De wereld van de IT auditor op z’n kop! Hoe houden we beide benen op de grond?!

Vorige week heb ik de North America CACS conference van ISACA bijgewoond. CACS staat voor Computer Audit, Control and Security en de conferentie bestaat uit tientallen sessies over deze onderwerpen. Zo’n 1500 CISA’s, CISM’s, CRISC’s en CGEIT’s (of all of the above…) verzamelden zich om te sparren over informatiebeveiliging, privacy, cybersecurity en bovenal de uitdagingen van deze tijd voor deze gebieden. Al tijdens de opening door keynote speaker Brent Bushnel bleek dat deze uitdagingen groter zijn dan ooit. Internet of Things, Artificial Intelligence, Augmented Reality, en Robotics waren slechts enkele ontwikkelingen die niet langer toekomstmuziek zijn. Sterker nog, deze ontwikkelingen zijn nu al verweven met ons dagelijks leven! In de wereld van de auditor die er op gericht is om ‘in-control’ te zijn, vraagt dit om nieuwe inzichten. Hoe gaan we om met de – veelal nieuwe – risico’s die deze technieken voortbrengen? Belangrijker nog, hoe zorgen we als auditor dat we enerzijds voldoende meegroeien – zelfs relevant blijven – en anderzijds niet de beperkende factor zijn in deze duizelingwekkende ontwikkelingen? Dat betekent dus ook niet zenuwachtig worden van de denkwijzen die de snelheid van vandaag de dag faciliteren. Agile… DevOps… De auditor dient betrokken te zijn bij deze ontwikkelingen en mee te groeien naar een situatie, waarin deze als vanzelfsprekend wordt betrokken bij het proces, om de volgende stap in de evolutie te zetten.

Niet enkel als auditor, maar met z’n allen hebben we een verantwoordelijkheid om de digitale wereld een veilige wereld te maken en houden. Voorbeelden van ‘Ransomware’ – een volwaardig business model anno 2017 – in combinatie met Internet of Things zorgen voor opvallende verschijnselen, zoals gegijzeld worden door je eigen auto, thuis zweten omdat de slimme thermosstaat is overgenomen, of de koelkast die niet meer open gaat totdat een (kleine) som losgeld wordt betaald. Maar het kan erger, denk aan pacemakers of insulinepompjes die verbonden zijn met het internet. Is daar voldoende nagedacht over beveiliging? De Cloud Pet hack!? En hoe zit het met privacy, dankzij allerlei wearables krijgen we een heel andere vorm van persoonsgegevens die over het internet zwerven: bloeddruk, hartslag, trainingsroute, gemoedstoestand!?

Nadenkend over dit soort ontwikkelingen brengt me tot de volgende conclusie: als IT-, GRC-, Security-, Cyber-, CISO-, of whatever- professional, dienen we onszelf meer dan ooit te vernieuwen. Evolueren zelfs! Dat vraagt om continu leren, samenwerking met andere vakgebieden zoeken en de gebaande paden verlaten.

Afsluitend met een quote van Robert Heinlein die voor mij het beste weergeeft wat deze professionals moeten kunnen (ook aangehaald door diezelfde Brent):

“A human being should be able to change a diaper, plan an invasion, butcher a hog, conn a ship, design a building, write a sonnet, balance accounts, build a wall, set a bone, comfort the dying, take orders, give orders, cooperate, act alone, solve equations, analyze a new problem, pitch manure, program a computer, cook a tasty meal, fight efficiently, die gallantly. Specialization is for insects.

Leerzame, inspirerende dagen dus en, ook niet onbelangrijk, de conferentie vond plaats in Las Vegas. Die plek alleen al is Virtual Reality!

Tim Florack – Cuccibu B.V.