Auteur(s)

Aurélie Van Der Perre

Hoofd van Privanot en deskundige in gegevensbescherming en informatiebeveiliging

Nils Quairiat

Information Security Officer

01-04-2025
16 min.
Download
audit

Samenvatting

The registered auditor processes large volumes of data and information on a daily basis, whether for his audit engagements or for the management of his own organisation. In a context of increasing dematerialisation, the risks of data and information breaches are increasing, given, among other things, the degree of complexity of information systems and the sophistication of the methods used by malicious actors (hackers, fraudsters, etc.). In the most serious cases, the consequences may entail the permanent cessation of the firm’s activities. This article aims to provide the reader with an analysis of useful measures he can adopt in order to mitigate the risks of cyberattacks and personal data breaches within his firm. These measures derive both from information security precepts and those relating to the protection of personal data.

1. Woord vooraf

De bedrijfsrevisor verwerkt dagelijks een grote hoeveelheid gegevens en informatie, hetzij voor zijn controleopdrachten, hetzij voor de aansturing van zijn eigen organisatie.

In een context van toenemende dematerialisatie nemen de bedreigingen voor deze gegevens en informatie meer en meer toe, onder meer gezien de mate van complexiteit van de informatiesystemen en de verfijning van de methoden die door kwaadwillende actoren (hackers, fraudeurs, enz.) worden gehanteerd. In de ernstigste gevallen kunnen de gevolgen de definitieve stopzetting van de activiteiten van het kantoor inhouden.

Daarnaast kunnen een aantal gegevensbeschermingsrisico’s van invloed zijn op de inschatting van risico’s die door het kwaliteitsmanagementsysteem van auditkantoren zijn gedefinieerd in toepassing van ISQM 1. Indien nodig moeten aanvullende interne beheersingsmaatregelen worden geïmplementeerd binnen het kwaliteitsmanagementsysteem van de kantoren waarvan de organisatie wordt beïnvloed.

Het is ook essentieel voor de bedrijfsrevisor om de risico’s die gepaard gaan met gegevensintegriteit te beheren, niet alleen voor de organisatie van zijn eigen kantoor, maar ook als gevolg van de potentiële impact op de gecontroleerde entiteit. Dergelijke risico’s kunnen immers de geloofwaardigheid van de entiteit ondermijnen wanneer de gegevens worden gebruikt in interne systemen voor onder meer het opstellen van de financiële verslagen. Een verkeerde oordeelsvorming over het getrouw beeld van een toonaangevende cliënt zou ook de reputatie van het kantoor kunnen schaden. In dit verband kan ook worden verwezen naar ISA 315 (herzien), die vereist dat de bedrijfsrevisor de risico’s in verband met informatietechnologie beoordeelt; aspecten die verband houden met cybercriminaliteit en gegevensintegriteit maken er integraal deel van uit.

De potentiële impact van deze risico’s op de organisatie van het kantoor en op de uitvoering van de opdracht van de bedrijfsrevisor beklemtonen het belang van dit artikel dat tot doel heeft de lezer een analyse te bieden van nuttige maatregelen die hij kan vaststellen om de risico’s op cyberaanvallen en inbreuken in verband met persoonsgegevens te beperken.

Deze maatregelen vloeien voort uit zowel de voorschriften inzake informatiebeveiliging als die inzake de bescherming van persoonsgegevens.

 

2. Bolwerk tegen cyberaanvallen en gegevensinbreuken

A. Informatiebeveiliging

Informatiebeveiliging is een breed begrip dat wordt omschreven als zijnde “de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie”1.

Vertrouwelijkheid

De eigenschap dat informatie niet wordt verspreid of vrijgegeven aan niet-gemachtigde personen, entiteiten of processen1.

Integriteit

De eigenschap dat de nauwkeurigheid en de volledigheid van de informatie is gewaarborgd1.

Beschikbaarheid

De eigenschap dat informatie op verzoek van een gemachtigde entiteit toegankelijk en bruikbaar is1.

Informatiebeveiliging omvat het implementeren van een risicomanagementproces en het vaststellen van technische en organisatorische maatregelen om de geïdentificeerde risico’s te beperken. Informatiebeveiliging is daarom vooral een hulpmiddel waarmee de bedrijfsrevisor de risico’s op gegevensinbreuken en cyberaanvallen kan beperken.

