Onze informatiebeveiliging is op orde !

Informatiebeveiliging, cybersecurity, privacywetgeving enzovoort. Het zijn belangrijke zorgen voor elke verzekeraar en iedere verzekeraar neemt dit serieus. Maar niet iedere verzekeraar heeft dezelfde risico’s en niet elke verzekeraar heeft dezelfde maatregelen getroffen. Het bepalen van de risicobereidheid is lastig en wordt vaak gestuurd vanuit een emotionele afweging over wat als overdreven wordt beschouwd. De essentiële vraag is daarom:
Waar staat u en is dat voldoende?

Wat voldoende is, is afhankelijk van uw eigen risicobereidheid. Daarbij kunt u gebruik maken van de verwachtingen die de toezichthouder hanteert. DNB onderzoekt sinds 2010 de kwaliteit van informatiebeveiliging als thema binnen de financiële sector. In dit artikel hebben de kern uit deze onderzoeken en publicaties hieromtrent onder elkaar gezet. Met dit artikel beogen we de zienswijze van DNB op de borging van informatiebeveiliging in beeld te brengen.

Wat is informatiebeveiliging ?

Hoewel DNB geen expliciete definitie heeft geformuleerd, maken wij uit haar schrijven op dat zij hieronder verstaat:

Maatregelen die getroffen worden om bedreigingen te weren die onder meer kunnen leiden tot langdurige uitval van IT-systemen, het wijzigen van data en het veroorzaken van datalekken.

Door de toenemende frequentie en de complexiteit van deze bedreigingen, het gebruik van mobiele apps en de verdere digitalisering bij verzekeraars zal de impact van deze kwetsbaarheden op termijn toenemen.

Inventariseren volwassenheidsniveau informatiebeveiliging

De verzekeraar zal vanuit haar eigen motivatie en verantwoordelijkheid willen weten en kunnen aantonen wat de status van de beheersing van de informatiebeveiliging is. Dat vereist een overzicht van de getroffen maatregelen. Een goede methode is om dit te doen aan de hand van een gestandaardiseerde vragenlijst, zodat ook duidelijk wordt welke maatregelen niet zijn getroffen (en waarom) en welke maatregelen alsnog genomen gaan worden (en wanneer). Kijk daarbij wat voor uw organisatie het beste werkt: een inventarisatie, een nul-meting of een checklist.

DNB is van oordeel dat de financiële instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico’s. Hierbij beroept zij zich op de Wet Financieel Toezicht. De wettelijke basis voor adequate informatiebeveiliging ligt verankerd in:

• Artikel 3:17 Wft, lid 1:
“Een […] verzekeraar […] met zetel in Nederland richt de bedrijfsvoering zodanig in dat deze een beheerste en integere uitoefening van haar onderscheidenlijk zijn bedrijf waarborgt.”

• Artikel 20, lid 2 Bpr:
"De financiële onderneming of bijkantoor beschikt over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking te waarborgen."

Hoe kijkt DNB naar de beheersing van informatiebeveiliging ?

DNB geeft aan dat financiële instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico’s. Hierbij zijn de procedures gebaseerd op de aard van de financiële instelling en de complexiteit van de organisatiestructuur. De procedures moeten voldoen aan algemeen geaccepteerde standaarden, ook wel ‘good practices’. Hierbij geeft zij aan dat deze bij voorkeur zijn afgestemd op het risicoprofiel: de bedrijfstak specifieke omstandigheden van de desbetreffende financiële instelling.

Voorbeelden van dergelijke standaarden zijn COBIT en ISO27000. Deze standaarden bevatten de maatregelen die door DNB in beginsel toereikend worden geacht.

DNB Toetsingskader Informatiebeveiliging: extractie COBIT 5.0

Specifiek voor het waarborgen van de beveiliging van informatie heeft DNB het ‘Toetsingskader Informatiebeveiliging’ opgesteld. Dit toetsingskader bestaat uit een selectie van COBIT. COBIT is internationaal een van de leidende standaarden op het gebied van informatiebeveiliging. In het toetsingskader is per standaard tevens een verwijzing opgenomen naar de overeenstemmende standaard zoals bepaald in de ISO 27000. Jaarlijks bekijkt DNB of het self-assessment adequaat is en of aanpassing of aanvulling noodzakelijk, dan wel gewenst is.

De door DNB gemaakte selectie kent specifieke standaarden binnen de volgende zes domeinen:

  1. Strategie en beleid
  2. Organisatie
  3. Medewerkers
  4. Processen
  5. Technologie
  6. Faciliteiten

Binnen deze domeinen zijn 54 beheersmaatregelen geïdentificeerd die worden beoordeeld op hun volwassenheidsniveau. De volgende volwassenheidsniveaus zijn geïdentificeerd:

  • 0 – Control is: Non-existent – No documentation. There is no awareness or attention to certain control.
  • 1 - Control is: Initial/ad hoc - Control is (partly) defined, but performed in an inconsistent way. The way of execution is depending on individuals.
  • 2 - Control is: Repeatable but intuitive - Control is in place and executed in a structured and consistent, but informal way.
  • 3 - Control is: Defined - Control is documented, executed in a structured and formalized way. Execution of the control can be proved.
  • 4 - Control is: Managed and measurable - The effectiveness of the control is periodically assessed and improved when necessary. This assessment is documented.
  • 5 - Control is: Optimised - An enterprise wide risk and control programme provides continuous and effective control and risk issues resolution.
  • Control is: Not applicable – Control is for this organization not applicable.


