erkenning met het PCF Inzet grote kantoren Europese lobby etc. Breed gedragen GO voor vervolg Privacy Audit Proof 2.0 Toelichting: er lopen ook trajecten AVG certificering 26

27 Bedankt Voor meer informatie kun je contact opnemen met: Jan de Heer RE NOREA 13 december 2018

28 Commissie Beroepsreglementering Voorstel 2019 [datum]

29 Agenda Ontwikkeling Regelgeving NOREA Ondersteuning diensten leden NOREA door invulling regelgeving 29

30 Voorgestelde activiteiten Handreiking Onafhankelijkheid Ter nadere ondersteuning van professionals ter bepaling of zij onafhankelijk kunnen functioneren bij Assurance-opdrachten. Q Handreiking 610 Ter ondersteuning professionals wanneer gebruik wordt gemaakt / wordt gesteund op Internal Audit Functie (IAF); Q Review huidige stelsel richtlijnen en voorstellen aanpassingen Q1 en Q

31 Voorgestelde activiteiten Update Handreiking Service Organisation Control rapporten op basis van ISAE 3000: Nu bestaat onderscheid tussen ISAE 3000 Attest en Direct Reporting; Aanpassing Trust Services Principes; Aanpassing privacy raamwerk en GDPR; Planning is om die Q gereed te hebben. Ontwikkeling van een mogelijke Handreiking op het gebied van CyberSecurity Dit omvat een handreiking gerelateerd aan het risk management voor CyberSecurity Gebaseerd op de trust Services Principles; Gebaseerd op Richtlijn 3000A; Planning is om die Q gereed te hebben. 31

32 Voorgestelde activiteiten Studie naar mogelijk vergroten efficiëntie en effectiviteit (assurance-)onderzoeken door inzet nieuwe technieken zoals Artificiële Intelligentie en Data-analyse Planning Q4 2019/Q Budget: Inzet van professionals van buiten de werkgroep om teksten te schrijven Budget van EUR 6.000,00 nodig; Bedragen exclusief BTW. 32

33 Bedankt Voor meer informatie kun je contact opnemen met: René Ewals NOREA [datum]

34 DigiD Assurance ALV NOREA 13 december 2018 Drs. Joep Janssen RE MIM NOREA-werkgroep DigiD 13 december 2018

35 DigiD assessment Doel aanvullende zekerheid over opzet en het bestaan van beveiligingsmaatregelen in de DigiD webomgeving Normenkader selectie van 20 normen uit ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC Beleid (B), Uitvoering (U) applicatie, platform, netwerk en Controle (C) Reikwijdte Vorm beperkt tot de DMZ waarin de webservers zijn geplaatst via welke de internet-facing webpagina s met DigiDkoppeling worden aangeboden. assurance rapport richtlijn 3000 Direct reporting 35

36 Huidige beeld/vragen DigiD audit heeft ontegenzeggelijk een positieve bijdragen geleverd aan het beveiligingsbewustzijn van publieke dienstverleners en de beveiliging de DigiD webomgevingen. Toch beklijft het gevoel dat we niet aan de maatschappelijk verwachting voldoen. We testen slechts 20 van de 41 NCSC beveiligingsrichtlijnen en 250+ maatregelen. We testen slechts opzet en bestaan. Niet de werking. We geven 20 individuele oordelen en geen oordeel over de informatiebeveiliging als geheel. Een aantal normen heeft meer het karakter van een maatregel. Kunnen de normen wel de snelle praktijkontwikkeling en bedreigingen volgen? Is de selectie van 20 NCSC beveiligingsrichtlijnen voor auditnormen wel adequaat? Moet er geen relatie gelegd worden met governance en IT General controls? Stellen we wel de goede vragen aan de penetratietester? Moet er geen relatie gelegd worden met Baseline Informatiebeveiliging Overheid? We moeten de discussie aangaan of, en hoe, we beter aan de maatschappelijke verwachting kunnen voldoen. 36