Een van de referenties voor informatiebeveiliging waarop dit artikel is gebaseerd, is de internationale standaard ISO (International Organisation for Standardisation) 27001, “Informatiebeveiliging, cybersecurity en bescherming van de privacy”. Deze standaard beschrijft de eisen voor een managementsysteem voor informatiebeveiliging en gaat vergezeld van een lijst van standaard beveiligingsmaatregelen. De bedrijfsrevisor kan zich ook laten inspireren door de Amerikaanse standaard NIST (National Institute of Standards and Technology) 800-53 “Security and Privacy Controls for Information Systems and Organizations”, die een uitgebreide reeks standaardmaatregelen aanbiedt. Tot slot kunnen wij ook de “Cyberfundamentals” vermelden, een referentiekader ontwikkeld door het Centrum voor Cybersecurity België (CCB), dat lijsten bevat van concrete maatregelen afgestemd op de context van de organisatie.

B. Voorschriften inzake de bescherming van persoonsgegevens

Bovendien moet de verwerking van persoonsgegevens worden uitgevoerd in overeenstemming met de beginselen van de “Algemene Verordening Gegevensbescherming”2 (hierna “de GDPR”) en andere toepasselijke wetten, zoals de wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens3

Er dient te worden opgemerkt dat de strafrechtelijke en administratieve geldboeten – in geval van niet-naleving van de geldende regels inzake de bescherming van persoonsgegevens – streng zijn. Zo voorziet de GDPR in administratieve geldboeten tot 10.000.000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

 

C. Aanvullende maatregelen

Informatiebeveiliging voorziet in maatregelen gericht op naleving van voornoemde normen, wet- en regelgeving. De GDPR heeft de integriteit en vertrouwelijkheid van persoonsgegevens vastgelegd als essentiële beginselen voor gegevensbescherming (art. 5.1, f) GDPR) en vereist de implementatie van technische en organisatorische beveiligingsmaatregelen afgestemd op de risico’s op inbreuken in verband met persoonsgegevens (art. 32 GDPR). Hoe hoger het risico op inbreuken op de vertrouwelijkheid en integriteit van persoonsgegevens, bijvoorbeeld vanwege de praktische bruikbaarheid ervan in het kader van fraude, hoe strenger de vast te stellen beschermingsmaatregelen.

Maatregelen die voortvloeien uit informatiebeveiliging en de bescherming van persoonsgegevens zijn volkomen complementair.

In het volgende punt worden de maatregelen uiteengezet die nodig zijn om het risico op cyberaanvallen en inbreuken in verband met persoonsgegevens te beperken. Afhankelijk van de context, omvang en maturiteitsgraad van de organisatie moeten alle of slechts sommige van deze maatregelen worden uitgevoerd. De bedrijfsrevisor die dat wenst, kan ook andere maatregelen toepassen en eventueel toewerken naar certificering volgens een standaard zoals ISO 27001, na een audit uitgevoerd door een onafhankelijke instantie.

 

3. Technische en organisatorische maatregelen 

Sommige organisatorische beveiligingsmaatregelen omvatten technische aspecten en omgekeerd kunnen technische beveiligingsmaatregelen vereisen dat rekening wordt gehouden met organisatorische aspecten. Voor het leesgemak wordt in dit artikel een vereenvoudigde indeling van beveiligingsmaatregelen voorgesteld. Toegangscontrole en het beginsel van het minste voorrecht (cf. infra) zijn bijvoorbeeld niet beperkt tot de technische implementatie van toegangsrechten en voorrechten op het niveau van de configuratie van het informatiesysteem. Deze omvatten ook het controleren of de toekenningen adequaat zijn en het regelmatig herbeoordelen ervan.

 

A. Organisatorische maatregelen

1- Informatiebeveiligingsbeleid

Ten behoeve van een optimale governance van informatiebeveiliging binnen zijn kantoor documenteert de bedrijfsrevisor formeel de regels en de context van de beveiliging van zijn organisatie. Het document beschrijft de doelstelling, de rollen en verantwoordelijkheden, de reikwijdte van het beleid en de door de organisatie geplande maatregelen, zoals deze beschreven in dit artikel.

