IB-monitor DNB

Neemt u gerust contact met ons op 0682692429

IB-monitor DNB

7 mei 2021 Information security 0

In april 2020 heeft DNB de jaarlijkse IB-monitor uitgebracht. Basis voor deze monitor zijn de ingevulde self-assessments van pensioenfondsen en verzekeraars. Handvat voor deze self-assessments zijn de good practices die DNB in 2019 heeft geactualiseerd; in de bijlage is een samenvatting opgenomen van de good practices. De good practices zijn onderverdeeld naar elementen (governance, organisation, people, processes, technology, facilities, outsourcing en testing) en worden overkoepeld door de risicomanagementcyclus.

Het doel van de self assessments is vast te stellen in hoeverre de beheersing van informatiebeveiliging en cybersecurity bij de instellingen op het vereiste niveau is. Om dit niveau te kunnen vaststellen, hanteert DNB een volwassenheidsmodel. DNB veronderstelt dat financiële instellingen aantoonbaar ‘in control’ zijn. In het door DNB gehanteerde model met 58 beheersmaatregelen komt dat overeen met ten minste een volwassenheidsniveau van ‘3’: aantoonbare werking gedurende een langere periode voor 55 beheersingsmaatregelen. Voor de overige 3 beheersingsmaatregelen verwacht DNB een hoger volwassenheidsniveau van ‘4’ . Dit betreffen de in de good practice genoemde onderdelen in de risicomanagementcyclus.

Onder informatiebeveiliging wordt verstaan het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een instelling garanderen. Het doel hierbij is de continuïteit en betrouwbaarheid van de IT, de informatie en de informatievoorziening te waarborgen en de gevolgen van eventuele beveiligingsincidenten tot een acceptabel en door de instelling vooraf bepaald niveau te beperken. Hierbij is met name van belang dat de procedures en (technische) maatregelen die vorm geven aan informatiebeveiliging passen bij de aard en doelstellingen van de instelling. DNB ziet cybersecurity als een integraal onderdeel van informatiebeveiliging.

Belangrijkste waarnemingen IB-monitor 2020

De belangrijkste waarnemingen uit de IB-monitor 2020 van DNB zijn:

  1. Cyberhygiëne en met name vulnerability management blijft cruciaal.
  2. Testen van maatregelen draagt bij aan continue verbeteren van Cyberweerbaarheid.
  3. Geef met uitbesteden niet de verantwoordelijkheid uit handen, blijf zelf in control.
  4. Preventie alleen is niet genoeg, de focus verschuift naar samenwerking, detectie en response.
  5. Wees u bewust van de rol die u als bestuurder heeft bij informatiebeveiliging.
  6. Houd rekening met specifieke risico’s die naar aanleiding van de pandemie COVID-19 naar voren komen.

Naast deze adviezen komt uit de IB-monitor naar voren dat instellingen steeds vaker onderling samenwerken, hetgeen DNB als essentieel ziet voor de financiële sector om cyberdreigingen het hoofd te kunnen bieden.

De waarnemingen 3 en 5 hebben betrekking op respectievelijk de uitbesteding en de rol van het bestuur. Met betrekking tot deze punten geeft DNB het volgende aan:

  • Geef met uitbesteden niet de verantwoordelijkheid uit handen, blijf zelf in control:
    • DNB benadrukt dat de instelling eindverantwoordelijk blijft voor de door dienstverleners uitgevoerde activiteiten. Dit geldt zeker ook voor het borgen van de adequate werking van maatregelen ten aanzien van informatiebeveiliging en cybersecurity.
    • DNB roept instellingen op zich bewust te zijn van mogelijke concentratierisico’s.
    • Tegelijkertijd brengt het gebruik maken van dezelfde dienstverlener door meerdere instellingen ook kansen met zich mee.
    • Niet alle instellingen hebben hun kritieke of belangrijke uitbestedingsketens voldoende in kaart gebracht.
    • Het risico bestaat dat instellingen ten onrechte zekerheid ontlenen aan assurance rapportages.
    • Monitoring van informatiebeveiligingsmaatregelen op operationeel niveau bij ketenpartners is beperkt.
  • Wees u bewust van de rol die u als bestuurder heeft bij informatiebeveiliging:
    • Om de risico’s van dreigingen op het gebied van informatiebeveiliging en cybersecurity goed te kunnen inschatten is bij het bestuur vaak diepgaande (technische) kennis benodigd.
    • Alhoewel het beter gaat constateert DNB nog steeds in haar gesprekken met instellingen dat het (beperkte) kennisniveau van besturen en directies over deze dreigingen een aandachtspunt is.
    • Het bestuur/de directie draagt zorg voor haar eigen deskundigheid op het gebied van informatiebeveiliging en cybersecurity, zodat het voldoende ‘countervailing power’ heeft ten opzichte van haar eigen organisatie en haar uitbestedingspartners.

In de Good Practice IB zijn per onderdeel goede voorbeelden gegeven hoe besturen een goede invulling kunnen geven aan hun rol.

