We starten met de basis: wat een informatiebeveiligingsaudit is, waarom organisaties dat doen en hoe het auditproces er end-to-end uitziet.

We start with the basics: what an information security audit is, why organisations do it and what the end-to-end audit process looks like.

• Auditdoelen, scope & rollen van betrokken partijen.
• Relatie tussen risico’s, beleid, processen en controls.
• Voorbeeld van een eenvoudige auditplanning en aanpak.
• Audit objectives, scope & roles of key stakeholders.
• How risks, policies, processes and controls fit together.
• Example of a simple audit plan and approach.

Groeps­oefening: samen een korte audit­vraag formuleren en scope afbakenen voor een voorbeeldorganisatie.

Group exercise: formulate an audit question and define scope for a sample organisation.

We verdiepen ons in toegang tot systemen en het omgaan met wijzigingen – twee van de meest onderzochte gebieden in informatiebeveiliging.

We deep-dive into system access and handling changes – two of the most frequently tested areas in information security.

• Gebruikers­levenscyclus: aanmaken, wijzigen, de-provisioning.
• Toegangs­rechten, privileged accounts en remote access.
• Wijzigings­aanvragen, testen, goedkeuring en implementatie.
• User lifecycle: provisioning, changes and de-provisioning.
• Access rights, privileged accounts and remote access.
• Change requests, testing, approval and implementation.

Groeps­oefening: sample selectie maken en samen testen of toegang en wijzigingen correct zijn vastgelegd.

Group exercise: build a simple sample and test access and changes together against basic criteria.

We kijken naar dagelijkse activiteiten, logging en monitoring, backup & herstel en bescherming van werkplekken en netwerk.

We focus on daily operations, logging and monitoring, backup & recovery and protection of endpoints and network.

• Operationele taken, takenlijsten en “housekeeping”.
• Log­registratie, monitoring en opvolging van alerts.
• Backup­strategieën en herstel­testen in de praktijk.
• Operational tasks, runbooks and housekeeping.
• Logging, monitoring and following up on alerts.
• Backup strategies and performing recovery tests.

Groeps­oefening: samen beoordelen of een voorbeeld­omgeving voldoende logging, monitoring en herstel voorziet.

Group exercise: assess whether a sample environment has sufficient logging, monitoring and recovery controls.

In de laatste sessie koppelen we alles aan elkaar: leveranciers en cloudservices, data­bescherming, en het schrijven van bevindingen op basis van een mini-audit.

In the last session we connect everything: third parties and cloud services, data protection and writing findings based on a mini audit.

• Basis van leveranciers­beoordelingen en cloud­afspraken.
• Data­classificatie, opslag, toegang en doorgifte in de praktijk.
• Structuur van een bevinding: observatie, impact, aanbeveling.
• Basics of vendor assessments and cloud responsibilities.
• Data classification, storage, access and transfer in practice.
• Structure of a finding: observation, impact, recommendation.

Groeps­oefening: mini-audit uitvoeren op een voorbeeld­case en bevindingen schrijven die u in uw eigen werk kunt hergebruiken.

Group exercise: perform a mini audit on a case study and write findings you can reuse in your own work.