Het beleid wordt binnen de organisatie gecommuniceerd. Het wordt op gezette tijdstippen of tijdens significante wijzigingen beoordeeld. Het dient als een hoeksteen voor het waarborgen van gegevensbescherming en naleving binnen de organisatie.

2- Risicomanagement en beoordeling van het risiconiveau

Informatiebeveiligingsnormen houden in dat de bedrijfsrevisor het risico beoordeelt in het geval van een inbreuk op de vertrouwelijkheid, integriteit en/of beschikbaarheid van de door zijn kantoor verwerkte gegevens/informatie. Deze beoordeling heeft meer bepaald betrekking op de risico’s die inherent zijn aan de verwerking van persoonsgegevens (cf. art. 32.2. GDPR). Er moet rekening worden gehouden met het risico op gegevensinbreuk, hetzij per ongeluk of opzettelijk. Technische en organisatorische beveiligingsmaatregelen worden passend geacht wanneer zij worden vastgesteld op basis van het geïdentificeerde risiconiveau voor de informatie en gegevens. Het risico moet onder een aanvaardbare drempel worden gehouden.

Als de bedrijfsrevisor bijvoorbeeld in zijn kantoor verbonden camera’s plaatst waarvan hij de beelden via internet kan bekijken, verhoogt hij het risico op inbraak op zijn netwerk en dus op gegevensinbreuk. Daarom treft hij maatregelen in verband met deze verwerking, zoals het regelmatig installeren van beveiligingsupdates voor de apparatuur (cf. infra).

Instanties die toegang hebben tot federale gegevensbronnen of het identificatienummer van het Rijksregister gebruiken, zijn bovendien verplicht om verdere maatregelen4 te treffen, zoals het aanstellen van een functionaris voor gegevensbescherming (DPO, Data Protection Officer).

Risicobeoordeling, inclusief de identificatie van nieuwe risico’s of de verandering in het niveau van eerder geïdentificeerde risico’s, wordt continu uitgevoerd en, in het bijzonder, in het geval van significante veranderingen in de organisatie, zoals de verandering in de IT-infrastructuur.

3- Beheer van informatiebeveiligingsincidenten

De bedrijfsrevisor implementeert een incident management procedure of een breach response plan (inbreukresponsplan). De procedure beschrijft de wijze waarop incidenten snel kunnen worden gedetecteerd, een effectieve reactie kan worden geboden om hun impact te beperken, de oorzaken en gevolgen kunnen worden gedocumenteerd en geanalyseerd en, indien nodig, het herstel van de getroffen diensten kan worden gewaarborgd. De rollen en verantwoordelijkheden in verband met incidenten worden vastgelegd. Er kan bijvoorbeeld een intern centraal contactpunt binnen de organisatie (zoals een gedeelde e-mailbox) worden aangegeven en gecommuniceerd naar het personeel, zodat elk incident centraal wordt gemeld, waardoor het managen en monitoren van incidenten door de verantwoordelijke persoon of het team wordt vergemakkelijkt.

In geval van een incident is het ook raadzaam om de verzekeringspolis van het kantoor te raadplegen, contact op te nemen met de DPO of met de verantwoordelijke persoon voor de informatiebeveiligingssystemen en, in de meest ernstige gevallen, met de politie.

Wanneer een incident leidt tot een inbreuk in verband met persoonsgegevens in de zin van de GDPR, dient een analyse te worden gemaakt van de risico’s op inbreuken op de rechten en vrijheden van betrokkenen. Een melding aan de Gegevensbeschermingsautoriteit zal verplicht zijn indien een risico is geïdentificeerd (art. 33 GDPR). Evenzo zal een melding aan de betrokkenen vereist zijn als het risico hoog werd geacht (art. 34 GDPR). Om deze analyse zo objectief mogelijk te maken, wordt een methodologie voor de beoordeling van het risiconiveau ontwikkeld. De bedrijfsrevisor kan bijvoorbeeld de Recommendations for a methodology of the assessment of severity of personal data breaches5 van ENISA (Agentschap van de Europese Unie voor cyberbeveiliging) raadplegen als leidraad.

Inbreuk in verband met persoonsgegevens

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (art. 4, eerste lid, 12) GDPR).

