Sinds een aantal jaren onderzoekt DNB de kwaliteit van informatiebeveiliging en cybersecurity binnen de financiële sector. Dit doet DNB aan de hand van een beoordelingskader, de zogenaamde Good Practice Informatiebeveiliging. Jacco Jacobs en Henk Visser, beide werkzaam bij DNB, gaan hieronder in op de belangrijkste uitkomsten van onderzoeken van DNB naar informatiebeveiliging, alvorens stil te staan bij dit beoordelingskader. Ze sluiten af met een schets van situaties die DNB bij de onderzoeken heeft waargenomen.

Instellingen kunnen het hier beschreven beoordelingskader gebruiken om sturing te geven aan informatiebeveiliging en cybersecurity. Dat kan onder meer door het onderwerp regelmatig in de boardroom te bespreken en de acties in gang te zetten die nodig zijn om tijdig in te spelen op de snel veranderende risico’s en kansen. De CIO kan als drijvende kracht het verschil maken door de gehele organisatie en haar ketenpartners hierin actief te laten samenwerken.

Resultaten uit onderzoeken

In onze onderzoeken hebben wij vaak de volgende bevindingen gedaan:

  • Niet alle instellingen besteden voldoende aandacht aan hun weerbaarheid tegen cyberdreigingen.
  • Het is lastig een aantal essentiële beheersingsmaatregelen voor informatiebeveiliging goed te borgen in de organisatie. Dit vraagt voortdurende aandacht van bestuurders. De betrokkenheid van bestuurders bij dit onderwerp varieert sterk.
  • Als gevolg van uitbesteding van processen en een toenemend gebruik van clouddiensten kunnen lange procesketens ontstaan, waarin verschillende partijen diensten leveren en over gevoelige informatie beschikken. De boardroom heeft niet altijd goed zicht op die ketens en – belangrijk in dit verband – op de beveiliging van informatie in die ketens. Onder-uitbestedingen maken dit nog lastiger, terwijl instellingen verantwoordelijk blijven voor beheersing van deze gehele keten.

Hiernaast zien wij een toename van potentieel zeer schadelijke cyberdreigingen. In een sector die steeds meer in ketens opereert met de daarbij behorende onderlinge verbindingen en afhankelijkheden, neemt het risico toe dat alle partijen in de keten geraakt worden door een hack of cyberaanval.

Daarom is goede samenwerking van alle partijen binnen de keten, door kennis van informatiebeveiliging en cybersecurity onderling te delen en maatregelen op elkaar af te stemmen des te belangrijker. De CIO kan die samenwerking actief bevorderen.

Board awareness

De Informatiebeveiliging (zie ook kader) is bedoeld voor beleidsbepalers en experts binnen de financiële sector, maar ook voor ondernemingen daarbuiten. De Good Practice geeft bestuurders handvatten om hun beheersingsmaatregelen op het gebied van informatiebeveiliging en cybersecurity tegen het licht te houden en daar waar nodig bij te sturen. Ook verwacht DNB dat financiële instellingen deze beheersingsmaatregelen hebben geïmplementeerd, dan wel kunnen aantonen dat risico’s op dit gebied voldoende zijn gemitigeerd. We hanteren hierbij volwassenheidsniveaus.

“Het risico dat alle partijen in de keten geraakt worden, neemt toe”

In de Good Practice bieden we een samenvatting van essentiële beheersingsmaatregelen geschreven voor bestuurders en beleidsbepalers en hun rol bij het implementeren van en toezien op die maatregelen. En we bieden een meer gedetailleerde uitwerking van de beheersingsmaatregelen zelf met aanvullende voorbeelden. Dit kan instellingen helpen effectieve maatregelen te implementeren.

Samen met de sector willen we de voorbeelden actueel houden. CIO’s kunnen daaraan actief een bijdrage leveren door ons voortdurend van feedback te voorzien. Dit proces zullen we in de komende maanden verder vormgeven en hierop terugkomen in CIO Magazine of op deze website.

