Gepubliceerd: Donderdag 24 november 2011
Telecomwaakhond Opta moest toezicht houden op DigiNotar, maar toen de Diginotar-crisis uitbrak, beschikte Opta niet eens over het jongste auditrapport. Door de vele controles was dat verlaat.
Toon volledig artikel
Het was altijd al een raar verhaal, ook zonder de rol van PwC. Zo'n auditrapport is helemaal niet interessant. Door het achter gesloten deuren te houden, maakt men de auditrapporten spannender dan ze zijn. Het trekt de aandacht weg van zaken die iets interessanter zijn om te bestuderen. De firewall logs bijvoorbeeld. Iets zegt mij dat die nog steeds niet serieus bekeken zijn door een onafhankelijke derde partij.
Waarmee de OPTA haar overbodigheid en volmaakte onkunde bewijst. Geachte minister: Snel opdoeken die club
Nee, dit bewijst dat het hele toezichtsysteem zoals opgezet door de overheid (lees: POLITIEK) een wassen neus is.
Er worden grote hoeveelheden geld verspild aan audit-organisaties als PWC, die uiteindelijk een rapport (met cijfer) aan de organisatie geven die ze "gecontroleerd" hebben, waarna de betreffende organisatie dit rapport aan de toezichthouder (OPTA, BPR, etc.) moet toesturen. Meestal pas nadat er door de organisatie gereageerd is op de conclusies van de auditor.
Vervolgens kijkt de toezichthouder alleen maar of de betreffende organisatie ge-audit is, en of ze een 'voldoende" hebben.
Het heeft dus geen nut om de OPTA op te doeken, maar men moet het hele stelsel van toezicht opnieuw opzetten.
Met 1 (overheids-)organisatie die de audit uitvoert en rechtstreeks rapporteert aan de toezichthouder. Deze bepaalt vervolgens of de gecontroleerde organisatie geslaagd is of niet, en anders wat voor boete/herstelacties er uitgevoerd moeten worden.
Hierbij moet de betreffende toezichthouders wel machtsmiddelen krijgen, anders blijft het allemaal een wassen neus.
Sinds ministers eindverantwoordelijk zijn voor het goed functioneren van sommige organisaties, moet er tevens een regel zijn opgenomen waarin staat dat een minister door diezelfde toezichthouder op het matje geroepen kan worden, zonder dat dit consequenties voor de toezichthouder heeft.
De essentie van een audit is dat er follow-up aan MOET worden gegeven. Voor mij is het dan ook onbegrijpelijk, dat de OPTA niet minimaal gecontroleerd heeft of er door de auditee Diginotar opvolging werd gegeven, en corrigerende maatregelen werden genomen.
Je moet natuurlijk de auditee nooit de kans bieden, dat hij vanwege de werkdruk helaas geen opvolging kon geven. Dit excuus op zich had voor de OPTA alle seinen op rood moeten zetten. Maar ja, onbenullen nemen natuurlijk genoegen met een rapport cijfer en laten het er bij...
#Reality check: Een grote discrepantie tussen het effect van de vele audits en het werkelijk securityniveau. Een typisch geval van regeltjes die niet op de praktijk aansluiten. En slechte reclame voor PwC die geacht worden een inschatting te maken van de risico's, die aanzienlijk zijn gebleken. Jammer dat dit soort punten onderbelicht blijven nl waar heeft het systeem gefaald. Diginotar is (terecht) gelyncht maar verantwoordelijke derden blijven buiten schot.
Om te kunnen reageren, dient u ingelogd te zijn.
Cloud computing kan ondersteunen bij het realiseren van ICT-bezuinigingen. Whitepaper met discussie over het cloud-beleid van overheid, inclusief de thema’s kosten, veiligheid en beschikbaarheid.
Downloaden
3 jaar geleden: 22 mei 2009
4 jaar geleden: 22 mei 2008
12 jaar geleden: 22 mei 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
