Tijdens deze tweedaagse behandelen we in vier dagdelen vier actuele IT-thema’s, waarbij we telkens beginnen met theorie en discussie. Daarna gaan we in groepen uit elkaar om casus-gestuurd met elkaar te sparren over een aanpak en oplossingsrichting. De uitkomsten worden daarna aan elkaar gerapporteerd en gepresenteerd.
Dag 1 middag: Access & Identity Management
Identity & Access Management is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Het gaat hierbij primair om de authenticatie van de gebruiker in het netwerk en de toegangsrechten die deze gebruiker heeft in het netwerk, de zogenoemde autorisatie.
Bij ‘authenticatie’ roept iedereen met een beetje verstand van zaken natuurlijk gelijk “wachtwoorden!”, of toch niet? Zijn wachtwoorden inmiddels achterhaald en is biometrische beveiliging de nieuwe standaard? Of wat te denken van Identity & Access Management as-a-Service, of te wel ‘IDaaS’? Klinkt het niet te mooi om waar te zijn: toegangsbeveiliging uitbesteden als cloud-oplossing?
Tijdens dit thema wordt u meegenomen in de actuele ontwikkelingen op het gebied van Identity & Access Management en de wijze waarop organisaties hiermee omgaan, alsook de impact die dit heeft of zal gaan hebben. Hierbij komen o.a. de volgende onderwerpen aan bod: User Provisioning, Password Management, Single Sign-On (SSO), Role Based Access Control (RBAC), Access Governance en Audit & Compliance.
Robert Johan RE CISSP
Dag 1 avond: Volwassenheid uitbesteding en cloudcomputing
IT-diensten en -processen worden meer en meer in uitbestede vorm of als ‘clouddienst’ door organisaties afgenomen. Ook wisselen organisaties steeds vaker gevoelige gegevens in digitale vorm uit. Daardoor neemt de behoefte aan inzicht en zekerheid over de kwaliteit van de IT-beheersing en informatiebeveiliging, van organisaties die deze diensten leveren, fors toe. ISO-certificaten en assurance-verklaringen bieden dit inzicht.
Voor een aantal branches zijn, door bijvoorbeeld toezichthouders, specifieke producten vereist. Wij helpen organisaties ook met deze specifieke varianten zoals NEN7510, BIO, DigiD, ENSIA, VIPP en DPIA.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van uitbesteding van IT-huishouding en IT-dienstverlening en de impact die dit heeft op de mate waarin mkb-organisaties in control zijn. Hierbij komen o.a. de volgende onderwerpen aan bod: vormen van uitbesteding, IaaS, PaaS en SaaS, nationaal versus internationaal, uitbestedingsovereenkomsten, verwerkersovereenkomsten, SLA versus SLR, ISO 27001 verbeterplan, ISMS versus PIMS, certificering versus assurance, ISAE 3402, SOC1, SOC2, SOC3 en andere vormen van assurance.
Robert Johan RE CISSP
Dag 2 ochtend: Volwassenheid informatiehuishouding en informatiebeveiliging
Het is niet zozeer de vraag of digitale dreigingen zoals cybercriminelen uw organisatie bedreigen, maar meer de vraag wanneer ze toeslaan en wat de impact daarvan zal zijn. Een groot deel van de maatschappij werkt veel vanuit huis, mede als gevolg van de COVID19-pandemie. Thuiswerken op deze grote schaal is mogelijk dankzij alle technologische middelen die we tot onze beschikking hebben. We lijken tegelijkertijd de risico’s die gepaard gaan met de steeds verdere integratie van technologie in ons leven nogal eens te vergeten.
Recent onderzoek toont aan dat nog steeds 43% van de ondernemers denkt dat zijn of haar bedrijf niet interessant is voor cybercriminelen. Het duurt gemiddeld 191 dagen voordat een organisatie ontdekt dat zij slachtoffer is van een cyberaanval. Waar hackers inmiddels bedrijfsmatig als professionals precisieaanvallen uitvoeren op organisaties, staat bij deze organisaties de digitale weer- baarheid tegen dit soort aanvallen amper op de agenda.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van cyberrisico’s en andere risico’s ten aanzien van IT- en informatiehuishoudingen, alsook de vormen van beheersing die deze risico’s kunnen mitigeren. Hierbij komen o.a. de volgende onderwerpen aan bod: soorten cyberaanvallen, creëren van bewustwording, on-premise versus cloud, preventieve, detectieve en correctieve maatregelen, beschikbare gereedschappen, zoals ISO 27001/2, NBA LIO en de impact op wetgeving zoals EU-AVG.
ing. Jeroen Kuper RE
Dag 2 middag: Pakketselectie en -implementatie
Software-implementatietrajecten lijken net bouwprojecten. Ze zijn duur, kennen een lange doorlooptijd, bestaan uit veel betrokken partijen en zijn daardoor lastig aan te sturen.
In de bouw hebben we normaal gesproken een bestek en bouwtekeningen die duidelijk omschrijven wat de bedoeling is. Bij software-implementaties is deze duidelijkheid er vaak niet. De leiding van de mkb-organisatie heeft een bepaald beeld over wat de nieuwe software moet bijdragen aan de organisatie, maar heeft geen idee wat ervoor nodig is om dat beeld in werkelijkheid te realiseren. Ook wordt er vaak verder gebouwd op een bestaande architectuur. Het is onze ervaring dat een fundering in IT sneller verouderd is dan een fundament in de bouw.
Doelstellingen ontbreken vaak of zijn onvoldoende duidelijk. Dit bemoeilijkt besluitvorming vooraf en tijdens het implementatietraject. De scope van het project gaat daardoor schuiven. De leverancier probeert de regie te pakken, wat als hinderlijk wordt ervaren door de gebruikersorganisatie. De absorptiecapaciteit en veranderbereidheid van de organisatie nemen af. Het is wachten tot het project piepend en krakend tot stilstand komt.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van pakketselectie en -implementatie en de rol die je hierin als accountant kunt/moet spelen. Hierbij komen o.a. de volgende onderwerpen aan bod: procesanalyse, functionele versus technische vereisten, RfI versus RfP, long-list versus short-list, pre- en post-implementatie audits, quality assurance, projectgeweten, architectuur, best-of-breed versus best-of-suite, leverancier versus oplossing en het spanningsveld tussen advies en assurance.
ing. Jeroen Kuper RE