37 Werkwijze Continue dienstverlening Jaarlijkse verdieping normen en testaanpak Kwartaalsgewijze gespreksparter voor Logius over verantwoordingsproces Wekelijkse gesprekpartner voor vragen van auditors TPM serviceprovider, DMZ, DNSSEC bij Azure, IDS.. Maandelijkse deelname aan audit committee ENSIA Gesprekspartner BZK voor auditeisen Wet Digitale Overheid Communicatie met andere werkgroepen NOREA en auditors Ontwikkelen auditmethodiek voor aanbieder meervoudige aansluiting voor zorgverleners (artsen en apothekers) 37

38 Wetsvoorstel Digitale Overheid in Tweede Kamer Wetsvoorstel Digitale Overheid noemt audits expliciet Deze auditor toetst of de dienstverlener aan de eisen voldoet. De verklaring van de auditor sluit aan bij de systematiek die thans gehanteerd wordt bij de aansluiting op DigiD. Vaste commissie voor Binnenlandse Zaken 23 oktober 2018 steunt audits: dienstverleners geacht worden jaarlijks een audit te laten uitvoeren Dit ondersteunen de aan het woord zijnde leden. Wordt deze audit-verklaring ook openbaar gemaakt, zo vragen zij de regering? Zo nee, waarom niet? Zo ja, is het dan opportuun dit in de wettekst op te nemen? Huidige DigiD laag is niet toereikend voor diensten waarbij uiterst vertrouwelijke informatie (zoals medische gegevens) wordt uitgewisseld. Naar DigiD substantieel en/of hoog (eidas) Naast publiek DigiD ook privaat authenticatiemiddel voor burgers 38

39 Verdieping normen 2019 e.v. Voostel: Werking over een periode van een heel jaar testen in breder perspectief oppakken van governance en IT General Controls U/TV.01 Periodieke autorisatiecontroles U/WA.02 Afhandeling security incidenten C.08 Doorvoeren wijzigingen en testen C.07 monitoring van loggingsinformatie IDS/IPS C.09 Doorvoeren patches. Definitief voorstel/besluit volgt nog. Verduidelijken technische testen: U/PW.03 Content Security Policy U/NW.04 na decryptie detectie berichtinhoud breder toepassen penetratietesten beoordelen van een XSS kwetsbaarheid 39

40 Bedankt Voor meer informatie kun je contact opnemen met: NOREA-werkgroep DigiD Joep Janssen NOREA 13 december 2018

41 ENSIA en Assurance Werkgroep ENSIA Drs. Ing. Peter D. Verstege RE RA / Drs. Joep Janssen RE NOREA-werkgroep ENSIA 13 december 2018

42 ENSIA - toelichting ENSIA: Eenduidige Normatiek Single Information Audit (initiatief VNG) Basis 1 x per jaar: Zelfevaluatie brede gebied informatieveiligheid en 7 applicaties (BRP, PUN, Suwinet, BAG, BGT, BRO en DigiD) Horizontale verantwoording gemeenteraad (Collegeverklaring, aanvullende rapportages) Verticale verantwoording richting verantwoordelijke toezichthouders (Logius, BKWI, etc.) Assurance door RE (Richtlijn 3000 object controle Collegeverklaring en bijlagen) Toekomst: verticaal toezicht te baseren op effectief uitvoeren horizontaal toezicht : eerste stappen gezet 42

43 Lessons learned Positief: Informatieveiligheid op agenda bij alle gemeenten Intensief en constructief overleg tussen alle betrokken partijen: BZK, SZW, VNG, NOREA Gemeenten auditors Toezichthouders / VNG gemeenten NOREA IT-Auditors NOREA pakt haar rol in ondersteuning en verdediging belangen IT Auditors Algemeen: Noodzaak tot verbetering informatieveiligheid bij gemeenten helder Grote verschillen tussen gemeenten Kwaliteit uitvoering ENSIA-proces (inclusief audit) kan en moet beter 43

