Risicomanagement in een IT-omgeving

Katern Risicobeheer en Preventie SVC Groep

(Wim van de Weg, SVC Groep, in Katern Risicobeheer en Preventie, VVP 5-2023) Een van de meest onderschatte onderwerpen bij IT-risico’s is het inventariseren van de hardware en software die in gebruik is. Als je namelijk niet weet wat je bezit of in gebruik hebt, dan kun je ook de risico’s die met dit bezit of gebruik samenhangen niet analyseren.

Stel bijvoorbeeld dat je een moderne all-in-one printer in gebruik hebt. Dan is de kans groot dat deze printer een interne harde schijf bevat waarop print- en kopieeropdrachten worden opgeslagen. Als je deze printer buiten gebruik stelt en afvoert naar een milieustraat, dan moet je je ervan bewust zijn dat deze printer een schat aan vertrouwelijke informatie bevat. Het is natuurlijk niet de bedoeling dat deze informatie in verkeerde handen valt. Je zou dan kunnen overwegen om de harde schijf voor afvoer te schonen of de harde schijf professioneel te laten vernietigen. Maar daar moet je dan wel vooraf over nagedacht hebben (het risico gemanaged hebben).

Een dergelijke moderne printer is in de praktijk aangesloten op het netwerk en verbonden met het internet. Als de printer ook verbonden is met het Wifinetwerk, dan kan de printer een eenvoudig doelwit zijn van kwaadwillenden. Dit is dan met name het geval als de af-fabriek instellingen niet zijn aangepast en de gebruikersnaam en het wachtwoord nog ‘admin’, ‘admin’ is. Maar ook een beveiligingslek in de printersoftware kan een kwaadwillende toegang geven tot de printer en uw netwerk. Het is daarom noodzakelijk dat ook de printer meegenomen wordt in de cyclus van het verwerken van software-updates.

‘Beoordeel IT-risico’s aan de hand van Beschikbaarheid, Integriteit en Vertrouwelijkheid’

De inventarisatie kan vastgelegd worden in een eenvoudig Excel-bestand, maar er is ook specifieke software voor beschikbaar. Een keuze zal afhangen van de omvang van de onderneming en de inventarisatie.

Uitbesteding

Bij het inventariseren van de hard- en software die in gebruik is moet ook beoordeeld worden in hoeverre er sprake is van dienstverlening van derden. Bijvoorbeeld de dienstverlening die wordt aangeboden als een Software as a service (SAAS)-toepassing of waarbij de infrastructuur wordt ingekocht als een Infrastructuur as a service (IAAS)-toepassing. In onze verzekeringsbranche zijn op dit gebied Missing Piece, Tribion (VPO) en Boxing IT, bekende leveranciers. Maar ook Azure (Microsoft), AWS (Amazon) en Google zijn grote bekende partijen waar data extern wordt opgeslagen.

In de Principes voor Informatiebeveiliging benoemt de AFM elf principes die van belang zijn bij informatiebeveiliging. ‘Uitbesteding’ en ‘Ketenperspectief’ zijn twee van deze principes.

De AFM is van mening dat de onderneming die uitbesteed zelf verantwoordelijk blijft voor de informatiebeveiliging van de uitbestede processen en systemen. Gezien het belang van de data die financieel dienstverleners verzamelen en beheren, moet je die verantwoordelijkheid ook zelf willen.

Dit betekent dat je in de praktijk overleg hebt met je leverancier en bespreekt welke beveiligingsmaatregelen er getroffen zijn en hoe door de leverancier wordt bewaakt dat deze maatregelen ook worden nageleefd. Ook worden afspraken gemaakt hoe de leverancier periodiek over deze onderwerpen rapporteert. Een belangrijk punt is hier de omvang van de beveiligingsmaatregelen. Een financieel dienstverlener zal moeten beoordelen of de door de leverancier getroffen maatregelen passen bij de wensen/eisen die de financieel dienstverlener heeft. Deze wensen/eisen worden niet alleen bepaald door zijn risk appetite (welke risico’s wil en kun je accepteren?) maar ook door de ideeën die een toezichthouder daar over heeft. Als je gevolmachtigd agent bent, dan heb je ook te maken met de eisen die gesteld worden in het Werkprogramma Risicobeheersing Volmachten als er sprake is van applicaties/data met een verzekeringstechnisch of financieel gevolg voor een volmachtgever. Ook kunnen er nog andere regelingen van toepassing zijn zoals bijvoorbeeld de Digital Operational Resilience Act (DORA).