4- Overeenkomsten

De bedrijfsrevisor treft maatregelen ten aanzien van zijn verwerker. Hij vergewist zich ervan dat de overeenkomst die hem aan de verwerker bindt maatregelen bevat ten aanzien van de medewerkers van de verwerker of ten aanzien van de verwerker zelf indien hij optreedt als onafhankelijk adviseur (cf. art. 32.4 GDPR).

5- Instructies ten aanzien van de natuurlijke personen die onder zijn gezag handelen

De bedrijfsrevisor geeft instructies met betrekking tot gegevensbeveiliging en -bescherming aan de personen die onder zijn gezag handelen (cf. art. 32.4 GDPR). Bij wijze van voorbeeld kunnen de volgende instructies worden opgelegd:

  • de toegang tot de gegevens is enkel toegelaten in omstandigheden waarin dit noodzakelijk is voor de uitvoering van de beroepstaken van de medewerker;
  • de gegevens mogen enkel gebruikt, gekopieerd of in enige vorm gereproduceerd worden en mogen enkel aan anderen medegedeeld worden wanneer dat strikt noodzakelijk blijkt voor de uitvoering van de beroepstaken van de medewerker;
  • in geval van twijfel worden bijzonderheden gevraagd bij de bedrijfsrevisor;
  • de vertrouwelijkheid van de verwerkte gegevens moet worden gewaarborgd;
  • geen enkel vertrouwelijk gegeven wordt ter plaatse bewaard (op de harde schijf van de computer), tenzij dit strikt noodzakelijk blijkt voor het vervullen van de beroepstaak van de medewerker;
  • geen enkel vertrouwelijk gegeven wordt opgeslagen op een mobiele drager (USB-stick, laptop, tablet, enz.), tenzij dit strikt noodzakelijk blijkt voor het vervullen van de beroepstaak van de medewerker, en/of de gegevens vooraf zijn versleuteld.

Specifieke regels kunnen worden gespecificeerd in een procedure voor het gebruik van internet in het algemeen, e-mails of hulpmiddelen zoals automatische vertalers of generatieve kunstmatige intelligentie.  

6- Sensibilisering van het personeel

De bedrijfsrevisor maakt zijn interne en externe medewerkers bewust van de concepten en goede praktijken op het gebied van informatiebeveiliging en de bescherming van persoonsgegevens. Bij deze gelegenheid worden voornoemde instructies in eenvoudige bewoordingen toegelicht. 

Andere onderwerpen worden op nuttige wijze gepresenteerd, zoals social engineering en in het bijzonder phishing, goed wachtwoordbeheer of de reflexen die moeten worden toegepast in specifieke omstandigheden zoals het ontdekken van een verdachte USB-sleutel of het ontvangen van een cliënt op een onbewaakte locatie.

In het ideale geval gebeurt de sensibilisering continu. Er dient te worden opgemerkt dat sommige software de mogelijkheid biedt om het personeel te sensibiliseren door gesimuleerde phishing e-mails te versturen en door regelmatig korte bewustmakingssessies van enkele minuten uit te zenden.

 

Social engineering

Social engineering, zoals gedefinieerd in dit artikel en niet te verwarren met een “Master in Social Engineering and Action”, is een kwaadaardige activiteit waarbij menselijke interactie en psychologische manipulatie een rol spelen, met als doel informatie te verkrijgen (zoals wachtwoorden of gevoelige gegevens) of een beveiligingsfout te veroorzaken (zoals het installeren van malware of het openen van een deur naar een beveiligde zone voor een niet-gemachtigde persoon).

Dit manifesteert zich heel vaak in de vorm van een phishingaanval, waarbij een kwaadaardige e-mail het slachtoffer ertoe aanzet de fout te maken.

Als onderdeel van de implementatie van ISQM-1 binnen een auditkantoor zou men kunnen verwachten dat relevante – soms complexe – beleidslijnen en procedures worden opgesteld en medegedeeld aan de medewerkers.

7- Gebruik van het informaticamateriaal van het kantoor

De bedrijfsrevisor ziet erop toe dat de personeelsleden uitsluitend gebruikmaken van de door de organisatie ter beschikking gestelde hardware, ook in geval van telewerken. De organisatie behoudt zo de controle over de gegevensstromen en beperkt de risico’s op inbraak die gepaard gaan met het gebruik van apparatuur die buiten de controle van de organisatie valt.

