Cyber in the internal audit

NBA, Amsterdam12-10-2017

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

2© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

IntroductieMichiel van Veen MSc RE Senior Manager, KPMG Cyber

MobileTel

+31 (0) 65 207 8818+31 (0) 20 656 4046

vanveen.michiel@kpmg.nlcyber.kpmg.com

Lars Jacobs MScManager, KPMG Cyber

MobileTel

+31 (0) 61 589 0326+31 (0) 206 564 319

jacobs.lars@kpmg.nl

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Cyber Crime Example:SWIFT hack Bangladesh

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

4© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

http://www.reuters.com/article/us-usa-cyber-swift-exclusive-idUSKBN1412NTDRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

5© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

A small update on Cyber Security trends 2017

THE PERFECT STORM

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

6© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Cyber incidenten in het nieuws

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Cyber & IAD

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

8© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Hackers vs. IT auditRequestor

Authorizer

Grantor

Tool/System

Auditor

Request access

Verify user identity

Approve?

Write to system of record

Grant/revoke access

End

Initiate auditRights match

system?Report End

Notification to end user

Follow-up?

HACKERACQUIRE

ADMINISTRATIVE ACCESS RIGHTS

EXPLOIT VULNERABILITY End

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

9© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Hackers do not follow the processHACKERS: Do not follow your procedures

HACKERS: Bypass your implemented measures

HACKERS: Break your segregation of duties

HACKERS: Steal your data (C)

HACKERS: Steal your money (I)

HACKERS: Put you out of business (A)

for fun and profit

CYBER CRIME = BIG BUSINESS

Threats change from internal to external

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Positie bepaling

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

11© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Wat kan de IAD bereiken?

Incident management Cyber weerbaar

Cyber onbewust Cyber bewustzijn

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

12© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Wat kan de IAD bereiken? 1st LoD: Business & IT• Primair verantwoordelijk

voor risicobeheersing

2nd LoD: ORM / IRM• Monitoring en

rapportage van risico’s, vraagbaak voor 1st LOD

3rd LoD: Audit• Beoordelen effectiviteit

risicobeheersing / controlemaatregelen

Uitvoeren van Cyber Risk assessment

Onafhankelijke beoordeling van de effectiviteit van het cyber risk management programma

Escalatie naar audit committee wanneer cyber risico’s onvoldoende beheerst zijn

Controle / regie rol in beheersing van cyber risico

123 DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Cyber Maturity

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

14© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Wat kan de IAD bereiken?

START

03 04

01

AB

02

Cyber Risk AssessmentCyber Maturity Assessment,

definiëren en testen van controls

Gap Analysis,Huidige stand vsambitie

Reporting and improving

MonitoringDRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

15© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Holistisch: Cyber Maturity niveau

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

16© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Single view of risk

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

17© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Andere modellen

NIST: https://www.nist.gov/cyberframework

ISF: https://www.securityforum.org/tool/the-isf-standardrmation-security/

AICPA (Cyber risk management assurance): https://www.aicpa.org/Press/PressReleases/2017/Pages/AICPA-Unveils-Cybersecurity-Risk-Management-Reporting-Framework.aspx

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Modern Cyber

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

19© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Cyber 2.0

PREVENT DETECT RESPOND IMPROVE

Avoid the incidentMonitoring as it

happens React swiftlyLearn and strengthen

OLD FOCUS

MODERN FOCUS

PREPARE

Prepare for the incident

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

20© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Valkuilen

Zelf expert willen worden

Cyber enkel bij IT afdeling neerleggen

Risico’s negeren of onderschatten vanwege technische complexiteit

100% zekerheid willen

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

21© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Readiness - PrepareIn het groeiproces voor organisaties om adequaat te kunnen reageren op cyber incidenten geloven wij in de mix tussen mens en techniek. Hierbij helpen wij organisaties middels training en technische oplossingen om ten tijde van een cyber incidenten efficiënt van crisis modus naar “business as usual” te komen.

In dit proces zijn onder meer de volgende vragen van belang:

- Wat zijn mijn kroonjuwelen?

- Welke bedrijfsrisico’s loop ik bij verlies of diefstal?

- Wie heeft er belang bij deze data?

- Welke modus operandi bestaan er om deze data te verliezen?

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

22© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Readiness - PrepareOp het moment dat de alarmbellen bij een cyber incident afgaan verandert alles. Om de impact van een cyber incident op de teamdynamiek te ervaren nemen wij klantteams mee in de cyber simulatie game. Hierin kunnen klantteams oefenen zodat zij ten tijde van een echt cyber incident optimaal kunnen reageren.

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

23© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

DetectOm een cyber incident te kunnen detecteren helpen wij organisaties bij het opzetten van monitoring- en detectiesystemen. Dit omvat o.a. het opzetten en testen van de spreekwoordelijke rookmelders.

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

24© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Response & Post-BreachOp het moment dat de alarmbellen afgaan voor een cyber incident is het zaak om spoedig een eerste diagnose te stellen en passende response activiteiten te definiëren. Hierbij helpen wij organisaties door de handen in één te slaan met het team van de verzekerde. Om zo optimaal van crisis naar “business as usual” te komen.

Waarbij de onderstaande vragen centraal staan:

- Wat ging er fout?

- Hoe stop ik de breach?

- Wat ben ik mogelijk kwijt?

- Hoe voorkom ik het in de toekomst?DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

What can you do today?

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

26© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Belangrijke thema’s

• Relatie tussen bedrijfsrisico’s en cyberrisico’s

Relevantie van cyberrisico’s

• Relevant voor sector en bedrijfsrisico’s

Ambitiebepaling

• Waar staat de organisatie nu?

Volwassenheidsbepaling

• Wat komt er op je af: GDPR

Impactbepaling wet en regelgeving

• Cyber in the Boardroom & dashboarding: hoe neemt het bestuur haar verantwoordelijkheid?

Rapporteren over cyber risico’s

• Welke afspraken zijn er met ketenpartners?

Derde partijen en ketenpartners

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

27© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Acties

— Control testing— Implementatie vs

ambitie— Cyber risk vs Business

risk— Risk management — Awareness

— Purple teaming— Monitoring capabillity— Staff

— Purple teaming— Staff— Escalatie processen— Readiness assessment— Impact materialiteit

incident

Prevent Detect Respond

DRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY

Thank youMichiel van VeenCyberSenior Manager, AmstelveenKPMG NederlandTel: + 31 (0)20 656 4046Mob: +31 0(6) 52 07 88 18 vanveen.michiel@kpmg.nl

Lars JacobsCyberManager, AmstelveenKPMG NederlandTel: +31 (0)20 656 4319Mob: +31 (0)6 15 89 03 26jacobs.lars@kpmg.nlDRAFT

DRAFT - FOR DISCUSSION PURPOSES ONLY