DNB Good Practice Informatiebeveiliging 2019-2020

In de Good Practice is er veel aandacht voor de rol van het bestuur, maar ook voor informatiebeveiliging in ketens van uitbestede werkzaamheden en voor cybersecurity. Internationale standaarden zoals CobiT, ISO27000 en het NIST Cybersecurity Framework zijn hierin verwerkt.

DNB gebruikt het in figuur 1 weergegeven model bij het toetsen van informatiebeveiliging en cybersecurity in de financiële sector (zie DNB Open Boek Toezicht). Het model kent toelichtingen voor bestuurders en verdere uitwerkingen van beheersingsmaatregelen voor implementatie door specialisten. Kort gezegd komt het model op het volgende neer:

In de kern gaat informatiebeveiliging niet alleen over technologische oplossingen (Technology), maar ook over menselijk gedrag (People), de uitvoering van processen (Processes) en de fysieke aspecten van beveiliging, zoals de toegang tot gebouwen en zonering (Facilities).

Het onderwerp raakt daarmee aan de verantwoordelijkheid van alle bestuursleden en niet alleen die van de CIO. Verantwoordelijkheden, ook op het gebied van informatiebeveiliging, moeten dan ook helder zijn belegd (Governance) en nader zijn uitgewerkt in de organisatie (Organisation). Governance en Organisation geven centrale sturing aan alle andere elementen in het beoordelingskader.

Processen, activiteiten (mensen) en het beheer van faciliteiten worden in toenemende mate (deels) uitbesteed en verder onder-uitbesteed met als mogelijk gevolg dat het zicht op informatiebeveiliging in de keten afneemt. In het beoordelingskader is dit aangegeven in het element Outsourcing.

DNB-beoordelingskader informatiebeveiliging
Figuur 1. DNB-beoordelingskader informatiebeveiliging

Als effectieve maatregel gebruiken instellingen in toenemende mate ethical hackers, red teaming excercises en mystery guests om hun weerbaarheid tegen cybercrime te testen en voortdurend te verbeteren. Dit zijn voorbeelden van Testing waaruit blijkt in hoeverre maatregelen in de praktijk echt werken.

Als gevolg van de snelle ontwikkelingen op het gebied van IT en cyberdreigingen is het zaak dat een organisatie voortdurend analyseert welke risico’s op haar afkomen en nagaat in hoeverre die effectief worden beheerst. Dit maakt deel uit van de Riskmanagement-cycle die alle elementen in het model omvat. Dit vereist risico-afwegingen, investeringen en goede samenwerking met ketenpartners waarover de CIO met het bestuur regelmatig beslissingen neemt.

De kracht van dit model zit in de samenhang van verschillende technische en organisatorische maatregelen. Van opzet naar praktijk is lastiger. Het model kan instellingen helpen om een fundament (routines) te bouwen voor informatiebeveiliging. Dit fundament helpt vervolgens om tijd en kennis te hebben om consequent op zoek te gaan naar verbeteringen. Bijvoorbeeld door het uitbouwen van de routines of het meebewegen ervan met veranderingen in de omgeving.

Praktijkvoorbeelden

In het begin van dit artikel hebben wij een opsomming gegeven van drie bevindingen die wij vaak hebben bij IB-onderzoeken. In deze paragraaf geven wij per bevinding voorbeelden van do’s, don’ts en lessons learned. De do’s en lessons learned zijn terug te vinden als goede voorbeelden in het beoordelingskader.

Niet alle instellingen besteden voldoende aandacht aan hun weerbaarheid tegen cyberdreigingen.
Onderzoek toont aan dat het uitvoeren van security-testing helpt om de cyberweerbaarheid van instellingen te verbeteren. Het bestuur kan hierin een goede rol spelen door bijvoorbeeld voldoende middelen beschikbaar te stellen voor periodieke security-tests (do). In de praktijk zien wij vaak testscenario’s die sterk gericht zijn op de techniek zoals IT-infrastructuur, maar relatief beperkt ingaan op de andere elementen van informatiebeveiliging (don’t).