De systemen die de gegevens en informatie van de organisatie verwerken, zijn bovendien alleen toegankelijk met apparatuur die technisch onder de controle van de organisatie staat, bijvoorbeeld door een certificaat te installeren op de computers die aan de personeelsleden worden verstrekt, waardoor het mogelijk is om de oorsprong van verschillende verzoeken technisch te verifiëren. Deze maatregelen maken het mogelijk om de toegang tot gegevens en informatie te blokkeren voor een hacker die  een gebruikersaccount zou hebben overgenomen.

8- Fysieke beveiliging van de serverruimte

Indien de bedrijfsrevisor binnen zijn kantoor over een eigen server beschikt, treft hij de volgende maatregelen:

  • de toegang tot de serverruimte is beveiligd of, als de server zich in een specifiek daarvoor bestemde kast bevindt, is deze vergrendeld;
  • een noodstroomvoorziening is gekoppeld aan de server;
  • een brand- of rookmelder is in de buurt van de server geplaatst;
  • de serverruimte (of het serverrack) is voldoende geventileerd;
  • als de server zich op de begane grond of op een lagere verdieping bevindt, worden er maatregelen getroffen om de impact van een overstroming te beperken. De server is bijvoorbeeld niet op de vloer geïnstalleerd en er is een waterpomp voorzien in de ruimte.

9- Beveiligde vernietiging van hardware

Het doneren van gebruikte hardware zonder passende beveiligingsmaatregelen te treffen, zelfs als het initiatief prijzenswaardig is, kan de oorzaak zijn van een inbreuk in verband met persoonsgegevens.

Het fysiek vernietigen van een harde schijf biedt de mogelijkheid om de risico’s op een inbreuk te beperken. Als een bedrijfsrevisor gebruikte hardware wil hergebruiken of doneren, zorgt hij ervoor dat de gegevens met behulp van een geschikte techniek zijn gewist, bijvoorbeeld via zijn IT-provider. Het wordt ook aanbevolen om het bewijs van de daad van vernietiging van de hardware of de daarin opgenomen gegevens te bewaren om elke aansprakelijkheidsstelling van de bedrijfsrevisor te voorkomen. Er moet rekening mee worden gehouden dat het verwijderen van een elektronisch bestand en/of het leegmaken van de prullenbak van de computer geenszins inhoudt dat de gegevens van de schijf worden verwijderd en dat een eenvoudige snelle formattering gegevensherstel niet onmogelijk maakt. Er bestaan speciale programma’s om gegevens volledig te wissen.

 

B. Technische maatregelen

1- Back-ups

De bedrijfsrevisor ziet erop toe dat regelmatig een back-up wordt gemaakt van kritische gegevens en informatie. In het geval van een harde schijf-storing, een milieuramp of een ransomware-aanval, zullen back-ups immers fungeren als het ultieme vangnet om de transacties van het kantoor te herstellen.

Ransomware

Een ransomware of cryptolocker is een malware die door kwaadwillende actoren wordt gebruikt om de gegevens van een organisatie te versleutelen, waardoor deze stil komt te liggen. De criminelen eisen vervolgens een grote som geld in ruil voor de decoderingssleutels, waardoor de organisatie gegijzeld wordt. Meestal exfiltreren de criminelen ook alle gecompromitteerde gegevens en dreigen ze deze op internet te publiceren in geval van niet-betaling. Goed back-upbeheer maakt het mogelijk om uw organisatie weer op de been te krijgen in geval van een dergelijke aanval. Het wordt altijd aanbevolen om nooit toe te geven aan dit soort chantage, omdat betaling geen garantie biedt en criminelen aanmoedigt om hun verwerpelijke acties te herhalen.

