Ernst & Young is wereldwijd toonaangevend op het gebied van assurance, tax, transactions en advisory. EY Advisory levert, met een global netwerk van ruim 18.000 professionele adviseurs, ervaren multidisciplinaire teams die met hun cliënten samenwerken om gerichte oplossingen te bieden.
Vanuit dit netwerk zijn circa zeshonderd adviseurs in Nederland en België actief. Binnen EY Advisory richt Technology and Security Risk Services (TSRS) zich onder andere op IT Security. Hierbij adviseert EY over de procedurele en organisatorische kant van IT Security, maar ook, wellicht minder bekend van EY, over de technische kant. Project manager Richard Verschuren: “De markt is veranderd, dat merkt iedere onderneming. Er is een andere focus en minder budget voor IT. Toch blijft het voor bedrijven heel belangrijk om IT Security hoog in het vaandel te houden.” Verschuren is project manager binnen de TSRS-afdeling Specialized Technical Services, die zich bezighoudt met complexe en veelal aan internet ontsloten IT-infrastructuren.
“Het is een club van twaalf techneuten die volledig zijn gericht op technische problemen van en oplossingen voor cliënten. Dit kan zijn het beoordelen van technische ontwerpen, maar ook het legaal hacken van websites van klanten om zo de veiligheidslekken bloot te leggen.” Veel ondernemers en managers onderschatten het belang van IT Security, zegt Verschuren. “Vroeger hing er een groot slot aan de deur en was het bedrijf beveiligd. Nu informatie via internet wordt ontsloten en applicaties via een webbrowser toegankelijk zijn van waar dan ook ter wereld, heeft een bedrijf niet meer genoeg aan dat ene slot. Helaas is de beveiliging van IT een stuk minder zichtbaar, waardoor het voor veel mensen ongrijpbaar is.” Hij ziet dat er door bedrijven te weinig geld wordt vrijgemaakt voor IT Security. “Mijn taak en die van EY Advisory is dan ook om managers te adviseren op dit gebied. We doen dat door het technische deel inzichtelijk en begrijpelijk te maken.” Volgens Verschuren hebben de meeste mensen in het bedrijfsleven op dit moment een digitale achterstand. “Ik noem iedereen van eind twintig en ouder altijd ‘digital immigrants’. We adopteren de technologie wel, maar we zijn er niet mee opgegroeid. Daarom begrijpen we het niet altijd. Er is op dat gebied een enorme kloof tussen mensen van dertig en ouder en de jongere generatie, die niet anders kent.”
Risico’s inzichtelijk
Die kloof wil EY Advisory verkleinen door managers in het bedrijfsleven te wijzen op de minder zichtbare, maar niet minder belangrijke risico’s. “Vroeger waren de risico’s van het gebruik van internet te bestrijden met een firewall. Doordat de wijze waarop bedrijven internet gebruiken is veranderd, zijn ook de risico’s veranderd. Nu steeds meer gebruik wordt gemaakt van webapplicaties en een integratie van informatie met ketenpartners aan de orde van de dag is, zijn aanvullende maatregelen noodzakelijk. Dit is niet altijd eenvoudig; webapplicaties beveiligen is een stuk ingewikkelder dan een firewall implementeren en vereist ook budget”, zegt Verschuren. IT Security is bij veel bedrijven het ondergeschoven kindje. “Wij maken de technische issues van IT Security meer inzichtelijk voor het management en wij proberen hen ervan te overtuigen dat ze er geld voor moeten vrijmaken.”
Het voordeel van EY Advisory is dat ze onafhankelijk zijn en derhalve niet productgebonden. Verschuren waarschuwt ervoor dat beveiligingslekken en fraude gemeengoed zijn geworden. “Bedrijfskritische data die uitlekken door een verloren USB-stick of een digitale inbraak halen de voorpagina van de krant niet meer.” EY Advisory maakt de risico’s voor managers inzichtelijk door onder meer gebruik te maken van publieke bronnen. “We laten bijvoorbeeld op Google Maps zien waar de internetaansluitingen van een bedrijf zich bevinden over de wereld. Daar zijn vaak plaatsen bij waar ze helemaal geen kantoren of leveranciers hebben. Dát schudt mensen wel wakker.” Het grootste veiligheidsrisico ligt tegenwoordig op internet, maar het interne netwerk mag niet vergeten worden. “Bedrijven beveiligen zich tegen personen met kwalijke bedoelingen. Juist nu we in een recessie zitten, worden mensen vindingrijker, dus het risico voor bedrijven wordt alleen maar groter.”
IT Security-trends
Verschuren onderscheidt drie trends op het gebied van IT Security. “Privacy is natuurlijk een containerbegrip, maar door de aandacht voor privacy heeft IT Security een boost gekregen. We moeten er wel voor waken dat als de hype straks voorbij is, de aandacht blijft; privacy is namelijk een issue van alledag.” Ook ziet Verschuren een trend in de markt dat bedrijven de beveiliging niet meer alleen kunnen oplossen. “Veel ondernemingen delen informatie met ketenpartners via bijvoorbeeld het internet, waardoor de gegevens niet meer alleen door dat bedrijf te beveiligen zijn. Integratie is prachtig, maar het maakt de beveiliging wel complexer. Hetzelfde geldt voor begrippen als outsourcing en external hosting. Het kan financieel aantrekkelijk zijn om bepaalde processen uit te besteden aan bijvoorbeeld lagere-lonenlanden, maar heerst daar eenzelfde cultuur en gelden er dezelfde regels voor wat betreft de beveiliging van de bedrijfsinformatie?” Tot slot ziet Verschuren dat de complexiteit van beveiliging verandert, maar dat zoals eerder gezegd de maatregelen nog steeds hetzelfde zijn. “Bedrijven komen niet meer weg met eilandbeveiliging. Beveiliging moet meer integraal en op een veel dieper niveau in de organisatie en systemen worden geregeld en daar kunnen wij als EY Advisory een ondersteunende en adviserende rol in spelen.”