BIJLAGE:      Good practices informatiebeveiliging en cybersecurity

In de good practice wordt gekeken naar de volgende elementen:

  • Governance: het geven van strategische, tactische en operationele sturing aan informatiebeveiliging en cybersecurity in overeenstemming met de strategie van de instelling, haar risicobereidheid en wet- en regelgeving. Beheersmaatregelen zijn:
    • Information security plan.
    • IT policies management.
    • Enterprise information architecture model.
    • Data classification scheme.
    • Monitor future trends and regulations.
    • Technology standards.
  • Organisatie: het is belangrijk dat taken ten aanzien van informatiebeveiliging en cybersecurity eenduidig binnen de instelling zijn belegd en dat activiteiten op dit gebied in overeenstemming zijn met de strategie van de instelling, haar risicobereidheid en met wet- en regelgeving. Beheersmaatregelen zijn:
    • Responsibility for risk, security and compliance.
    • Managament of information security.
    • Data and system ownership.
    • Segregation of duties.
  • Mensen: Het is belangrijk dat alle medewerkers, externe inhuur en dienstverleners bekend zijn met het informatiebeveiligingsbeleid van de instelling, hun verantwoordelijkheden kennen en kunnen werken volgens dit beleid en de risicotoleranties van de instelling. Beheersmaatregelen zijn:
    • Personnel recruitment and retention.
    • Personnel competencies.
    • Dependence upon individuals.
    • Personnel clearance procedures.
    • Job change and termination.
    • Knowledge transfer to end users.
    • Knowledge transfer to operations and support staff.
    • Employee awareness.
  • Processen: Processen geven richting aan een beheerste bedrijfsvoering en zijn noodzakelijk bij de beheersing van de risico’s op het gebied van informatiebeveiliging en cybersecurity. Beheersmaatregelen zijn:
    • Change standards and procedures.
    • Impact assessment, prioritisation and authorisation.
    • Test environment.
    • Testing of changes.
    • Promotion to production.
    • IT Continuity plans.
    • Testing of the IT Continuity plan.
    • Offsite backup storage.
    • Backup and restoration.
    • Storage and retention arrangements.
    • Disposal.
    • Security requirements for data management.
    • Configuration repository and baseline.
    • Identification and Maintenance of Configuration Items.
    • Security incident definition.
    • Incident escalation.
    • Security testing, surveillance and monitoring.
    • Monitoring of internal control framework.
    • Evaluation of compliance with external requirements.
    • Independent assurance.
    • Identity & Access Management.
    • User account management.
  • Technologie: Informatiebeveiliging en cybersecurity krijgen mede vorm door het treffen van technische maatregelen. Beheersmaatregelen zijn:
    • Infrastructure resource protection and availability.
    • Infrastructure maintenance.
    • Cryptographic key management.
    • Network Security.
    • Exchange of sensitive data.
    • Malicious software prevention, detection and correction.
    • Vulnerability management.
    • Application life-cycle management.
    • Protection of security technology.
  • Faciliteiten: onder dit element verstaat DNB onder andere dat toegang tot informatie ook fysiek is beveiligd, denk hierbij aan maatregelen die de toegang tot kantoorgebouwen en datacenters beperken. Beheersmaatregelen zijn:
    • Physical security measures.
    • Physical access.
  • Uitbesteding: DNB ziet dat instellingen in toenemende mate belangrijke bedrijfsprocessen zoals ICT, vermogensbeheer, klanten-, pensioen-, polis- en financiële administraties uitbesteden (Outsourcing). Tegenover de voordelen van uitbesteding staan ook risico’s waar een instelling zich aan blootstelt. In het kader van de informatiebeveiliging en cybersecurity is dat bijvoorbeeld de ongewenste omgang van de dienstverlener met vertrouwelijke gegevens van de instelling. Ook bestaat het risico dat de beveiliging van vertrouwelijke gegevens niet in overeenstemming is met het interne beleid als gevolg van onderuitbesteding door de dienstverlener. Beheersmaatregelen zijn:
    • Monitoring and reporting of Service Level Achievements.
    • Supplier risk management.
    • Internal control at third parties.
  • Testen: Onderzoek toont aan dat het (laten) uitvoeren van Security testing effectief is om informatiebeveiliging en cyberweerbaarheid van instellingen continu te verbeteren. Security Testing kan zich richten op verschillende elementen. Een test kan bijvoorbeeld zijn gericht op zwakheden in de infrastructuur (Technology), maar ook op menselijke gedrag en menselijk handelen (People) of op zwakke plekken in de toegang tot gebouwen (Facilities). De scope van Security testing kan zich richten op de interne organisatie, maar kan ook de belangrijke uitbestedingen meenemen. Beheersmaatregelen zijn:
    • Penetration testing and ethical hacking.
  • Risicomanagementcyclus: De risicomanagementcyclus is van toepassing op alle elementen uit het model. Het is belangrijk dat de instelling regelmatig de voor haar relevante risico’s op het gebied van informatiebeveiliging en cybersecurity identificeert en analyseert. Op grond van deze risicoanalyse bepaalt de instelling haar reactie, treft maatregelen om risico’s te beperken en accepteert (tijdelijk) eventuele restrisico’s. Geaccepteerde restrisico’s worden periodiek opnieuw geëvalueerd en opnieuw ter acceptatie aangeboden. Onderdelen zijn:
  • IT Risk Management framework.
    • Risk assessment.
    • Maintenance and monitoring of a risk action plan.

[1] Bron: https://www.dnb.nl/binaries/WEB_127470_IB_Monitor_tcm46-388405.pdf

Bezoekadres: Wessemerdijk 11 | 6031 SG Nederweert | KvK 83125205

Info@c-i-c.nl (algemeen) edcreusen@c-i-c.nl nataschawesten@c-i-c.nl

Ed Creusen +31(0)6 20493611 Natascha Westen +31 (0)6 82692429 Robbert van Schaik +31 (0)6 46271081

©  2024 . Compliance-i-Consultancy B.V. | Follow us on LinkedIn and Twitter