De bedrijfsrevisor ziet erop toe dat de back-ups goed beveiligd zijn:

  • de back-ups zijn versleuteld. Dit betekent dat in geval van compromittering van het back-up hostsysteem, het lekken van gegevens wordt beperkt;
  • de back-ups zijn hetzij offline, hetzij onveranderlijk. Door de back-ups offline op te slaan, d.w.z. op een medium dat is losgekoppeld van een computernetwerk, zijn de back-ups buiten het bereik van een hacker die, in het kader van een ransomware-aanval, zou proberen ze te wissen of te versleutelen teneinde de organisatie te dwingen de betaling uit te voeren. Als de back-ups niet offline zijn, is het ook aanvaardbaar om ze onveranderlijk te maken, d.w.z. dat het mogelijk is om ze te maken en te lezen, maar niet om ze te wijzigen of te verwijderen. De meeste cloudback-updiensten hebben deze functionaliteit;
  • de back-ups worden verplaatst. Zo kunnen de back-ups bij een milieuramp, zoals een brand in de serverruimte, alsnog worden teruggehaald;
  • back-upherstel wordt regelmatig getest, meestal één keer per jaar. Deze tests maken het mogelijk om de goede werking ervan te garanderen in geval van nood;
  • regelmatige meldingen worden verzonden om het succes of falen van back-ups te bevestigen en om fouten zo vroeg mogelijk op te sporen. Als alternatief wordt monitoring opgezet door de IT-provider;
  • als de back-ups persoonsgegevens bevatten, worden deze bij voorkeur opgeslagen in de Europese Economisch Ruimte en, voor zover mogelijk, bij een vennootschap met Europese soevereiniteit, om de naleving van de GDPR te vergemakkelijken.

2- Toegangscontrole

De bedrijfsrevisor ziet erop toe dat alleen bevoegde personen toegang krijgen tot de gegevens en informatie van zijn organisatie. Deze toegangscontrole omvat het gebruik van sterk geverifieerde accounts op naam (in het ideale geval met behulp van multifactor-authenticatie). De toegang is gekoppeld aan personen of groepen en wordt op geregelde tijdstippen (meestal eenmaal per jaar) beoordeeld.

De bedrijfsrevisor hanteert het “need-to-know”-beginsel, wat betekent dat gebruikers alleen toegang hebben tot de gegevens die ze nodig hebben om hun functies te kunnen uitvoeren.

Multifactor-authenticatie

Vaak afgekort als MFA – is een beveiligingsproces dat meerdere verificatiefactoren vereist om de identiteit van een gebruiker voldoende te bewijzen.

MFA combineert informatie over wat de gebruiker weet, zoals een wachtwoord, maar ook over een bijkomende factor, zoals wat hij bezit, zoals een smartphone, die hij meestal kan gebruiken om het inloggen te valideren of een eenmalige authenticatiecode te verkrijgen.  Zo zal een kwaadwillende actor die uitsluitend beschikt over het wachtwoord van een slachtoffer zich niet namens hem kunnen authenticeren als MFA is ingeschakeld.

Toch kent deze maatregel enkele beperkingen. Meer geavanceerde en steeds vaker voorkomende phishingaanvallen omzeilen immers dit soort bescherming. Desondanks kan MFA een groot aantal gegevensinbreuken voorkomen.

3- Beginsel van het minste voorrecht

De bedrijfsrevisor hanteert het beginsel van het minste voorrecht, dat wil zeggen dat personeelsleden het minimumniveau van rechten hebben dat nodig is voor de uitvoering van hun taken.

Voorbeelden hiervan zijn:

  • de personeelsleden hebben alleen leestoegang tot documenten en dossiers die ze niet hoeven te wijzigen of te verwijderen;
  • de personeelsleden hebben geen lokale beheerdersrechten op hun computer, wat het risico op het installeren van malware aanzienlijk verkleint. Als om welke reden dan ook lokale beheerdersrechten vereist zijn, worden deze alleen op het juiste moment gebruikt via een aparte account (bijvoorbeeld om software bij te werken die dergelijke rechten vereist).

4- Levenscyclus van beveiligingsupdates

De bedrijfsrevisor ziet erop toe dat er regelmatig beveiligingsupdates van de informatiesysteemcomponenten worden toegepast.

Meestal, en met een frequentie die varieert afhankelijk van verschillende factoren, zoals het classificatieniveau van de component of de blootstelling ervan aan bedreigingen, worden updates geïnstalleerd wanneer ze beschikbaar zijn of volgens een terugkerende cyclus.

Deze updates beperken zich niet tot de bekende “Windows Updates” voor werkposten, maar omvatten ook updates voor software, servers, VPN, router, firewall, firmware voor werkposten, enz.

