Masterclass: IT in de mkb-praktijk
Overzicht
IT-manager, Accountant vennoot/medewerker, Teamleider/Relatiebeheerder, Controleleider
Ik ben in staat om:
- De risico’s van informatiebeveiliging en computercriminaliteit te herkennen en mijn klanten hierover te adviseren.
- Te adviseren over organisatorische en technische beveiligingsmaatregelen.
- De mogelijkheden en risico’s van geoutsourcete IT-processen te herkennen.
- Op een effectieve wijze een software-implementatietraject te doorlopen.
Inhoud
Technologische ontwikkelingen volgen elkaar in sneltreinvaart op. Impact op de digitale omgeving van uw klant en uw eigen kantoor is onvermijdelijk. Hoe speelt u hier op de juiste manier op in?
Hoe houdt u bijvoorbeeld rekening met nieuwe ontwikkelingen rondom Identity en Access Management? Welke cloud-risico’s spelen er bij uw klant? En hoe pakt u het beste een software-implementatietraject aan? Cyberrisico’s hebben mogelijk grote gevolgen voor de continuïteit van ondernemingen. Een belangrijk business risk dus voor de accountant én zijn klant! Welke maatregelen kunt óf moet u als accountant nemen om mkb-klanten tegen deze risico’s te beschermen?
In deze tweedaagse masterclass worden actuele IT-thema’s uitgebreid behandeld in een gevarieerd programma dat theorie en praktijk bij elkaar brengt. Deze masterclass is speciaal ontwikkeld voor accountantskantoren die serieus werk willen maken van IT in hun dienstverlening aan het mkb.
- Ontwikkelingen in wet- en regelgeving
- Nieuwe technologische kansen en bedreigingen
- Risico’s van cloudoplossingen, zoals AFAS en Exact online
- Wanneer schakelt u een deskundige in?
- Vertalen van beveiligingsrisico’s naar bedrijfsrisico’s
- Het uitwerken en bespreken van een praktijkcase
- Aandachtspunten adviesrol in het mkb
Bijzonderheden
Deelnemers moeten beschikken over bovengemiddelde interesse en/of kennis van IT. Deze bijeenkomst is exclusief overnachting(en). Indien gewenst kunt u dit zelf bij de accommodatie boeken.
Locatie & Datum
Woensdag 27 november 2024 van 09:30 uur tot 17:00 uur
Programma
Tijdens deze tweedaagse behandelen we in vier dagdelen vier actuele IT-thema’s, waarbij we telkens beginnen met theorie en discussie. Daarna gaan we in groepen uit elkaar om casus-gestuurd met elkaar te sparren over een aanpak en oplossingsrichting. De uitkomsten worden daarna aan elkaar gerapporteerd en gepresenteerd.
Dag 1 middag: Volwassenheid informatiehuishouding en informatiebeveiliging
Het is niet zozeer de vraag of digitale dreigingen zoals cybercriminelen uw organisatie bedreigen, maar meer de vraag wanneer ze toeslaan en wat de impact daarvan zal zijn. Een groot deel van de maatschappij werkt veel vanuit huis, mede als gevolg van de COVID19-pandemie. Thuiswerken op deze grote schaal is mogelijk dankzij alle technologische middelen die we tot onze beschikking hebben. We lijken tegelijkertijd de risico’s die gepaard gaan met de steeds verdere integratie van technologie in ons leven nogal eens te vergeten.
Recent onderzoek toont aan dat nog steeds 43% van de ondernemers denkt dat zijn of haar bedrijf niet interessant is voor cybercriminelen. Het duurt gemiddeld 191 dagen voordat een organisatie ontdekt dat zij slachtoffer is van een cyberaanval. Waar hackers inmiddels bedrijfsmatig als professionals precisieaanvallen uitvoeren op organisaties, staat bij deze organisaties de digitale weer- baarheid tegen dit soort aanvallen amper op de agenda.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van cyberrisico’s en andere risico’s ten aanzien van IT- en informatiehuishoudingen, alsook de vormen van beheersing die deze risico’s kunnen mitigeren. Hierbij komen o.a. de volgende onderwerpen aan bod: soorten cyberaanvallen, creëren van bewustwording, on-premise versus cloud, preventieve, detectieve en correctieve maatregelen, beschikbare gereedschappen, zoals ISO 27001/2, NBA LIO en de impact op wetgeving zoals EU-AVG.
ing. Jeroen Kuper RE
Dag 1 avond: Pakketselectie en -implementatie
Software-implementatietrajecten lijken net bouwprojecten. Ze zijn duur, kennen een lange doorlooptijd, bestaan uit veel betrokken partijen en zijn daardoor lastig aan te sturen.
