BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van … · DIT ARTIKEL Richard Power,...
Transcript of BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van … · DIT ARTIKEL Richard Power,...
de IT-Auditor nummer 2 | 2012 23
In Nederland zijn inmiddels ruim 1
miljoen tabletgebruikers. Leveran-
ciers hebben in 2011 wereldwijd 488
miljoen smartphones verscheept
tegenover 415 miljoen PC’s, zo meldt
het marktonderzoeksbureau Cana-
lys. Bedrijven ontkomen er niet meer
aan dat mensen die handige smart-
phones en tablets ook op hun werk,
thuis of in de kroeg willen gebruiken.
De consumentenapparatuur wordt
daarmee onderdeel van de informa-
tieketen van het bedrijf. Het concept
van Bring Your Own Device (BYOD)
moet ook kunnen, vinden veel orga-
nisaties. Want informatiesystemen
moeten business mogelijk maken en
niet in de weg staan [ JENN11].
Waar men zich wel op moet voorbe-
reiden, zijn cyberaanvallen die de
continuïteit en de reputatie van de
eigen organisatie op het spel zetten.
Auditors en informatiebeveiligers
moeten hierbij niet vasthouden aan
oude securitydogma’s, maar moeten
meer vanuit een soort voorwaartse
assurance redeneren.
Het risico van cyberaanvallen is ook
iets waar Europa en de Nederlandse
overheid zich over buigen. De Euro-
pese Commissie verdiept zich in
beveiligingsvraagstukken rondom
cloud computing, terwijl de miljoe-
nennota spreekt over meer e-dienst-
verlening. Onderwijl krijgt de over-
heid een forse tik door de
Diginotar-affaire, ondanks dat over
die dienstverlening assurance was
verstrekt [SEHG12]. Hoe is dit
mogelijk? Er is een spanningsveld
tussen de verklaringen van auditors
over een voorgaande periode, die op
zich voldoen aan de behoefte van
accountants voor een gestructureerde
historische verantwoording, versus
datgene waar veel gebruikers echt
naar uitkijken, namelijk een uitspraak
over de beschikbaarheid van de
informatiesystemen in de toekomst.
Die beschikbaarheid is afhankelijk
van de risico’s van vandaag en nog
meer van de risico’s in de nabije toe-
komst. Een belangrijke vraag is:
‘draait mijn informatiesysteem
morgen nog steeds en kan ik er
morgen ook op vertrouwen dat de
vertrouwelijkheid en integriteit van
mijn gegevens nog steeds zijn
gewaarborgd?’
Natuurlijk moeten auditors doorgaan
met de klassieke onderzoeken naar
opzet, bestaan en werking, zoals SAS
70 en ISAE 3402, en certificeringen
gebaseerd op periodieke waarnemin-
gen zoals ISO/IEC 27001. Een deel
van het vertrouwen van de maat-
schappij is gebaseerd op een zorgvul-
dig beheer van de informatiesystemen
en gegevens, hetgeen via deze rap-
porten en certificaten wordt beves-
tigd. Alleen mag men deze historische
bevestigingen niet verwarren met
BUSINESS SURVIVAL BINNEN DE CYBERKETEN
De noodzaak van voorwaartse risicobeheersing
RRisicobeheersing blijkt soms op een catastrofale
wijze te falen. Bekende risico’s worden niet of fou-
tief ingeschat, en dreigingen met een zeer kleine
kans van optreden en een grote impact worden
volledig genegeerd. Hierdoor zijn systemen en
organisaties vaak niet robuust genoeg om klappen
op te vangen en wordt de impact van een incident
veel groter dan nodig was. Capgemini werkt aan
een integrale aanpak voor het beter in beeld bren-
gen van de risico’s van vroeger, nu en in de nabije
toekomst. Hiervoor wordt gebruik gemaakt van
continuous risk monitoring en een intelligence-
gerichte analyse-aanpak.
MARCO VAN DER VET, WILLEM BARNHOORN EN
RONALD PAANS
de IT-Auditor nummer 2 | 201224
zekerheid voor de toekomst. Het feit
dat in de beschouwde periode geen
incident heeft plaatsgevonden garan-
deert niet dat men morgen niet het
slachtoffer kan zijn van een ernstig
incident.
POSITIONERING VAN
DIT ARTIKEL
Richard Power, distinguished fellow
van Carnegie Mellon Cylab, stelt:
‘Cybersecurity is vital to economic pros-
perity, personal privacy and national
security, and academic research is vital
to the advancement of cybersecurity.’
Men kan cybersecurity niet alleen
oppakken vanuit het oogpunt van
techniek, maar men moet het beschou-
wen in samenhang met het optreden
en gedrag van management, de mens
als gebruiker en als aanvaller, en de
processen. Voor cybersecurity is een
integrale aanpak noodzakelijk.
Capgemini is in samenwerking met
Noordbeek en de Vrije Universiteit
bezig een methode voor risicoma-
nagement voor cybersecurity te ont-
wikkelen. Dit onderzoek is vooral
gericht op het identificeren van de
risico’s van vandaag en in de nabije
toekomst, en het op een kosteneffec-
tieve wijze treffen van mitigerende
maatregelen. De klassieke methode
voor risicomanagement wordt uitge-
breid met meer aandacht voor het
heden, namelijk weten wat er binnen
de organisatie speelt, met behulp van
continuous risk monitoring. Doorre-
deneren naar de toekomst bestaat uit
een aantal aspecten, zoals het gebruik
van methoden voor intelligence voor
een inschatting van wat zou kunnen
komen, en het borgen van de robuust-
heid van de organisatie en haar omge-
ving. Men weet vrijwel zeker dat men
op een bepaald moment met een
onvoorziene tegenslag wordt gecon-
fronteerd, maar nog niet welke en
wanneer. Een organisatie kan deze
vooral opvangen als er voldoende
redundantie, spreiding, flexibiliteit,
competenties en middelen beschik-
baar zijn binnen de gebruikersorgani-
satie, informatievoorziening en IT-
infrastructuur.
Dit artikel is vooral gericht op dreigin-
gen en kwetsbaarheden die tot nu toe
te weinig zijn meegenomen bij de
klassieke risicoanalyses, eenvoudigweg
door het ontbreken van statistische
gegevens. Vanuit deze beschouwing is
het analyseproces uitgewerkt en is
robuustheid ingericht. Het resultaat is
de Risk Carrousel, die is weergegeven
in figuur 1. Centraal staan de bedrijfs-
processen en de drie verschillende
groepen van betrokken personen met
specifieke kenmerken en risicoprofie-
len, namelijk:
die via hun BYOD of kantoorauto-
matisering en bedrijfsapplicaties
participeren in de informatievoor-
ziening binnen de organisatie;
toegang hebben via webinterfaces.