Het VPNVoor Virtual Private Network of Virtueel Privénetwerk – stelt werknemers in staat om op afstand en veilig verbinding te maken met het interne netwerk van de organisatie, waardoor ze toegang krijgen tot bepaalde bronnen zoals netwerkschijven of tot een intranet, zonder dat ze deze aan de buitenwereld hoeven bloot te stellen.

Een systeem zonder beveiligingsupdates kan over het algemeen heel gemakkelijk worden gecompromitteerd door een kwaadwillende actor. De bedrijfsrevisor ziet er daarom in het bijzonder op toe dat systemen die worden blootgesteld aan en/of interageren met internet, regelmatig worden bijgewerkt. Er dient te worden beklemtoond dat elk systeem dat aan de buitenwereld wordt blootgesteld, zoals een VPN, regelmatig wordt gescand door hackers. Wanneer een kwetsbaarheid wordt geïdentificeerd, wordt de dienst snel gecompromitteerd door de hackers, die zo het ondernemingsnetwerk binnendringen. Over het algemeen zijn deze stappen volledig geautomatiseerd.

In het ideale geval wordt er een proces voor het monitoren van kwetsbaarheden opgezet. Dit betekent dat wanneer een kritische kwetsbaarheid wordt geïdentificeerd, het update-installatieproces onmiddellijk kan worden gestart, zonder te wachten op de volgende cyclus. Wanneer een kritische kwetsbaarheid een systeem beïnvloedt dat met de buitenwereld interageert, is elk moment immers waardevol om te voorkomen dat het systeem wordt gecompromitteerd.

5- Antimalwarebeveiliging

De bedrijfsrevisor ziet erop toe dat antimalwaresoftware wordt geïnstalleerd op de informatiesysteemcomponenten, zoals werkposten en servers. Beveiligingsupdates voor deze software worden regelmatig geïnstalleerd, evenals updates voor hun kennisdatabases. Er dient te worden opgemerkt dat geen enkele antimalware-oplossing alle malware of lopende aanvallen kan detecteren.

6- Gebruik van cryptografie

De bedrijfsrevisor vergewist zich ervan dat er passende cryptografische maatregelen worden getroffen. Zo zouden bijvoorbeeld alle gegevensuitwisselingen in principe moeten worden versleuteld, in het bijzonder wanneer ze via onbetrouwbare netwerken zoals het internet verlopen. De bedrijfsrevisor beoordeelt meer bepaald het gebruik van end-to-end-encryptie die het risico op gegevensinbreuk vermindert, door te voorkomen dat de serviceprovider de gegevens leest. Gegevensversleutelingsprotocollen houden zich aan standaarden, die in de loop van de tijd evolueren.

Om een paar voorbeelden te noemen en zoals hierboven toegelicht, worden back-ups en mobiele gegevensdragers versleuteld. Andere voorbeelden zijn de uitwisseling van gegevens-/informatiestromen in business-to-business (B2B) en e-mails.

Er dient echter te worden opgemerkt dat gegevensversleuteling niet altijd vanzelfsprekend is als het gaat om het beroep van bedrijfsrevisor. In Azië is er bijvoorbeeld een bijna volledig verbod op versleuteling6.

7- Apart netwerk voor bezoekers

Wanneer de bedrijfsrevisor een internetverbinding aanbiedt aan zijn bezoekers, over het algemeen via een wifi-netwerk, ziet hij erop toe dat dit netwerk gescheiden is van het netwerk van de organisatie om het risico op inbreuken te verkleinen.

 

4. Specifieke maatregelen met betrekking tot de bescherming van persoonsgegevens

Bepaalde maatregelen naast de hierboven reeds beschreven maatregelen zijn specifiek vereist om de bescherming van persoonsgegevens te waarborgen en ervoor te zorgen dat de gegevensverwerking in overeenstemming is met de GDPR.

Om deze maatregelen te identificeren, zal de bedrijfsrevisor zorgen voor het opstellen van zijn register van de verwerkingsactiviteiten van persoonsgegevens. Het register beschrijft de door de organisatie uitgevoerde verwerkingen. Het houden van het register is vereist op grond van artikel 30 van de GDPR en moet de volgende gegevens bevatten: de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van zijn functionaris voor gegevensbescherming, de beschrijving van de nagestreefde verwerkingsdoeleinden, de bijzonderheden van de categorieën van verwerkte persoonsgegevens, de lijst van ontvangers van de gegevens, enz. Dit register is beschikbaar voor de Gegevensbeschermingsautoriteit, die er te allen tijde toegang toe kan vragen.