Met de volgende link komt u op de pagina waar het Toetsingskader Informatiebeveiliging en de toelichting te vinden zijn: http://www.toezicht.dnb.nl/3/50-203304.jsp.

Verwachting van DNB over het volwassenheidsniveau

DNB stelt dat de 54 controls in het kader van beheerste bedrijfsvoering een volwassenheidsniveau van minimaal ‘3’ moeten hebben. De controls moeten aantoonbaar werken. Daarnaast verwacht DNB dat onderstaande drie controls minimaal op een volwassenheidsniveau ‘4’ worden gebracht:

  • 4.1: IT risk management framework;
  • 4.2: Risk assessment;
  • 4.3: Maintenance and monitoring of a risk action plan.

Dit volwassenheidsniveau vereist dat de effectiviteit van deze controls periodiek wordt getoetst en verbeterd. Dit legt u dan ook vast in de documentatie.

Toetsing door de toezichthouder

Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging binnen de financiële sector. Onderdeel van dit onderzoek zijn periodieke self-assessments aan de hand van het Toetsingskader Informatiebeveiliging. Deze zijn bij banken, verzekeraars en pensioenfondsen uitgezet.

Ook in 2017 toetst DNB de kwaliteit van de informatiebeveiliging bij een selectie van instellingen. Deze hebben dit voorjaar bericht hierover gekregen.

Voor de instellingen die in 2017 niet geselecteerd zijn voor dit onderzoek, adviseert DNB dat zij zelf nagaan in hoeverre er sprake is van een adequaat informatiebeveiligingsniveau. In het verlengde gaat DNB ervan uit dat zonodig aanvullende maatregelen worden geïmplementeerd om tot een acceptabel restrisico te komen. DNB verwacht hierbij dat de risicoanalyse en de inschatting van het restrisico een getrouw beeld geven en door een interne of externe auditor is beoordeeld.

Wij zijn er om u te helpen !

Informatiebeveiliging doet u niet voor de toezichthouder, maar omdat u zelf de risico's wilt beperken. Wij helpen daar graag bij door uw organisatie bewust te maken van het niveau van informatiebeveiliging in relatie tot uw risicobereidheid.

Zo kunnen wij de nulmeting uitvoeren waarbij het volwassenheidsniveau inzichtelijk wordt gemaakt. Tevens stellen wij hierbij aanbevelingen op ter verbetering. We kunnen ook de onderbouwing en bewijsvoering beoordelen waarnaar de verzekeraar verwijst in haar eigen beoordeling ter bepaling van het volwassenheidsniveau. Indien u behoefte heeft aan het toetsen of opstellen van een risicogebaseerde planning naar aanleiding van de uitgevoerde (self-)assessment kunnen wij u hierbij helpen.

Bij de beoordeling van het volwassenheidsniveau vormt het "Toetsingskader Informatiebeveiliging" een goed raamwerk om u te helpen uw doelstelling inzake informatiebeveiliging te realiseren.

Voorbeeld aanpak onderzoek door InAudit

Een mogelijke vorm van onderzoek inzake de informatiebeveiliging kan er zo uitzien:

  1. De organisatie voert de self-assessment uit (nulmeting)
  2. Voor de zaken waar het management zelf onderkent dat deze onvoldoende zijn ingericht wordt een risicogebaseerde planning opgesteld. Deze onderdelen blijven buiten de scope van de audit, het management onderkent immersal dat deze onvoldoende te zijn;
  3. De interne auditfunctie toetst de zaken die het volwassenheidsniveau ‘3’ of hoger hebben gekregen (inclusief de verplichte onderdelen die minimaal ‘4’ dienen te zijn) en waarvan het management dus aangeeft dat deze controls volgens haar op een voldoende volwassenheidsniveau liggen.

De ervaring leert dat deze objectieve toetsing door de interne auditfunctie vaak leidt tot nieuwe inzichten voor de organisatie en meer scherpte in de beheersing.

Uiteraard kunnen we aanpak en de scope van de audit op uw verwachtingen afstemmen. Ook werken wij vaak samen met de reeds bestaande interne auditfunctie om onze competenties en de frisse blik van buiten toe te voegen aan het team.

Neem gerust contact met ons op en we bespreken vrijblijvend de mogelijkheden met betrekking tot de status van de informatiebeveiliging en onze mogelijkheden om de informatiebeveiliging naar een hoger volwassenheidsniveau te brengen.

Met vriendelijke groet,

Robert Verweij Msc LLM
Senior auditor InAudit
06 – 25 29 69 67
robert.verweij@inaudit.nl


Ronald van de Langenberg RA
Directeur InAudit BV
06 – 24 48 68 92
ronald.vandelangenberg@inaudit.nl


Deel artikel

“Kennis delen staat centraal binnen onze visie.
Zo leveren wij onze bijdrage aan verzekeraars en de samenleving”

Deze website maakt gebruik van cookies

InAudit maakt gebruik van cookies om de website te verbeteren. De noodzakelijke en statistiek-cookies verzamelen geen persoonsgegevens en helpen ons de website te verbeteren. Ga je voor een optimaal werkende website inclusief embedded content druk dan op Accepteren.

AVG CookieNoodzakelijk
AVG CookieVoorkeuren
AVG CookieStatistieken
Privacyverklaring