De eerste stap behelst het vaststellen van een beleidskader. Een informatie(beveiligings)beleid is een must voor ieder accountantskantoor, zo stelt SRA. “Dit kan A4 zijn met uitgangspunten, kaders en een beschrijving van verantwoordelijkheden.”

Informatiebeveiliging, cybersecurity en privacy zijn onlosmakelijk verbonden aan risico’s. Belangrijk is dat u alle risico’s in kaart heeft en weet wat het volwassenheidsniveau van uw kantoor is, zo adviseert SRA verder. “Begin met een eenvoudige risicoanalyse. Stel de kroonjuwelen vast, dus welke systemen en data zijn cruciaal voor uw kantoor. Maak daarbij een onderscheid tussen bedrijfscontinuïteit en dienstverlening. Stel vervolgens vast welke risico’s hierbij horen.”

Vind voor elke dreiging een of meer mitigerende maatregelen, vervolgt SRA. “Stel vast of maatregelen zijn getroffen en of deze passend zijn. Hierbij gaat het niet alleen om techniek, maar ook om mens en organisatie.”

Let op het migreren van applicaties naar de cloud en het uitbesteden van IT-diensten. Dit heeft gevolgen voor risico’s en maatregelen, zo houdt SRA de accountants voor. “Belangrijk is te weten welke vragen moeten worden gesteld aan leveranciers om de kwaliteit te kunnen borgen. Anderzijds: wat zijn de antwoorden op vragen die klanten kunnen stellen?”

Wees voorbereid op datalekken en hacks. Weet wat je moet reageren en welke herstelmaatregelen je moet nemen, zo klinkt de laatste stap van SRA. “Dit begint met het bijhouden van alle incidenten, het analyseren hiervan en zo nodig maatregelen bij te stellen. Belangrijk is ook het regelmatig testen van de genomen maatregelen. Dit omvat ook het navragen bij leveranciers aan wie processen zijn uitbesteed. Denk hierbij bijvoorbeeld aan de back-up en recoveryprocedure door de cloudprovider.”