Door zich bewust te worden van de binnen zijn kantoor uitgevoerde verwerkingen, kan de bedrijfsrevisor de specifieke maatregelen identificeren die hij moet implementeren om de bescherming van persoonsgegevens te waarborgen (informatiemaatregelen ten aanzien van de betrokkenen, het opstellen van een cookiebeheerbeleid, het uitvoeren van een gegevensbeschermingseffectbeoordeling wanneer innovatieve technologieën worden gebruikt, enz.). Deze specifieke maatregelen worden op nuttige wijze opgenomen in een compliance-actieplan.

 

5. Conclusies

In deze publicatie zijn essentiële maatregelen beschreven die moeten worden getroffen om de informatiebeveiliging en de bescherming van persoonsgegevens te waarborgen. Het vaststellen van deze maatregelen stelt de bedrijfsrevisor in staat om de risico’s op cyberaanvallen en inbreuken in verband met persoonsgegevens te beperken. De bedrijfsrevisor ziet erop toe dat hij de aanvullende maatregelen identificeert die nodig zijn op basis van de verwerkingen die hij uitvoert.

Met het toenemende gebruik van nieuwe technologieën vullen voorschriften voor informatiebeveiliging en bescherming van persoonsgegevens de geheimhoudingsplicht aan om de vertrouwelijkheid, integriteit en beschikbaarheid ervan te waarborgen. Het beroepsgeheim is immers niet bedoeld om de bedrijfsrevisor te beschermen tegen computerhacking of onopzettelijke computerincidenten die een impact hebben op de gegevens.

De wettelijke verplichtingen op het vlak van beveiliging worden op nuttige wijze aangevuld met de maatregelen en vereisten die voorzien zijn in standaarden zoals ISO 27001, NIST 800-53 of de Cyberfundamentals van het CCB, waarop de bedrijfsrevisor zich grotendeels kan inspireren en waarvan de belangrijkste beginselen in deze publicatie zijn opgenomen. Zoals hierboven vermeld, kunnen gegevensbeschermingsrisico’s ook een impact hebben op de organisatie van het kantoor, in het bijzonder op de inschatting van bepaalde kwaliteitsrisico’s en de noodzaak om aanvullende interne beheersingsmaatregelen te implementeren om deze risico’s te beperken. Niet alle gegevensbeschermingsrisico’s leiden noodzakelijkerwijs tot kwaliteitsrisico’s die voortvloeien uit ISQM 1. Ook in dit opzicht dient professionele oordeelsvorming te worden toegepast.

Ook moet worden opgemerkt dat het Instituut van de Bedrijfsrevisoren de kantoren ondersteunt bij hun proces voor het implementeren van passende technische en organisatorische maatregelen. Zo biedt het Instituut de diensten aan van een gemeenschappelijke functionaris voor gegevensbescherming voor de sector met het oog op het waarborgen van de overeenstemming met de GDPR.

Gegevensbescherming en informatiebeveiliging mogen daarom niet worden beschouwd als een obstakel voor de ontwikkeling van het beroep van bedrijfsrevisor of als tijdverspilling, maar dienen integendeel te worden opgevat als het vrijwaren van het voortbestaan en de evolutie ervan in de gedematerialiseerde wereld die het beroep omringt.

 

Referenties

1 Vertaald uit ISO/IEC 27000:2014 - Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Overzicht en woordenlijst.

2 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

3 Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, BS 5 september 2018, 68616.

4 Cf. onder meer de wet van 8 augustus 1983 tot regeling van een Rijksregister van natuurlijke personen, BS 21 april 1984, 5247.

5 Gegevensbeschermingsautoriteiten van Griekenland en Duitsland, Recommendations for a methodology of the assessment of severity of personal data breaches, – Auteurs: Clara Galan Manso, ENISA, Sławomir Górniak, ENISA – 20 december 2013, https://www.enisa.europa.eu/publications/dbn-severity.

6 Cf. World Map of Encryption https://www.gp-digital.org/world-map-of-encryption/.


Opmerkingen op dit artikel? Laat het ons weten.
  • Deel dit artikel: