Werken bij Cyber in de Audit

Cyber in de Audit: wat houdt het in?

Virussen, hacks, ransomware, DDoS-aanvallen, phishingmails: de intensiteit, schaal en professionaliteit van cybercriminaliteit nemen alsmaar toe. De schade voor organisaties kan enorm zijn. Niet alleen financieel. Zo kunnen bedrijven bijvoorbeeld geen toegang meer krijgen tot hun systemen of komen vertrouwelijke gegevens op straat te liggen. Cybercrime heeft een directe invloed op de jaarrekening, want de basis bestaat uit financiële gegevens. En daar komen onze collega’s van het Cyber in de Audit-team kijken. Zij onderzoeken wat de impact van cyberincidenten is op de jaarrekeningcontrole en dragen bij aan het beschermen van organisaties tegen cyberrisico’s.

Wil jij werken in Audit & Assurance bij KPMG?

Bekijk vacatures

Over Timo en Maurice

Timo Spits, consultant bij IT Assurance and Advisory, startte in 2021 bij KPMG als scriptiestagiaire voor zijn master Informatiemanagement. Na zijn stage groeide hij door tot consultant in het Cyber in de Audit-team. Hij voorziet auditteams en klanten van informatie over cyberrisico’s en informatiebeveiliging. “Tijdens mijn stage raakte ik enthousiast over de mensen, de kennisgebieden en de bedrijfscultuur bij KPMG, vandaar dat ik hier als consultant ben blijven werken.”

Maurice van den Boogert, senior consultant IT Assurance and Advisory deed een bachelor Information Engineering aan Windesheim in Almere en werkte daarna drie jaar als cyberspecialist bij een groot adviesbureau. In 2020 maakte hij de overstap naar KPMG. “In het Cyber in de Audit-team heb ik de kans om mijn kennis van cyberrisico’s in de praktijk toe te passen.”

Het belang van Cyber in de Audit

Timo en Maurice werken samen in het Cyber in de Audit-team. Het team bestaat uit zes vaste teamleden en is groeiende. Belangrijk, want de vraag naar dit type auditwerk groeit en de ontwikkelingen in cyber – ook in crime – gaan hard. Timo: “Dat maakt ons werk extra interessant. De technologieën en tactieken van cybercriminelen evolueren voortdurend. Om onze klanten hiervoor te behoeden, moeten wij meebewegen. En de aanvallers – cybercriminelen – steeds een stap voor zijn. Veel klanten zijn zich niet bewust van de risico’s die ze lopen door cybercrime. Als auditor met de focus op cybercrime helpen we klanten met het analyseren van de impact die cybercrime kan hebben op hun financiële jaarverslag. Zo maken we impact.”

Impact maken met Cyber in de Audit

Ook Maurice vindt het belangrijk om met z’n werk impact te kunnen maken voor klanten. Wél nuanceert hij de sensatie die de term cybercrime al snel oproept. “We zitten niet direct achter hackers aan. En wij zijn niet de partij die de disaster recovery uitvoert. Wij kijken naar wat de impact van cybercrime is op de jaarrekeningcontrole. Stel, een medewerker van een bedrijf heeft op de link in een phishingmail geklikt en daardoor heeft een hacker misschien toegang gekregen tot financiële gegevens. Dan gaan wij onderzoeken waar de hacker is geweest en of deze andere data heeft kunnen benaderen en door kunnen sluizen. Dat brengen we uit in een rapportage.”

Ondersteuning bij DigiD-assessments

Naast het werk voor het Cyber in de Audit-team voeren Timo en Maurice ook nog andere werkzaamheden uit bij IT Assurance and Advisory. Bijvoorbeeld DigiD-assessments. Maurice: “Overheidsinstanties of bijvoorbeeld organisaties in de zorg die met DigiD willen werken, moeten voldoen aan een raamwerk met 23 standaarden. Wij controleren of onze klanten aan dit raamwerk voldoen, en hiermee de informatiebeveiliging voldoende op orde hebben om de service DigiD te mogen hosten op hun omgeving. Een vergelijkbaar traject doorlopen we met DNB-assessments voor financiële instellingen.”

Goede balans

Naast de inhoud zijn Timo en Maurice ook te spreken over de werksfeer bij KPMG. Die typeren ze als een goede balans tussen professionaliteit en gezelligheid. Timo: “In ons werk zijn we serieus bezig. Maar er is ook tijd voor gezelligheid. Zo gaan we na werk regelmatig wat eten of drinken buiten de deur. Zelf ben ik sinds kort ‘officieel’ verantwoordelijk voor de gezelligheid, want ik zit in het team dat een meerdaagse activiteit organiseert voor onze afdeling.”

Blijven leren om te innoveren

Een van de leukste dingen van werken aan Cyber in de Audit is dat het vak zich zo snel ontwikkelt, vindt Timo. “We zitten boven op de ontwikkelingen in cyber, zowel aan de verdedigende als de aanvallende kant. Om up-to-date te blijven en klanten goed te adviseren, moeten we ons voortdurend blijven bijscholen. Zo ben ik nu bezig met een postmaster IT-Auditing & Advisory aan de Erasmus Universiteit en schrijf ik mijn scriptie over factoren die invloed hebben op de succesvolle implementatie van cybercontroles in organisaties. Die kennis kan ik meteen toepassen in mijn werk.”

Cyber in de Audit-team verder uitbouwen

Ook Maurice vindt het belangrijk om steeds te blijven leren. “Bij KPMG zijn er volop mogelijkheden om trainingen te volgen en certificeringen te behalen. Voor mijzelf was dat bijvoorbeeld CISSP (Certified Information Systems Security Professional) en CISA (Certified Information Systems Auditor). Verder kijken we met ons team voortdurend naar wat er speelt en of het nodig is om onze kennis aan te scherpen. Zo hebben we geregeld bijeenkomsten en webinars, waarbij nieuwe ontwikkelingen in informatiebeveiligingsrichtlijnen worden gepresenteerd. Dan bespreken we hoe deze ontwikkeling impact kan hebben op ons werk en of we die daarin kunnen toepassen. We schrapen alle mogelijke informatie bij elkaar vanuit onze studies, websites, papers en blogs. Dat vertalen we en passen we toe om onze klanten zo goed mogelijk te helpen.” Timo en Maurice sluiten af met een gezamenlijke wens: het Cyber in de Audit-team verder ontwikkelen en groter maken!

Is Cyber in de audit iets voor jou?

Bekijk vacatures