44 Actuele vraagstukken Brief Bestuur NOREA Ministerie van BZK (stelselverantwoordelijke) Thema s: Opzet, bestaan, werking: perspectief op betrekken aspect werking in verantwoording, audit en oordeelsvorming moet helder zijn TPM benadering inclusive of carve-out: eenduidige benadering vereist ook voor beperken administratieve lasten betrokkenen en eenduidigheid rapportages Rol, invloed toezichthouders: richten op basis integrale informatieveiligheid (BIG / BIO) als basis toepassingen versus specifieke (aanvullende) eisen per toepassing Nadere uitwerking: Audit Committee ENSIA Carve-out leidend principe uitwerkingen komende jaren Werking: specifiek gericht op governance-vraagstukken en dragende GITC-maatregelen 44

45 ENSIA Uitdagingen 2019 Kwaliteitsbewaking uitvoeren ENSIA-audits reputatie NOREA centraal Versterken ENSIA-proces: Permanente politiek-bestuurlijke aandacht informatieveiligheid Van verantwoorden over / controleren van verantwoording over opzet-bestaan naar verantwoorden over / controleren van verantwoording over opzet-bestaan-werking Back-to-basics: horizontale verantwoording ENSIA centraal Introductie BIO Introductie nieuwe wet- en regelgeving informatieveiligheid (in samenwerking met andere werkgroepen NOREA) Versterken communicatie naar relevante gremia NOREA en leden NOREA 45

46 Bedankt Voor meer informatie kun je contact opnemen met: NOREA-werkgroep ENSIA Peter Verstege NOREA 13 december 2018

47 Young Professionals Events 2018 Auditing of/with IT Risk IT Process Ransomware Amro (2018 Summer) ADR Cyber Security Delta Smart IT Audit & ISACA Students (Also The NOREA?) Young Profs Dwayne Valkenburg Cyberus (Voorzitter) Manon Alliances van Rietschoten (DRINKS): - KPMG Dycpher, (Vice-voorzitter) KNVI, PvIB, IIA, ISACA en NBA Anske Jongsma - edarling Guido Rademakers - Improven Jeroen de Lange - Aegon Pim Smulders Baker Tilly Michelle Kroon-Bakker - ADR Tristan Koch Centric Joost van Beijsterveld - Jumbo

48 Planning & Organisatie Young Professionals Events 2019 IT Risk Thesis IIA & NBA YP Auditing & Amro Amro Audit Public AIVD & Process Smart Data Science & Andere volgen!!! Samenwerkingen YP s!? Neem contact met ons op: Dwayne Valkenburg RE dwayne.valkenburg@cyberus.nl

49 Online magazine de IT-Auditor Thomas Wijsman 13 december 2018

50 Inhoud dreigt op te drogen! Platform uitwisseling kennis en ervaring Vaak artikelen net afgestudeerden Ook nodig: artikelen experts Rol leden NOREA 50

51 Help interessante kennis aanboren Jullie kennen de experts hebben er toegang toe Spreek ze aan verleid ze tot artikelen/interview. Deel je eigen kennis en ervaring zelf ben je ook expert schrijf! 51

52 Geraamd budget: Workshops videotechniek Inhuur productie-begeleiding video Inhuur post productie video Reiskosten leden redactie 720 Onvoorzien

53 Bedankt Voor meer informatie kun je contact opnemen met: Thomas Wijsman NOREA

54 Kennisgroep Innovatie 54

55 Volgt innovaties signaleert voor RE s Verslagen infosessies experts Blog, A4 s, Infographics Ontwikkelingen signaleren Producten Activiteiten Verslagen overleg andere groeperingen Thema s elders onderbrengen Interne en externe expertise aanboren 55 K e n n i s g r o e p I n n o v a t i e

56 Geraamd budget: Bestemming Brainstorms met experts Aanschaf publicaties 400 Productie infographics 800 Reiskosten 520 Onvoorzien K e n n i s g r o e p I n n o v a t i e

57 Leden Anton van de Burgt Foppo Spuij Jeroen van Schajik (linking pin bestuur) René van de Hesseweg (linking pin NOREA Vaktechnische Commissie) Sander de Veer Thomas Wijsman (coördinatie) 57 K e n n i s g r o e p I n n o v a t i e

58 Bedankt Voor meer informatie kun je contact opnemen met: Thomas Wijsman of NOREA