In de bouw hebben we normaal gesproken een bestek en bouwtekeningen die duidelijk omschrijven wat de bedoeling is. Bij software-implementaties is deze duidelijkheid er vaak niet. De leiding van de mkb-organisatie heeft een bepaald beeld over wat de nieuwe software moet bijdragen aan de organisatie, maar heeft geen idee wat ervoor nodig is om dat beeld in werkelijkheid te realiseren. Ook wordt er vaak verder gebouwd op een bestaande architectuur. Het is onze ervaring dat een fundering in IT sneller verouderd is dan een fundament in de bouw.
Doelstellingen ontbreken vaak of zijn onvoldoende duidelijk. Dit bemoeilijkt besluitvorming vooraf en tijdens het implementatietraject. De scope van het project gaat daardoor schuiven. De leverancier probeert de regie te pakken, wat als hinderlijk wordt ervaren door de gebruikersorganisatie. De absorptiecapaciteit en veranderbereidheid van de organisatie nemen af. Het is wachten tot het project piepend en krakend tot stilstand komt.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van pakketselectie en -implementatie en de rol die je hierin als accountant kunt/moet spelen. Hierbij komen o.a. de volgende onderwerpen aan bod: procesanalyse, functionele versus technische vereisten, RfI versus RfP, long-list versus short-list, pre- en post-implementatie audits, quality assurance, projectgeweten, architectuur, best-of-breed versus best-of-suite, leverancier versus oplossing en het spanningsveld tussen advies en assurance.
ing. Jeroen Kuper RE
Dag 2 ochtend: Access & Identity Management
Identity & Access Management is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Het gaat hierbij primair om de authenticatie van de gebruiker in het netwerk en de toegangsrechten die deze gebruiker heeft in het netwerk, de zogenoemde autorisatie.
Bij ‘authenticatie’ roept iedereen met een beetje verstand van zaken natuurlijk gelijk “wachtwoorden!”, of toch niet? Zijn wachtwoorden inmiddels achterhaald en is biometrische beveiliging de nieuwe standaard? Of wat te denken van Identity & Access Management as-a-Service, of te wel ‘IDaaS’? Klinkt het niet te mooi om waar te zijn: toegangsbeveiliging uitbesteden als cloud-oplossing?
Tijdens dit thema wordt u meegenomen in de actuele ontwikkelingen op het gebied van Identity & Access Management en de wijze waarop organisaties hiermee omgaan, alsook de impact die dit heeft of zal gaan hebben. Hierbij komen o.a. de volgende onderwerpen aan bod: User Provisioning, Password Management, Single Sign-On (SSO), Role Based Access Control (RBAC), Access Governance en Audit & Compliance.
Robert Johan RE CISSP
Dag 2 middag: Volwassenheid uitbesteding en cloudcomputing
IT-diensten en -processen worden meer en meer in uitbestede vorm of als ‘clouddienst’ door organisaties afgenomen. Ook wisselen organisaties steeds vaker gevoelige gegevens in digitale vorm uit. Daardoor neemt de behoefte aan inzicht en zekerheid over de kwaliteit van de IT-beheersing en informatiebeveiliging, van organisaties die deze diensten leveren, fors toe. ISO-certificaten en assurance-verklaringen bieden dit inzicht.
Voor een aantal branches zijn, door bijvoorbeeld toezichthouders, specifieke producten vereist. Wij helpen organisaties ook met deze specifieke varianten zoals NEN7510, BIO, DigiD, ENSIA, VIPP en DPIA.
Tijdens dit thema wordt u meegenomen in actuele ontwikkelingen op het gebied van uitbesteding van IT-huishouding en IT-dienstverlening en de impact die dit heeft op de mate waarin mkb-organisaties in control zijn. Hierbij komen o.a. de volgende onderwerpen aan bod: vormen van uitbesteding, IaaS, PaaS en SaaS, nationaal versus internationaal, uitbestedingsovereenkomsten, verwerkersovereenkomsten, SLA versus SLR, ISO 27001 verbeterplan, ISMS versus PIMS, certificering versus assurance, ISAE 3402, SOC1, SOC2, SOC3 en andere vormen van assurance.
Robert Johan RE CISSP
Docent(en)
ing. Jeroen Kuper RE
ing. Jeroen Kuper RE is IT-auditor en strategisch adviseur op het gebied van technologische innovatie, eigenaar van Technogratie en universitair docent aan de Rijksuniversiteit Groningen.
Robert Johan RE CISSP
Robert Johan RE CISSP is IT-auditor en directeur bij Soll-IT.