Voor de overheid zijn dit de bur-
gers die e-dienstverlening benut-
ten, bij een bedrijf kunnen dit
klanten zijn die webshops gebrui-
ken of informatie opvragen, et
cetera;
verantwoordelijk zijn voor de bouw
Figuur 1: De Risk Carrousel voor de risico’s van het verleden, heden en de toekomst
de IT-Auditor nummer 2 | 2012 25
en het beheer van IT-toepassingen
en -infrastructuren.
De verschillende onderdelen van de
hieromheen gebouwde Risk Carrou-
sel bespreken wij in dit artikel.
BESTAANDE METHODEN VOOR
RISICOANALYSE EN HUN
PROBLEMEN
Voor het uitvoeren van risicoanalyses
bestaat een aantal beproefde metho-
des, waarvan wij er twee kort bespre-
ken. De in de IT-auditpraktijk meest
toegepaste methode volgt uit ISO
27001 ‘ Information Security
Management System’ en haar voor-
gangers, zoals de Code of Practice,
BS 17799 et cetera. Deze methode is
gebaseerd op het management die de
bekende bedreigingen in kaart
brengt, numeriek de impact en kans
van optreden vaststelt, evenals het
effect van de getroffen maatregelen
en het restrisico. De risicofactoren
worden uitgewerkt in de risicotabel,
die periodiek door het management
wordt besproken en geactualiseerd,
onder andere door hierin negatieve
bevindingen van audits op te nemen.
Een andere gebruikelijke methode is
NIST 800-30 Risk management’
[NIST11-1]. Deze besteedt meer
aandacht dan ISO 27001 aan de vul-
nerabilities, namelijk de binnen de
eigen organisatie al bekende kwets-
baarheden. NIST stelt: ‘for operational
plans development, the combination of
threats, vulnerabilities and impacts must
be evaluated in order to identify impor-
tant trends and decide where effort
should be applied to eliminate or reduce
threat capabilities, to eliminate or reduce
vulnerabilities, and to assess, coordinate
and deconflict all cyberspace operations.’
NIST vraagt explicieter dan ISO
aandacht voor kwetsbaarheden.
Daarnaast zijn er nog allerlei andere
methoden voor risicoanalyse, die vrij-
wel altijd uitgaan van het doorrekenen
van datgene wat al bekend is en van
feiten die door management en de
auditor al worden herkend. Hierbij
geldt echter dat risico’s worden her-
kend, maar niet dat risico’s vooraf
worden herkend. Neem als voorbeeld
een klein kind en een hete kachel. De
kleine herkent het risico van de hete
kachel niet, raakt die per ongeluk aan
en wij racen naar het huisartsenpost
om een derdegraadsverbranding te
laten behandelen. Daarna houdt de
kleine zorgvuldig afstand van iets wat
er uitziet als een kachel. Het herken-
nen van risico’s is gebaseerd op ervaring.
De twee genoemde methoden zijn
gericht op het identificeren en selecte-
ren van de meest dominante risico’s en
het doorrekenen van de geselecteerde
risico’s, aan de hand van bekende his-
torische informatie binnen een zelf te
kiezen tijdsperiode. Hierbij heeft
degene die de risicoanalyse uitvoert
een aantal vrijheidsgraden bij het
bepalen van wat dominant is en welke
informatie wel of niet wordt gebruikt.
Laten wij in dit kader eens naar twee
voorbeelden kijken. Hoe is men bij
kerncentrale in Fukushima omgegaan
met de risico-inschatting voor super-
tsunami’s en hoe doet men het hier in
Nederland?
Fukushima is een typerend voor-
beeld van het negeren van al beschik-
bare kennis. De aardbeving van 11
maart 2011 is al in 2007 voorspeld
door wetenschappers met een kans
van 99 procent in een tijdsperiode
van dertig jaar, gebaseerd op een ana-
lyse van voorgaande bevingen en
supertsunami’s die daar ongeveer om
de 900 jaar optreden. De reeks is
ongeveer: 900 voor Christus, het jaar
1, 9 juli 869 en 11 maart 2011. Eer-
dere signalen vanuit de wetenschap
over de mogelijkheid van het vierde
incident in deze reeks stammen uit
2001 [MINO01]. De beving in 2011
was statistisch gezien veel te laat,
waardoor de kracht tussen de tecto-
nische platen verder was opgelopen
en de door wetenschappers initieel
ingeschatte schok van 8,5 op de
schaal van Richter werd overtroffen.
In de evaluaties is nu te lezen: ‘In
2007 TEPCO did set up a department
to supervise all its nuclear facilities.
Until June 2011 its chairman was the
chief of the Fukushima Daiichi power
plant. An in-house study in 2008 poin-
ted out that there was an immediate
need to improve the protection of the
power station from flooding by seawa-
ter. This study mentioned the possibility
of tsunami-waves up to 10.2 meters.
Officials of the department at the com-
pany’s headquarters insisted however
that such a risk was unrealistic and did
not take the prediction seriously.’
Feit is dat de levensduur van de kern-
centrales was verlengd op basis van een
politiek besluit op grond van bedrijfs-
economische overwegingen, waardoor
Japan met de grootste nucleaire ramp
sinds Tsjernobyl werd geconfronteerd.
Persberichten rond 9 maart 2011
geven aan dat de Japanse regering al
vier uur na de ramp op de hoogte was
van de mogelijke melt down, maar dat
haar er alles aan gelegen was de ramp
te bagatelliseren om aan de veiligheids-
mythe rondom kernenergie vast te
houden. ‘Wij kunnen niet langer met
het excuus komen dat wat gebeurd is
onvoorspelbaar was en ons voorstel-
lingsvermogen te boven ging’, zei de
huidige premier Yoshihiko Noda
tegen journalisten. ‘Crisismanagement
eist van ons dat wij ons voorstellen wat
misschien onvoorstelbaar is.’ Hiermee
stelt de premier dat organisaties
moeten zorgen voor robuustheid: ze
moeten namelijk voorbereid zijn op
een dreiging met een heel kleine kans
van optreden maar met een heel grote
impact.
In de landen rondom de Indische en
Stille Oceaan wordt serieus omge-
gaan met het risico van supertsu-
nami’s. Maar hoe doet men dit hier
in Nederland? Namens EMC
spreekt VansonBourne in haar rap-
portage van 23 november 2011 over
Nederland als een zeer risicovolle
locatie voor datacentra, zoals door
de AutomatiseringsGids is toege-
licht op 7 december 2011 [EMC11].
