Van websites en netwerken tot datacenters en software waarmee betalingen worden verricht. IT-auditor Victoria van der Mark onderzoekt namens de Auditdienst Rijk of IT-systemen binnen de Rijksoverheid op orde zijn. Zo’n onderzoek bestaat voor een groot deel uit veldwerk: interviews afnemen, documentatie doorspitten en meekijken met beheerders om te zien hoe systemen zijn geconfigureerd. Hoeveel accounts kunnen bijvoorbeeld inloggen en hoe wordt wachtwoordsoftware gebruikt?
IT-systemen testen op beveiliging
Victoria van der Mark
IT-auditmanager - Auditdienst Rijk
Fundament
Bij het ministerie van Justitie en Veiligheid onderzoekt Victoria momenteel alle websites met een DigiD-aansluiting. Jaarlijks moet worden getest of die DigiD-platformen goed beveiligd zijn. Victoria praat met architecten, ontwikkelaars, hosters, beheerders en andere betrokken partijen en krijgt zo een compleet beeld van de beveiligingsmaatregelen. ‘Uitstekend beveiligde IT-systemen zijn het fundament van een betrouwbare Rijksoverheid’, zegt Victoria. Dat maakt haar werk zo relevant. Wil jij weten hoe Victoria’s dag eruitziet? Bekijk de video.
De ADR staat voor de Audit Dienst Rijk. En de Audit Dienst Rijk is de onafhankelijke interne audit dienst voor de verschillende departementen. De ADR voert hoofdzakelijk twee verschillende taken uit. Wij controleren de verschillende ministeries aan de ene kant wij de jaarrekening. En aan de andere kant voeren wij vraaggestuurde opdrachten uit op verzoek van departementen. Naar bijvoorbeeld IT-systemen zoals netwerken, datacenters, beveiliging en privacy. Het doel van de ADR is om bij te dragen aan een effectieve en efficiënte Overheid. Ook gezien de technologische ontwikkelingen. Dat doen wij als kritische partner. Dus we denken mee met de departementen om de juiste aanbeveling te doen. Bijvoorbeeld handelingsperspectief. Hoe kun je omgaan met bepaalde IT-projecten. Dat weten wij omdat wij ook bij andere departementen komen. Aan de ene kant willen we objectief zijn maar ook onafhankelijk en professioneel. Dus we weten van IT. We weten van de financiële processen. En daar ligt onze meerwaarde. Bij de ADR voeren we onderzoeken uit van A naar Z. Vandaag zijn we bij het ministerie van Justitie en Veiligheid. We beginnen met het opstellen van de opdracht samen met de opdrachtgever. En dan toewerken naar een eindrapport. Door middel van interviews, het bekijken van documenten en om zo tot een oordeel te komen. Van te voren bespreken we de opdracht met de opdrachtgever. En bepalen we welke normen we gaan hanteren. Waar we exact naar gaan kijken. Waar behoefte naar is. En op die manier komen we tot een concrete opdracht uit. In het lab van de ADR voeren we ook pen-testen uit. In opdracht van de klant om goed te kunnen kijken naar beveiligingen van systemen. Als IT-auditor bij de ADR is het belangrijk dat je interesse hebt in IT en ook interesse hebt om ontwikkelingen te volgen want het gaat natuurlijk allemaal erg rap. Maar daarnaast is er ook een grote sociale factor. Je zit met veel verschillende partijen aan tafel. Het is ook belangrijk dat je daar gevoel voor hebt. Daarnaast is het ook een uitdaging om de balans te vinden tussen de controle uitvoeren maar anderzijds ook je klant willen helpen met verbeterslagen te kunnen maken. Het leuke van mijn werk vind ik dat je echt onder de motorkap kijkt van de Overheid. En zo heel veel leert over de IT-systemen die het fundament zijn voor Nederland.