BIV

Een veel gebruikte indeling voor het beoordelen van IT-risico’s is het acroniem BIV. Beschikbaarheid, Integriteit en Vertrouwelijkheid. De beschikbaarheid heeft betrekking op de vraag of de data beschikbaar is voor dagelijks gebruik. Dit kan bijvoorbeeld verstoord worden door uitval van de server, waardoor medewerkers geen toegang meer hebben tot de assurantieapplicatie. De integriteit heeft betrekking op de juistheid van de informatie. Als er in de assurantieapplicatie staat dat een motorrijtuig WA + Casco is verzekerd, dan moet dat ook zo zijn en dan moet de dekking niet ongeautoriseerd aangepast zijn. Vertrouwelijkheid heeft betrekking op de vraag of onbevoegden de beschikking kunnen krijgen over de data. Bijvoorbeeld diefstal van data door een hacker of de afscherming van hypotheekadviesdossiers voor de afdeling schadebehandeling.

De afspraken die je maakt met jouw leverancier over informatiebeveiliging moeten onderdeel zijn van de formele overeenkomst die wordt opgesteld. Omdat niet alles hetzelfde blijft, is het verstandig om de risicoanalyse ten aanzien van de uitbesteding periodiek te actualiseren. Niet alleen bij ingrijpende gebeurtenissen, zoals een bedrijfsfusie, maar ook bijvoorbeeld jaarlijks beoordelen of de uitgangspunten die gehanteerd zijn nog steeds gelden, of er nieuwe risico’s of eisen zijn en of voortschrijdende inzichten wellicht aanpassing vragen. Ook is het dan een goed moment om te beoordelen in hoeverre de leverancier voldoet aan de gemaakte afspraken.

Het principe ‘ketenperspectief’ heeft betrekking op een integrale ketenbenadering. Of er nu sprake is van een eigen IT-omgeving of van een uitbestedingssituatie, de systemen die bij financieel dienstverleners in gebruik zijn worden complexer. Onder andere doordat er meer partijen betrokken zijn in de keten. Denk hierbij aan offerteprogrammatuur van partij X die gekoppeld wordt aan de assurantieapplicatie die geleverd wordt door partij Z. Maar ook aan programmatuur die gebruikt wordt bij geautomatiseerde acceptatie en schadebehandeling en waarbij de programmatuur die dit mogelijk maakt in verschillende datacenters wordt opgeslagen.

De ketenpartijen zullen ervoor moeten zorgen dat de informatiebeveiliging in de gehele keten op het gewenste niveau is.

Als een financieel dienstverlener de informatiebeveiliging wil organiseren, dan is het handig om gebruik te maken van een format of norm. Er zou bijvoorbeeld gestart kunnen worden met een ISO 27001-certificeringstraject.

Wim van de Weg is partner SVC Groep en Certified Risk Manager.

Reactie toevoegen

Meer over

Gelijke kansen

(Partner in kennis SVC Groep in VVP-special Duurzaam Advies 2024) Hoewel het verminderen van ongelijkheid één van de duurzaamheidsdoelen van de Verenigde...

Special Duurzaam Advies VVP en INSVER: winst in alle opzichten

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies...

Nieuw in VVP: branchekenners in duel met ChatGPT

In de vandaag (dinsdag) verschenen VVP 1-2024 duelleert Richard Meinders (SVC Groep, lid VVP Ondernemerspanel) met ChatGPT over actieve provisietransparantie in...

DNB actualiseert Q&A en Good Practice Informatiebeveiliging

DNB heeft de geactualiseerde Q&A en Good Practice Informatiebeveiliging 2023 gepubliceerd op Open Boek Toezicht. De Good Practice geeft de onder toezicht van...

Ethische AI-dilemma’s

(Kees van Montfort en Gert de Jong, Hogeschool van Amsterdam, in Katern Risicobeheer en Preventie, VVP 5-2023) AI is een uitstekende tool om financiële fraudedetectie...

Adviesalerts! Risicobeheer en preventie

(Uit katern Risicobeheer en Preventie, VVP 5-2023) Een vast gegeven in VVP-katernen en -specials: Adviesalerts! Met trends en praktijktips. Het Verbond van Verzekeraars...

VVP 5-2023: waar bleef beroepsprofiel Erkend Risicoadviseur?

Waar bleef het beroepsprofiel Erkend Risicoadviseur? Dat vraagt de VVP-redactie zich af in het katern Risicobeheer en Preventie in de nieuwe VVP (5-2023). Het blijkt...

Veldhuis Advies wint finale VVP Advies Award 2023

(Uit VVP 5-2023) Veldhuis Advies heeft de finale gewonnen van de VVP Advies Award 2023. De andere finalisten waren ABC Pensioen en Sinior Financieel Advies. De...

Waar bleef beroepsprofiel Erkend Risicoadviseur ?

(Uit katern Risicobeheer en Preventie, VVP 5-2023) Bijna tien jaar geleden werden meerdere initiatieven gelanceerd om financieel adviseurs te helpen de slag te...

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Uit een DNB-analyse komt naar voren dat 41 procent van de verzekeraars onvoldoende kan aantonen dat hun risk assessments informatiebeveiliging volwassen zijn. Dat...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Positief impact maken, iedereen kan het!

Kevin Brocklebank van Centraal Beheer in de VVP-rubriek 'Het vuur van...'

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!