Als men in de literatuur duikt,
blijkt dat in oktober 6125 voor
Christus een supertsunami in de
Noordzee een aantal van onze eigen
voorouders op een catastrofale wijze
heeft getroffen [BOND97]. Dit
was de Storegga-tsunami. Een blik
op de landkaart is voldoende om te
zien dat als er iets misgaat in de
de IT-Auditor nummer 2 | 201226
noordelijke Noordzee of de noor-
delijke Atlantische Oceaan, bijvoor-
beeld een ontploffende vulkaan op
IJsland of een meteoriet, wij hier
golven van 25 meter hoogte of meer
kunnen verwachten, net zoals op de
Japanse Vlakte van Sendai op 11
maart 2011. Dit is typisch een risico
waar wij zelf liever niet over naden-
ken als wij met de kinderen over het
strand van Zandvoort wandelen. Net
zo min als over de Zuidwalvulkaan,
die sinds het Jura tijdperk onder het
eiland Grient in de Waddenzee slui-
mert [ZUID12]. Wij weten dat de
magmakamer en kraterpijp nog
intact zijn, maar wij veronderstellen
(terecht?) dat die vulkaan nog heel
lang niet tot een uitbarsting zal
komen. Niettemin, het is een strato-
vulkaan met als kenmerk dat de
hevigheid van een volgende eruptie
toeneemt naarmate de vorige langer
geleden is, net zoals Pompeï en Her-
culaneum hebben ervaren met de
Vesuvius. Een tsunami, een meteo-
rietinslag en een vulkaanuitbarsting
zijn rampen die men niet kan voor-
komen, maar die als een bundel
ongewisse factoren terug moeten
komen in risicoanalyses en zo invloed
hebben op de keuzes van mitigerende
maatregelen.
RISICO’S WORDEN STELSELMA-
TIG OVER HET HOOFD GEZIEN
De klassieke aanpak voor risicoanalyse
blijft waardevol. Men moet blijven
kijken naar het verleden om te kunnen
voorspellen wat er in de toekomst kan
gebeuren, aangezien de geschiedenis
zich herhaalt. Naar de mening van de
auteurs wordt risicoanalyse echter veel
te beperkt en met te weinig echte
gedrevenheid opgepakt. Enkele prakti-
sche belemmeringen, zoals beschreven
door Beusenberg en Fasten in hun
scriptie ‘Ongrijpbare ketenrisico’s voor
financiële instellingen’ [BEUS10],
zijn:
Een accountant of IT-auditor krijgt
een budget passend bij een object.
Daarbij is nauwelijks of geen ruimte
om te kijken naar de end-to-end
risico’s vanuit de ketens en de boven-
liggende processen. Hij of zij wordt
geacht binnen de scope van de
opdracht te blijven, waarbij de door
de beroepsregels voorgeschreven
scoping eigenlijk belemmerend
werkt.
Binnen een organisatie is veel
bekend over de eigen kwetsbaarhe-
den. Maar het is een goed menselijk
gebruik daar zo weinig mogelijk
over te praten, of liever nog zo
weinig mogelijk over na te denken.
Veel mensen zijn van nature opti-
mistisch, zo van ‘ons overkomt dat
vast niet’ of ‘het zal mijn tijd wel
duren’. NIST haakt hierop in door
in de standaard 800-30 extra aan-
dacht te vragen voor de bekende
kwetsbaarheden [NIST11-1].
Veel mensen hebben weinig fanta-
sie. Zij houden zich strikt aan de
standaardlijsten met bedreigingen
en aan datgene wat zij van oudsher
doen. Zij staan daarbij niet open
voor signalen vanuit de samenleving
of wetenschap over nieuwe bedrei-
gingen en nieuwe risico’s. Ofwel
zien zij deze signalen helemaal niet,
of zij hebben geen behoefte aan een
verandering in hun eigen aanpak.
Soms wordt informatie over bedrei-
gingen geheim gehouden of niet
gedeeld, omdat niemand zijn vuile
was buiten wil hangen. Zo zijn
banken heel gesloten over cyber-
crime en over hun aanpak om deze
tegen te gaan [WOUD11]. Ook
inlichtingendiensten zijn gesloten
over de trends die zij waarnemen.
Hierdoor worden auditors en risi-
comanagers niet altijd gevoed met
de juiste signalen die zij nodig
hebben bij hun eigen audits en risi-
coanalyses.
Cybercrime blijft iets wat high tech
klinkt. Er is echter een fors gebrek
aan technical IT-auditors. Veel
organisaties worden geconfronteerd
met de realiteit van ‘te veel behoefte
aan technical audits en veel te weinig
technical auditors beschikbaar.’ De
reguliere accountant en de brede
auditor missen hierdoor de beno-
digde assistentie om cyberrisico’s
goed in te kunnen schatten.
Samengevat: er wordt soms met oog-
kleppen op gekeken naar risico’s die al
bekend zijn uit het verleden. Boven-
dien is het nu onderbelicht of wordt
genegeerd, terwijl de risico’s van de
toekomst veelal buiten beeld blijven.
Signalen zijn er in feite genoeg, maar
in hoeverre reageren risicoanalisten
daar op adequate wijze op? Krijgen zij
wel voldoende tijd en middelen om de
echte risico’s in kaart te brengen en zo
bij te dragen aan een veiliger maat-
schappij? Het stellen van de vraag is in
feite het beantwoorden van de vraag:
neen.
RISICO’S ZIJN ONBEKEND
Het herkennen van risico’s vereist
inzicht in en analyse van wat er mis
kan gaan, zonder dat dit al is gebeurd.
Laten wij enkele recente incidenten
beschouwen, waarvan het risico in
feite bekend was op basis van beschik-
bare signalen, maar waarmee de direct
betrokkenen niet tijdig iets gedaan
hebben.
Stuxnet is een bijna perfect cyberwa-
pen, dat volgens de pers haar doel
heeft bereikt en forse schade heeft ver-
oorzaakt als onderdeel van de
moderne elektronische oorlogsvoe-
ring [SYMA11]. Stuxnet maakte
gebruik van kwetsbaarheden bij pro-
cesautomatisering, die onder andere al
waren beschreven door Nieuwenhuis
en Peerlkamp [NIEU10]. Zorgwek-
kend is echter dat het concept is ‘ont-
snapt’ en nu kan worden gebruikt
voor andere aanvallen. Inmiddels is
bekend dat het concept van Stuxnet
door diverse partijen (inclusief crimi-
nelen?) wordt gemodificeerd, zodat
deze op andere infrastructuren zou
kunnen worden gericht. Het wordt
nu voor organisaties belangrijk actie te
ondernemen om een toekomstige
Stuxnet-achtige aanval op de eigen
infrastructuur te kunnen afslaan.
Duqu is een vrij weinig bekende vari-
ant op Stuxnet, gericht op cyberspio-
nage en het verzamelen van informatie
om te kunnen aanvallen. Een deel van
Duqu is dusdanig geavanceerd dat
Kaspersky Labs in maart 2012 de
de IT-Auditor nummer 2 | 2012 27
hackergemeenschap om hulp heeft
gevraagd om de programmeertech-
niek te doorgronden [KASP12]. De
indruk ontstaat dat Stuxnet en Duqu
zijn ontwikkeld door partijen die over
veel kennis en omvangrijke middelen
beschikken, want deze geavanceerde
cyberwapens lijken totaal niet op dat-
gene wat normaliter uit de hackerge-
meenschap komt.
Bij de ontwikkeling van de OV-chip-
kaart waren de zwakheden en kwets-
baarheden van de Myfare Classic chip
bekend, zoals is beschreven door Nie-
mantsverdriet [NIEM11]. De geraad-
pleegde deskundigen waren er initieel
echter van overtuigd dat, gezien de
beperkte waarde van de transacties, de
risico’s beheersbaar waren. Verschil-
lende groepen wetenschappelijke
krakers hebben aangetoond dat dit
een verkeerde inschatting was, door-
dat zij volhardender waren dan door
de deskundigen was voorzien
[NIEM11]. Er komt nu een beter
beveiligde chip, maar hoe lang zal die
bestand blijven tegen gerichte aanval-
len? Het is bekend dat security by
obscurity op termijn altijd zal falen.
Ondanks zorgvuldig uitgevoerde risi-
coanalyses is men toch overvallen door
deze incidenten, waarvoor de getrof-
fen organisaties in onvoldoende mate
maatregelen hadden getroffen. Taleb
[TALE10] betoogt in zijn boek ‘De
zwarte zwaan’ dat men rekening moet
houden met het uiterst onwaarschijn-
lijke. De recente geschiedenis leert dat
er steeds iets gebeurt dat uiterst
onwaarschijnlijk werd geacht, maar
toch een forse impact heeft op onze
moderne samenleving. En daarmee op
onze moderne IT-infrastructuur.
NIST stelt veel materiaal beschik-
baar voor cybersecurity. Er zijn ook
andere bronnen zoals Open Web
Application Security Project
(OWASP). Hun aanpak is vooral
gericht op de beveiliging van webap-
plicaties [OWAS12]. OWASP ver-
schaft nuttige hulpmiddelen om
kwetsbaarheden te kunnen voorko-
men die cyberaanvallen uitlokken, of
de impact van dergelijke aanvallen te
verlagen. Vraagt u echter de gemid-
delde programmeur hoe hij OWASP
gebruikt bij het programmeren en
testen, dan ziet u dat die program-
meur zich bij de ontwikkeling van
webapplicaties heel wat vrijheidsgra-
den veroorlooft die niet alle in lijn
liggen met de door OWASP uitge-
dragen beginselen. De auteurs zijn
van mening dat er goede methoden
en technieken beschikbaar zijn om de
informatievoorziening veiliger te
maken, maar dat die nog niet breed
worden benut.
HOE KUNNEN WIJ DE RISICO-
ANALYSE BETER DOEN?
Wij moeten het probleem van de
niet herkende of niet voorziene
risico’s aanpakken. Dit kan alleen
met de macht en status van het
hoogste orgaan binnen de organisa-
tie, zoals de Board, een College van
Bestuur, een Secretaris Generaal et
cetera. Hun taak is governance,
namelijk de organisatie zo inrichten
dat deze haar doelstellingen reali-
seert ‘met een zorgvuldige afweging
van de risico’s’. Alleen heeft dat laat-
ste deel van hun taak veelal geen
dominante prioriteit in de huidige
tijd. Allerlei zaken blijven daardoor
liggen, zoals broodnodige besluiten
binnen de strategische / tactische
agenda over het streven van sommige
organisatieonderdelen naar BYOD,
WIFI, Het Nieuwe Werken, Sociale
Media, Apps op iOS / Android, de
upgrade naar een ander platform in
201X, het inrichten van business
continuity en andere ontwikkelingen
die van invloed kunnen zijn op de
relatie tussen de bedrijfsprocessen en
de IT-dienstverlening.
Er is een aparte functie nodig, in de
directe omgeving van de hoogste lei-
ding, om de informatie over risico’s te
wegen, te bundelen en te presenteren.
Van oudsher is dat een Chief Risk
Officer. Gezien het toenemende
belang van informatie verschuift dit
binnen informatie-intensieve organi-
saties naar de functie van een Chief
Information Security Officer, de
CISO. Veel multinationals en grote
organisaties hebben deze functie al
geïntroduceerd en ingericht, veelal op
een hoog niveau om zo voldoende
gewicht te kunnen geven aan een
zorgvuldige risicobenadering.
Een CISO heeft een stevig mandaat
nodig plus voldoende middelen,
bestaande uit competenties en
instrumenten. Naast het bovenge-
noemde klassieke instrumentarium
voor ISO 27001, NIST 800-30 et
cetera. is er duidelijk behoefte aan
middelen die de niet herkende en de
niet voorziene risico’s kunnen identi-
ficeren en meenemen om deze op
verantwoorde wijze onder de aan-
dacht van de leiding te kunnen bren-
gen. In het kader van het betoog in
dit artikel zijn deze middelen: het e-
Competence Center, continuous risk
monitoring, het Risk Register en
intelligence. Deze onderwerpen
bespreken wij hierna.
e-Competence Center
Een nadere analyse van de eerder
genoemde incidenten leert dat de
meeste van hen niet geheel onver-
wachts kwamen. De dreiging was in
feite bekend, maar men werd verrast
door de impact. Nieuwenhuis en
Peerlkamp [NIEU10], winnaars van
de Joop Bautz Information Security
Award 2010, hebben in 2010 een
scriptie gepubliceerd over de kwets-
baarheid van procesautomatisering.
Zij bundelden bestaande kennis om
aan te tonen dat procesautomatisering
onvoldoende is beschermd en steeds
kwetsbaarder wordt voor externe
bedreigingen. Duqu en Stuxnet buiten
deze al bekende zwakheden op een
ongekend effectieve manier uit. De
kwetsbaarheid is niet nieuw, de
gerichte aanval wel. Wat de timing
betreft, de scriptie is ingeleverd in
maart 2010, terwijl Stuxnet is ontdekt
op 13 juli 2010 [SYMA11].
Taleb [TALE10, deel 3] werkt het
verrassingseffect uit aan de hand van
de analogie van de zwarte zwaan die
niet slechts een zeldzame of bizarre
gebeurtenis is, maar tevens buiten
de IT-Auditor nummer 2 | 201228
ons enge blikveld van mogelijke
gebeurtenissen ligt en ons volledig
verrast. Hij stelt dat voor veel zeld-
zame gebeurtenissen de oorzaak en
mogelijke consequenties zijn te door-
gronden. Het is weliswaar niet
mogelijk de exacte kans te berekenen,
maar men kan zich wel in hoofdlij-
nen een beeld vormen van zo een
dreiging met een heel kleine kans van
optreden en een enorme impact.
Door vooraf na te denken over
zwarte zwanen en die gedachtegang
ook mee te nemen bij het maken van
afwegingen voor het inrichten van
stelsels van maatregelen, kan men
van zwarte zwanen grijze zwanen
maken en hun verrassingseffect
inperken. Zo wist men bij Fuku-
shima dat het schakelpaneel voor de
noodaggregaten op een kwetsbare
plaats stond, namelijk in het turbine-
gebouw dat bij een supertsunami
onder water zou komen te staan. Bij
de bouw van noodaggregaten die
hogerop lagen op een heuvel had
men indertijd ook direct het schakel-
paneel kunnen verplaatsen, als men
de dreiging op haar juiste waarde had
ingeschat en had meegenomen in de
gedachtegang.
In het kader van dit artikel over de
cyberrisico’s pleiten de auteurs voor het
inzetten van een denktank, in feite een
groep deskundigen gericht op intelli-
gence. Zij verzamelen wereldwijd
informatie over incidenten, kwetsbaar-
heden en bedreigingen. Zie figuur 2.
Veel van deze informatie is tegenwoor-
dig eenvoudig te vergaren via het inter-
net. In figuur 1 op pagina 24 is een
cyclus aangegeven in het intelligence-
deel, bestaande uit ‘Collect’, dat is het
verzamelen van relevante gegevens,
gevolgd door ‘Combine’, namelijk het
combineren van gegevens uit verschil-
lende bronnen om verbanden te leggen.
Er is veel kennis vrij toegankelijk of
opgeslagen in online libraries. De
kunst is via Analyse tot de juiste con-
clusies te komen, namelijk ‘Conclude’.
Het voorspellen van incidenten in de
toekomst vindt plaats in de CCAC-
cyclus, oftewel Collect - Combine -
Analyse - Conclude.
Medewerkers in de denktank dienen
over fantasie te beschikken en de
‘wat als’ vraag te stellen. Hierbij kan
bijvoorbeeld een riskcoördinator
binnen onze Nederlandse Delta-
werken denken aan de vraag ‘wat kan
onze procescomputers verstoren?’, of
misschien nog specifieker, ‘wat
gebeurt er als een virus wordt gericht
op onze procescomputers?’ Daaruit
volgt de vraag hoe de procescompu-
ter die de sluisdeuren van een water-
kering aanstuurt is beschermd. Het
antwoord is misschien dat er geen
enkele vorm van een firewall is opge-
nomen in het betreffende LAN,
geen intrusion detection of andere
signaleringsmogelijkheden zijn voor-
zien, en dat de software op de pro-
cescomputer niet wordt gecontro-
leerd op ongeautoriseerde
modificatie. Dit leidt tot de conclu-
sie dat een Stuxnet-achtige aanval op
de sluizen en stuwen van de Delta-
werken tot een ernstig incident zou
kunnen leiden en tot de vraag of
mitigerende maatregelen nodig zijn.
Een goedkope oplossing is het los-
koppelen van het LAN met de pro-
cescomputers van de andere netwer-
ken om zo terug te kunnen vallen op
Figuur 2: De positionering van het e-Competence Center
de IT-Auditor nummer 2 | 2012 29
de aloude fysieke isolatie van
netwerken met verschillende beveili-
gingseisen [DOD85]. Een nadeel
hierbij is dat de centrale aansturing
van de procescomputers gecompli-
ceerder wordt. Het wordt minder
gebruikersvriendelijk, maar wel veili-
ger. Een alternatief is meer controle-
maatregelen rondom de computer te
plaatsen en er omheen te controle-
ren, zoals de accountant dat doet als
deze niet op de geautomatiseerde
boekhouding kan vertrouwen.
De denktank is een e-Competence
Center, waarin experts uit verschil-
lende disciplines zitten. In ieder geval
participeren de technische deskundi-
gen voor de platformen, middleware
en applicaties, plus de webspecialis-
ten die betrokken zijn bij de
OWASP-maatregelen. Zij richten
zich op de technische bedreigingen
en kwetsbaarheden, binnen hun spe-
cifieke competenties. Daarnaast par-
ticiperen riskdeskundigen vanuit de
bedrijfsonderdelen, die breder kijken
naar dreigingen vanuit de buitenwe-
reld, criminele en politieke ontwik-
kelingen volgen et cetera. Gezamen-
lijk hebben zij de kennis en kunde
om dreigingen op hun waarde te
schatten. Zij doen dit deels door
rechtlijnig doorredeneren, en deels
door thinking out of the box. Belang-
rijk is de creativiteit in het proces en
een thematische aansturing.
Een organisatie kan dit volledig zelf
inrichten, maar doelmatiger is dit
deels als een project op te pakken dat
meerdere organisaties overstijgt. Zo
kan men denken aan een e-Compe-
tence Center overkoepelend aan een
aantal overheids- en uitvoeringsin-
stanties, met bemensing vanuit die
organisaties en vanuit de IT-dienst-
verleners die outsourcingdiensten
leveren aan deze partijen. Iedere partij
heeft eigen competenties nodig in het
kader van de eigen specifieke bedrijfs-
processen en het geleverde type
dienstverlening. Daarnaast zijn er
generieke aspecten, zoals nieuwe
bedreigingen, die men beter geza-
menlijk kan oppakken. Dit pleit voor
een getrapte structuur, met een effec-
tieve en open communicatie tussen de
participanten. Dan kan iedere partici-
pant gebruik maken van de brede
kennis van alle participanten, met de
mogelijkheid de specifieke details die
van belang zijn voor de eigen bedrijfs-
voering zelf verder uit te werken.
Het samenspel tussen peers en een
getrapte structuur heeft als voordeel
dat men redelijk open kan communi-
ceren met de peers, zonder dat de
vuile was buiten wordt gehangen.
Voor de buitenwereld is dit een enigs-
zins gesloten bolwerk, waaruit alleen
signalen komen waarvan de partici-
panten het nuttig vinden die naar
buiten te brengen. Denk hierbij aan de
bancaire instellingen, die al intensief
overleggen over de bedreigingen voor
internetbankieren [WOUD11].
De e-Competence Centers rapporte-
ren aan de CISO’s van hun respectie-
velijke organisaties. Hiermee wordt de
relatie gelegd naar de hoogste leiding,
zodat het resultaat van hun werk met
voldoende prioriteit op de agenda van
de leiding wordt gezet.
Figuur 3: De relatie met de IT-auditor
de IT-Auditor nummer 2 | 201230
Continuous risk monitoring
Voor een juiste inschatting van risico’s
in relatie tot de eigen kwetsbaarhe-
den, is het belangrijk te weten wat
er speelt op de eigen werkvloer. Er
zijn ontwikkelingen op het gebied van
continuous monitoring en continu-
ous assurance, die hier verbeteringen
in aanbrengen. Een van de grondleg-
gers is Vasarhelyi [THIP11]. Ook
NIST gaat in op deze ontwikkelin-
gen met haar Special Publication
800-137 ‘Information security continu-
ous monitoring for federal information
systems and organizations’ [NIST11-
2]. Hierin wordt onder andere
ingegaan op Security Information
and Event management (SIEM).
Maar deze technieken worden
vooralsnog slechts op zeer beperkte
schaal toegepast.
In het kader van dit artikel is conti-
nuous risk monitoring het centraal
verzamelen van lokaal of decentraal
bekende informatie over bedreigin-
gen, risico’s en kwetsbaarheden.
Deze aanpak levert ook nieuwe
kansen op voor het vakgebied audi-
ting. Het e-Competence Center
denkt na over scenario’s en over het
vereiste of gewenste stelsel van risi-
comitigerende maatregelen. Om de
SOLL versus de IST te kunnen
beoordelen, zijn in feite audits nodig.
Zoals weergegeven in figuur 3 kan
de CISO gericht opdrachten geven
aan auditors om scenario’s door te
werken en te bepalen of de organisa-
tie beschikt over de minimaal ver-
eiste maatregelen, en in welke orde-
grootte de mogelijke restrisico’s
liggen. Dit is de voor auditors
gebruikelijke cyclus van ‘SOLL, IST,
GAP, Improve’, maar nu gericht op
de scenario’s, onder meer in het
kader van cyberdreigingen.
Risk Register
Organisaties maken vaak onvol-
doende gebruik van historische
risico-informatie. Gebruikersorgani-
saties en IT-afdelingen analyseren
steeds dreigingen, schatten hun
impact en kans van optreden in,
(her)beoordelen het stelsel van risi-
comitigerende maatregelen en passen
dit aan, waar nodig. Dit gebeurt
veelal binnen projecten, vaak in het
kader van verandermanagement.
Deze informatie wordt dan bijge-
houden in zogenaamde Risk Regis-
ters en wordt gedurende het project
actief beheerd door het projectteam.
Daarna gaat echter veel kennis ver-
loren bij reorganisaties, door vertrek
van medewerkers en met het binnen-
halen van nieuwe krachten. Verlies
van deze kennis is een handicap voor
een zorgvuldig risicobeheer, dat juist
gebaat is bij een zo compleet moge-
lijk overzicht over een langere tijd.
Individuele Risk Registers worden
vrijwel nooit gebundeld en beheerd
om in continuïteit een overzicht te
verschaffen. Juist een gebundeld, his-
torisch volledig en steeds geactuali-
seerd Risk Register is een prima hulp-
middel voor een e-Competence
Center. Hierin is alle informatie terug
te vinden over hetgeen diverse partijen
hebben verzameld over risico’s en
kwetsbaarheden, en kan men zien
welke maatregelen al zijn getroffen.
Dan kan de focus worden gelegd op
het beoordelen van de effectiviteit van
die maatregelen en het detecteren van
mogelijke manco’s in het stelsel.
In het kader van dit artikel pleiten wij
voor het centraal verzamelen van de
lokaal en decentraal beschikbare infor-
matie over bedreigingen en kwetsbaar-
heden. Dit vereist het inrichten van
een netwerk van riskcoördinatoren op
een laag niveau binnen organisaties,
die een bewakende rol vervullen en
informatie verstrekken aan een cen-
traal orgaan. Deze informatie wordt
opgenomen in het centrale Risk Regis-
ter, en komt zo ter beschikking van het
e-Competence Center.
Het Risk Register kan onder andere
input leveren voor de testsets voor
nieuwe programmatuur en nieuwe
systemen. Als men hierin de OTAP-
aanpak en OWASP-testen meeneemt,
kan men met deze gecombineerde
aanpak de robuustheid van de infor-
matiesystemen en webapplicaties sub-
stantieel verbeteren.
Intelligence vergaren
en benutten
Hoe maakt Taleb een zwarte zwaan
grijs? Zijn waarschuwing is dat wat
men ook doet, er altijd onvermoede
zwarte zwanen blijven bestaan waar-
voor niets blijkt te zijn geregeld. Zodra
men rekening gaat houden met de
mogelijkheid van een zwarte zwaan, is
deze niet zwart meer in de zin van
Taleb. De uitdaging ligt in het voor-
zien dat er ooit een zwarte zwaan kan
komen, waarvoor men in feite een een
intelligence-achtige aanpak nodig
heeft. Afhankelijk van het marktseg-
ment worden dreigingen ingedeeld in
categorieën en wordt informatie gese-
lecteerd en gesorteerd. Dit gebeurt
binnen het e-Competence Center
individueel en groepsgewijs, om zo de
competenties optimaal te benutten en
daarnaast via het groepsproces tot
nieuwe creatieve inzichten te kunnen
komen.
Voor dreigingen met een zeer grote
impact en een heel kleine kans van
optreden hanteert men het principe
van het grijsmaken van de zwarte
zwaan. Dat houdt in, de hoofdlijnen
van mogelijke oorzaken en conse-
quenties in beeld brengen, de moge-
lijke scenario’s doorredeneren, vast-
stellen waar redundantie bestaat
binnen de bedrijfsprocessen, IT-
voorzieningen et cetera, en bepaling
of deze redundantie afdoende zal
zijn. Hierbij moet sprake zijn van een
thematische benadering. Enerzijds
wordt deze analyse gericht op de
platformen en technieken, zoals voor
de databases, hardening van de ser-
vers en het beveiligen van de webap-
plicaties en businesslogica. Ander-
zijds is de analyse gericht op de
categorieën van bedreigingen.