Voor het uitvoeren van tests die de cyberweerbaarheid van de instelling verbeteren, zijn actuele risicoanalyses en actuele cyberdreigingen op de gehele keten relevant om te bepalen welke beveiligingstests uitgevoerd kunnen worden. De test wint aan kwaliteit door verschillende elementen van het DNB-model te raken, zoals aandacht voor menselijk gedrag en menselijk handelen (People).

Aandacht bij het bestuur voor geactualiseerde tests die voldoende ‘breed’ zijn qua elementen en waarin de uitbesteding is betrokken, helpt bij het zo effectief mogelijk inzetten van security testing (lesson learned).

Het is voor instellingen lastig informatiebeveiliging goed te borgen in de organisatie.
Betrokkenheid van bestuur is essentieel om informatiebeveiliging op een voor de organisatie geschikte en volwassen niveau te krijgen. De GP geeft voorbeelden hoe het bestuur deze rol kan invullen. Bijvoorbeeld door aandacht te besteden aan de inrichting van functies en vast te stellen dat er geen sprake is van ongewenste functievermenging (do). Belangrijk hierbij is dat er niet alleen wordt gekeken naar de autorisaties binnen één applicatie (don’t).

“Security testing helpt de weerbaarheid van instellingen te verbeteren”

Door een combinatie van rechten in verschillende systemen bestaat alsnog het risico dat de functiescheiding wordt doorbroken (toxic combinations). Om dit te beheersen brengen instellingen niet alleen de gewenste functiescheidingen per applicatie in kaart maar ook per proces als dit wordt ondersteund door meerdere applicaties. Vervolgens zijn ‘verboden’ combinaties vastgesteld en worden autorisaties hierop geautomatiseerd getoetst (lessons learned). De boardroom heeft niet altijd goed zicht op de beveiliging van informatie in de uitbestedingsketen of in de cloud.

Het bestuur is eindverantwoordelijk om over de uitbestede activiteiten contractuele afspraken te maken, te volgen in hoeverre die afspraken worden nageleefd en tijdig bij te sturen wanneer van de afspraken wordt afgeweken.

Een voorbeeld van een instrument waarop het bestuur kan sturen is het overeenkomen en beoordelen van een onafhankelijk onderzoek bij de dienstverlener, in geval sprake is van kritieke uitbesteding (do). Veel dienstverleners leveren hiervoor alleen ISO-certificaten. Door onder meer de beperkte zekerheid qua werking van maatregelen beschouwen instellingen deze certificaten veelal als onvoldoende om zich alleen daarop te baseren (don’t). Om toch zekerheid te krijgen voeren instellingen regelmatig zelf aanvullend onderzoek hierop uit of laten dit uitvoeren (lesson learned).

Tot slot

Het hier gepresenteerde model en de voorbeelden erin helpen om informatiebeveiliging en cybersecurity voor bestuurders toegankelijker te maken en daarmee de besluitvorming in de boardroom te faciliteren.

DNB doet elk jaar onderzoek naar informatiebeveiliging bij een aantal onder zijn toezicht staande organisaties. DNB heeft de intentie om deze jaarlijks te laten rapporteren over informatiebeveiliging, waarvoor de Good Practice de basis is.

Jacco Jacobs is afdelingshoofd Toezicht en Henk Visser is toezichthouder bij het Expertisecentrum Operationele en IT-risico’s van DNB


Good Practice Informatiebeveiliging

Onderdeel van de onderzoeken van DNB zijn periodieke self-assessments die DNB uitzet bij financiële instellingen, zoals banken, verzekeraars en pensioenfondsen. Als handvat voor het invullen van deze self-assessments, maken deze partijen gebruik van de Good Practice Informatiebeveiliging 2019-2020 (pdf) van DNB. Daarin staan essentiële beheersingsmaatregelen om informatiebeveiliging en cybersecurity goed te borgen. De good practices vormen tegelijkertijd het beoordelingskader. Deze good practices lijken ook goed bruikbaar te zijn voor ondernemingen buiten de financiële sector.

close
Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

REAGEREN

Plaats je reactie
Je naam