Ernst & Young IT Risk &Assurance

IT Risk & Assurance (ITRA) opereert op het snijvlak van bedrijfskunde en ICT en speelt een sleutelrol bij het beoordelen van controlemaatregelen in en rond geautomatiseerde systemen. De toenemende aandacht voor de kwaliteit van 'controls' opgelegd door bijvoorbeeld de Sarbanes-Oxley wetgeving, de Code Tabaksblat en de komst van IFRS betekent dat een oordeel over de kwaliteit van de geautomatiseerde controlemaatregelen in en rond informatiesystemen cruciaal is. TSRS speelt in deze oordeelsvorming een sleutelrol, waarbij beveiliging één van de vele aspecten is.

Specialized Technical Services (STS)

STS is als specialistengroep onderdeel van Ernst & Young ITRA. De specialisten van STS houden zich met name bezig met het beoordelen van technische (beveiligings)architecturen en Attack & Penetration testing (zogenaamde “legal hacks”). Daarnaast houden zij zich bezig met de beheersmatige aspecten van complexe ICT omgevingen.

Jouw stage

Tijdens een afstudeerstage bij STS verricht je zelfstandig, vanuit onze vestiging in Utrecht, wetenschappelijk onderzoek. Het onderwerp van je onderzoek kies je zelf, maar heeft wel een duidelijke technische invalshoek. Uiteindelijk ben jij verantwoordelijk voor het afronden van je scriptie. Je mentor vangt je de eerste dagen van je stage op, helpt je wanneer je praktische vragen hebt en zorgt ervoor dat je een aantal dagen kunt meelopen in de praktijk. Daarnaast ondersteunt je mentor je bij het formuleren van je probleemstelling en hij of zij begeleidt je op vaktechnisch gebied. Uiteindelijk behoort het publiceren van een wetenschappelijk artikel ook tot de mogelijkheden.

Onderstaand hebben wij een aantal mogelijke richtingen voor afstudeeropdrachten opgenomen, maar mocht je zelf een interessant en op ICT toegespitst onderwerp hebben dan zijn wij daar ook zeer benieuwd naar!

Mogelijke opdrachten STS

Wireless networking

Steeds vaker maken organisaties gebruik van draadloze netwerken ter vervanging van de “bekabelde” interne netwerken. De beveiliging van draadloze netwerken vraagt om specifieke (beheer)technische maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen van de gegevens die over deze netwerkwerken worden getransporteerd. Welke maatregelen dit zijn hangt van verschillende factoren af die door middel van een risicoanalyse in kaart gebracht kunnen worden. Een afstudeeropdracht zou kunnen bestaan uit het in kaart brengen van mogelijke beveiligingsmaatregelen, hun kosten en baten en de risico’s die deze maatregelen afdekken.

Penetration testing en assurance

Voor de controle van de jaarrekening van een onderneming wordt vaak ook gekeken naar de betrouwbaarheid van de IT systemen. Het leveren van juiste en volledige informatie wordt onder andere verzekerd door aanwezigheid van controlemaatregelen in deze systemen. Hackers of andere kwaadwillenden zouden deze controlemaatregelen mogelijk kunnen omzeilen. Penetration testing, het testen van kwetsbaarheid van informatiesystemen, kan daarom een onderdeel zijn van de jaarrekeningcontrole. Relevante vragen die zich hieromtrent vormen zijn onder andere wat is de ‘exposure’ van de organisatie en welke informatie kunnen kwaadwillenden zien of veranderen? In een afstudeerstage zou de relatie tussen de jaarrekeningcontrole, andere wettelijke verplichtingen en penetration testing nader onderzocht kunnen worden. Kortom, welke toegevoegde waarde biedt een penetration test een organisatie?

Web application hacking

Een meer specifiek onderdeel van bovenstaande opdracht omvat web application hacking. Aangezien steeds meer organisaties gebruik maken van webapplicaties waarmee veelal rechtstreeks in de productiesystemen van de organisatie gewerkt wordt, moeten deze applicaties uiteraard goed beveiligd zijn. Ontwikkel een eigen methodiek voor web application hacking, of borduur voort op een bestaande methodiek. Hoe kunnen grote en complexe webapplicaties zo efficiënt en effectief mogelijk getest worden, zonder kwaliteit in te hoeven leveren?

Web application auditing

Gelieerd aan bovenstaande opdracht is het auditen van webapplicaties. Zoals eerder vermeld, is het controleren (auditen) van IT systemen een belangrijk onderdeel van de jaarrekeningcontrole. Webapplicaties maken steeds vaker onderdeel kunnen uit van de kritieke systemen van organisaties en zijn daarom onderdeel in deze audits. Waaraan moeten (controlemaatregelen van) webapplicaties voldoen om voldoende assurance te bieden over de juistheid en volledigheid van de informatievoorziening en hoe verhouden deze maatregelen zich tot die van “normale” client/server applicaties? Een invalshoek die hierbij zeker niet mag ontbreken is die van multi-tier webapplicaties, bijvoorbeeld in combinatie met een webservice-laag. Programmeerervaring is een pré voor deze afstudeeropdracht.

Internal hacking

De informatiesystemen van organisaties staan bloot aan externe bedreigingen via het Internet, maar ook aan interne bedreigingen. Een groot deel van de fraude bij organisaties wordt dan ook ‘van binnenuit’ gepleegd. Aan de beveiliging van de externe koppelingen wordt relatief veel aandacht besteedt, het interne netwerk blijft vaak achter qua beveiliging. Deze afstudeeropdracht bestaat uit het opstellen van een methodiek voor het zo efficiënt mogelijk uitvoeren van een interne penetration test.

Remote Access en VPN omgevingen

Bedrijven maken voor beveiligde externe toegang tot het interne netwerk gebruik van Virtual Private Networks (VPNs). VPN verkeer wordt door een versleutelde tunnel uitgewisseld, maar hoe veilig zijn deze tunnels eigenlijk en aan welke randvoorwaarden moet worden voldaan?

Mobile computing

Door draadloze communicatie en ‘mobile computing’ wordt men steeds onafhankelijker van tijd en plaats. Voorbeelden van mobile computing zijn e-mailen en workflowmanagement met een BlackBerry, het op locatie werken op interne systemen met VPN over UMTS  en korte afstand communicatie via Bluetooth. Natuurlijk brengt ook deze vorm van communiceren wel risico’s met zich mee. Een opdracht in deze context zou dan ook het in kaart brengen van deze risico’s kunnen zijn. Een andere mogelijkheid is het opstellen van een set van minimale beveiligingseisen voor mobile computing in het algemeen of voor een specifieke dienst.

Voice Over IP (VoIP)

Met VoIP is het mogelijk te telefoneren over datanetwerken door spraak digitaal te transporteren over het Internet Protocol (IP). Veel bedrijven hebben inmiddels hun oude telefooncentrales ingeruild voor VoIP en ook voor communicatie tussen verschillende bedrijven wordt deze methode steeds populairder. Een opdracht bij het onderwerp VoIP zou kunnen bestaan uit het ontwikkelen van een methodologie die gebruikt kan worden voor het testen en “legal hacken” van een VoIP server. Ook mogelijk is het inventariseren van de risico’s voor bedrijven en het opstellen van een risicoanalyse voor het gebruik van zowel VoIP voor zowel interne als externe communicatie.

Belangstelling

Mail je reactie (inclusief motivatie en cv) naar: Ernst & Young, t.a.v. mevrouw Ellen van Heerwaarden,  Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien. . Voor inhoudelijke vragen kun je contact opnemen met de heer R. Verschuren, Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien. .