Een van de mogelijke intelligence-
achtige methoden is het uitvoeren
van linkage-analyses, bijvoorbeeld
zoals beschreven door Labuschagne
[LABU06]. Hierbij worden de
omstandigheden meegenomen,
evenals de modus operandi en de
populatie van mogelijke kwaadwil-
lenden. Met modus operandi worden
de IT-Auditor nummer 2 | 2012 31
de handelingen bedoeld die door een
dader worden gebruikt voor het uit-
voeren van een inbraak of het ver-
oorzaken van een beschadiging. De
dader heeft een bedoeling met iedere
handeling, namelijk om er voor te
zorgen dat de inbraak of beschadi-
ging lukt, voor het tegengaan van
zijn of haar identificatie, en om
mogelijkheden te verkrijgen om
fondsen of informatie te ontvreem-
den. De modus operandi kan bij
opeenvolgende acties veranderen
omdat de kwaadwillende betere
technieken leert. Hierbij bestaat de
kans voor de informatiebeveiligers,
en het gevaar voor de dader, dat de
laatste onvoorzichtig wordt als
bepaalde technieken goed blijken te
werken. De ‘handtekening’ van een
dader zijn de handelingen die onno-
dig zijn voor het plegen van de mis-
daad, maar die dienen ter bevredi-
ging van de psychologische behoeften
van de dader. Deze handelingen
kunnen onderdeel gaan vormen van
de modus operandi.
Met dit soort analyses wordt aange-
sloten bij de aanpak van opsporing
door Politie en het werk van inlichtin-
gen- en veiligheidsdiensten. Ook daar-
bij ontstaat een steeds sterkere relatie
met de cyberwereld. Zoals beschreven
door Berg worstelt men in die wereld
ook met het vinden van een maat-
schappelijk verantwoorde balans
tussen het belang van de doelmatig-
heid van de opsporingstaak, het tac-
tisch belang van de onderzoeken en de
privacybelangen van de betrokkenen
[BERG07].
Bij een analyse is het van belang een
open oog te houden voor de kosten
en te streven naar pragmatische
oplossingen. Zo kan men de vanuit
het dreigingrisico voor overstromin-
gen in het westen van Nederland
overwegen een primair datacenter te
gebruiken voor de IT-diensten in het
westen en een secundair datacenter
hoog en droog in het oosten, met de
mogelijkheid daarop terug te vallen.
Vanuit ieder dreigingrisico wordt
steeds gekeken naar alternatieven.
Als daarbij dreigingen overblijven
waarvoor geen kosteffectieve maatre-
gelen kunnen worden getroffen, is
het toch goed daarvoor een generiek
scenario door te redeneren en uit te
werken. Hiermee heeft men bij het
onverwacht optreden van het inci-
dent toch al enige informatie op de
plank liggen om snel te kunnen rea-
geren. De Japanse regering had zich
veel kritiek kunnen besparen als zij
op 11 maart 2011 tenminste een
communicatieplan op de plank gehad
had liggen voor een mogelijke melt
down van een kerncentrale. Zij had
zich nog veel meer kritiek kunnen
besparen als zij de verlenging van de
vergunning van Fukushima had
gekoppeld aan de eis voor een veiliger
opstelling van het schakelpaneel voor
de noodaggregaten.
Als de minister van BZK over de
bovenstaande aanpak had kunnen
beschikken, had de Diginotar affaire
vermoedelijk niet plaatsgevonden of
was deze minder ernstig geweest
[SEHG12]. Dan was er vooraf over
nagedacht of het handig is de SSL-
certificaten voor de websites van de
overheid van één partij te betrekken,
of dat spreiding beter is. Bovendien
was er dan een afweging geweest of
men het proces voor certificaten die
worden gebruikt voor social media
moet combineren met dat voor web-
sites van de overheid. Daarnaast was
er over nagedacht wat de impact is
voor de overheid als haar SSL-certifi-
caten op de blacklist van de internet
browsers terecht komen. Dit zijn
allemaal zaken waarover een e-Com-
petence Center nadenkt.
ROBUUSTHEID
Organisaties moeten accepteren dat
zij af en toe met een ernstig incident
worden geconfronteerd, zonder dat
zij vooraf weten uit welke hoek de
dreiging komt en hoe omvangrijk de
impact zal zijn. Het incasseren van
een klap is pijnlijk. Soms overleeft een
organisatie dit niet, zoals recentelijk
Diginotar, of deels, zoals Tepco.
Ondernemen is weliswaar risico’s
lopen, maar management dient vooraf
op basis van een goede afweging van
risico’s de juiste besluiten te nemen.
Zo een besluit kan zijn preventieve
maatregelen te treffen, of die juist
vanwege kosten achterwege te laten.
Dat kan men compenseren met een
stelsel van detectieve maatregelen, om
snel signalen te krijgen, en correctieve
maatregelen om de impact van een
incident te verkleinen.
Robuustheid is de mate waarin men
de impact van een incident kan beper-
ken of verkleinen. In hoeverre de
gevolgschade werkelijk wordt vermin-
derd hangt af van de binnen de orga-
nisatie aanwezige redundantie en
flexibiliteit, en of een voldoende aantal
competente medewerkers tijdens of
direct na het incident snel genoeg kan
worden gemobiliseerd. Deze mede-
werkers dienen te beschikken over
inhoudelijke kennis over de business,
het functioneren van de organisatie, de
bedreigingen en kwetsbaarheden, en
scenario’s. In feite is dit een soort
Emergency Response Team, waarvan
in het geval van cyberaanvallen het e-
Competence Center onderdeel uit kan
maken.
De medewerkers van het Emergency
Response Team hoeven niet allemaal
op de loonlijst te staan. Dit team kan
ook worden gevormd als een samen-
werkingsverband binnen een groep
van organisaties met overeenkomstige
kenmerken. Van belang zijn synergie
binnen de groep, regelmatig met elkaar
optrekken, gezamenlijk doorlopen van
de scenario’s en onderhouden van de
inhoudelijke kennis.
CONCLUSIE
De cyberwereld brengt ons veel voor-
delen en is niet meer weg te denken uit
onze moderne maatschappij. Zowel
de overheid als het bedrijfsleven
benutten deze wereld steeds intensie-
ver om zaken te doen, onderling en
met de burger, die ook tegelijk consu-
ment is. Als iets intensief wordt
gebruikt en er komen bepaalde belan-
gen in beeld, zoals vertrouwelijke
informatie en financiële waarden,
de IT-Auditor nummer 2 | 201232
worden ook criminelen en kwaadwil-
lenden actief. Dat is een fact of life.
Ook neemt de impact van calamitei-
ten toe, naarmate het gebruik intensie-
ver wordt.
Onze klassieke aanpak van riskma-
nagement voldoet vandaag de dag
niet meer. Die is nog teveel gericht op
dreigingen van gisteren en houdt te
weinig rekening met de kwetsbaarhe-
den van vandaag en morgen. Vandaar
dat in het kader van cybersecurity
een nieuwe aanpak wordt ontwik-
keld, om zoals Taleb het uitdrukt
zwarte zwanen grijs te kunnen krij-
gen. Daarbij probeert men zo goed
mogelijk dreigingen te kunnen voor-
zien, maatregelen daartegen te tref-
fen, en ondertussen voorbereid te
zijn op de klap die komt maar nog
niet kan worden voorzien. Zowel de
cyberwereld als het vakgebied audi-
ting beschikken daartoe in beginsel
weliswaar over de juiste competen-
ties en methoden, alleen moeten die
nog wel worden gebundeld om effec-
tief te kunnen worden ingezet voor
het minimaliseren van de impact van
de daadwerkelijke dreigingen. ■
Literatuur
[BERG07] Berg, B., Criminal Investigation, Edition 4,
McGraw-Hill, ISBN 978-0073401249, 2007.
[BEUS10] Beusenberg, C.N.A. en Fasten, J.E., Ongrijpbare
ketenrisico’s voor financiële instellingen, scriptie VU
PGO IT Audit, op www.vurore.nl, april 2010.
[BOND97] Bondevik, S., Svendsen, J. en Mangerud, J.,
Tsunami sedimentary facies deposited by the
Storegga tsunami in shallow marine bassins and
coastal lakes, western Norway in Sedimetology, Nr.
44, pp. 115-1131, 1997.
[DOD85] US Department of Defense, Trusted computer
system evaluation criteria, CSC-STD-001-83, 15
augustus 1983, vervangen door DoD STD 5200.28-
STD, december 1985.
[EMC11] EMC VansonBourne report, European Disaster
Recovery Survey 2011, Data today gone tomorrow:
How well companies are poised for IT recovery 23
november 2011, gerefereerd in Datacentra bedreigd
door rampen, AutomatiseringGids 7 december 2011.
[JENN11] Jenniskens, M., Rorive, K. en Jessurun, A., iPad
als beveiligd verlengstuk van uw werkplek, Strict
white paper, versie 1.2, juni 2011.
[KASP12] Computable, Kaspersky vraagt hulp bij
bestrijding Duqu, 8 maart 2012.
[LABU06] Labuschagne, G.N., The use of a linkage
analysis as evidence in the conviction of the
Newcastle serial murderer, South Africa in Journal
of Investigative Psychology and Offender Profiling,
Vol. 3, Nr. 3, pp. 183-191, oktober 2006.
[MINO01] Minoura, K., Imamura, F. et al, The 869 Jogan
tsunami deposit and recurrence interval of large-
scale tsunami on the Pacific coast of northeast
Japan, in Journal of Natural Disaster, Vol. 23, Nr. 2,
pp. 83-88, 2001.
[NIEM11] Niemantsverdriet, P., Het besluitvormingspro-
ces rond de ontwikkeling en implementatie van de
OV-chipkaart, een succes of falen, scriptie VU PGO IT
Audit, op www.vurore.nl, mei 2011.
[NIEU10] Nieuwenhuis, M., en Peerlkamp, S., Process
Control Network Security, Comparing frameworks
to mitigate the specific threats to Process Control
Networks, scriptie VU PGO IT Audit, op
www.vurore.nl, maart 2010.
[NIST11-1] National Institute of Standards and
Technology (NIST), Guide for conducting risk
assessments, Special Publication 800-30, Revision 1,
september 2011.
[NIST11-2] NIST, Information security continuous moni-
toring (ISCM) for federal information systems and
organizations, NIST Special Publication 800-137,
september 2011.
[OWAS12] Open Web Application Security Project,
www.owasp.org.
[SYMA11] Symantec Security Response, W32.Duqu:
the precursor to the next Stuxnet, versie 1.4,
23 november 2011.
[TALE10] Taleb, N.N., De zwarte zwaan, de impact van
het hoogst onwaarschijnlijke, Uitgeverij Nieuwezijds,
ISBN 978 90 5712 2675, 7de druk, 2010.
[SEHG12] Sehgal, J. en Craig, A. The previously unseen
risks associated with internet transactions and
certificate authorities, Just below the surface, in de
IT-Auditor, 2012, nummer 1, pp. 36-40.
[THIP11] Thiprungsri, S. en Vasarhelyi, M.A., Cluster
analysis for anomaly detection in accounting data,
an audit approach, in The International Journal of
Digital Accounting Research, Vol. 11, pp. 69-84, 2011.
[WOUD11] Wouda, A., De beheersing van cybercrime
bij Nederlandse ‘klein’ banken, in de IT-Auditor,
2011, nummer 4, pp. 22-28, gebaseerd op een
scriptie VU PGO IT Audit, www.vurore.nl, mei 2011.
[ZUID12] De Zuidwalvulkaan wordt in diverse bronnen
op internet genoemd, zoals Wikipedia, www.info-
nu.nl, www.natuurinformatie.nl, www.vpro.nl en
www.youtube.com.
Willem Barnhoorn is sinds 2011 de Information Security
Officer van Capgemini Apps Two Nederland. Hij heeft
vergelijkbare rollen vervuld bij KPN, Getronics en PinkRoccade.
Momenteel is hij vooral bezig met het inrichten van risicobeheer-
sing en het verbeteren van de controleerbaarheid van de delivery
organisatie.
Ronald Paans is hoogleraar van de opleiding Postgraduate IT
Audit aan de Vrije Univeristeit van Amsterdam en directeur van
Noordbeek B.V. Ronald is onder andere voorzitter van het
Wetenschapsforum voor de OV-chipkaart, voorzitter van de Raad
van Toezicht van de Stichting OpenTicketing en zit in de NOREA
Raad voor Beroepsethiek.
Marco van der Vet is sinds 2000 in dienst van Capgemini
Nederland B.V. in diverse management en directiefuncties.
Momenteel is hij werkzaam in de functie van directeur IS Risk
Management, Compliancy en Contracting, tevens Chief
Information Security Officer.