De 5 meest gemaakte fouten bij een DigiD audit

De jaarlijkse DigiD audit is verplicht voor alle organisaties die DigiD als authenticatiemiddel gebruiken. Toch gaat het elk jaar weer mis bij een aanzienlijk aantal organisaties. Het gevolg: afgekeurde rapporten, dure heraudits en in het ergste geval het verlies van de DigiD-aansluiting. Dit zijn de vijf meest gemaakte fouten.

1. Te laat starten met de voorbereiding

De deadline voor indiening bij Logius is 1 mei. Toch beginnen veel organisaties pas in het eerste kwartaal met de voorbereiding. Een DigiD audit vereist een penetratietest, documentatie-review en IT-beveiligingsonderzoek. Start minimaal 4-6 maanden voor de deadline om voldoende tijd te hebben voor eventuele remediatie.

2. Onvolledige scope van de penetratietest

De verplichte penetratietest moet de volledige DigiD-koppeling en onderliggende infrastructuur omvatten. Een veelgemaakte fout is het beperken van de test tot alleen de webapplicatie, terwijl ook de netwerk-infrastructuur, API's en onderliggende systemen in scope moeten vallen.

3. Verouderde of onvolledige documentatie

Het normenkader van Logius vereist actuele documentatie over uw ICT-beveiligingsbeleid, patchmanagement, toegangsbeheer en incidentprocedures. Organisaties die hun documentatie niet structureel bijhouden, lopen tegen bevindingen aan die voorkomen hadden kunnen worden.

4. Geen aandacht voor de hele keten

Als u DigiD-authenticatie uitbesteedt aan een leverancier of via een shared service center laat verlopen, moet de gehele keten worden geaudit. De verantwoordelijkheid voor een veilige DigiD-aansluiting blijft bij uw organisatie, ook als de technische implementatie bij een derde partij ligt.

5. Bevindingen niet tijdig oplossen

Na de audit zijn er vaak bevindingen die opgelost moeten worden voor een goedkeurend rapport. Organisaties die hier te lang mee wachten, missen de deadline. Maak direct na ontvangst van de concept-bevindingen een actieplan en los kritieke bevindingen met prioriteit op.

Zo voorkomt u problemen

De beste manier om een soepele DigiD audit te garanderen is tijdig starten, de juiste auditor selecteren en het hele jaar door aandacht besteden aan informatiebeveiliging. Op IT-Audit Directory vindt u ervaren DigiD auditors die u door het hele traject kunnen begeleiden.