COBIT / Good practice diensten

Informatiebeveiliging, cybersecurity en privacywetgeving. Het zijn belangrijke thema’s voor financiële instellingen, waar de toezichthouders meer en meer aandacht voor hebben. Maar niet iedere organisatie is gelijk en daarom zijn de risico’s ook anders. Het mitigeren van een risico vergt beheersing, maar beheersing kost tijd en geld. Een buitenproportionele mate van beheersing schaadt hiermee de concurrentie positie. Juiste beheersing is daarmee een delicaat evenwicht, met in de ene hand compliance en in de andere hand concurrentie en efficiency.

De essentiële vraag is daarom:
Waar staat u en is dat voldoende om uw risico´s aantoonbaar effectief te beheersen of is er sprake van een buitenproportionele mate van beheersing?

Wat ‘voldoende’ is, is afhankelijk van uw eigen risicobereidheid. Maar een juiste invulling hiervan kan alleen gegeven worden bij een juiste bepaling van kans en impact, in een steeds complex wordende wereld van toxic combinations, vulnerabilities, datamining, privacy-by-design, zero-day threats, cybersecurity en vele andere bronnen van risico´s die niet voorkwamen in de traditionele bedrijfsvoering. IT en beheersing daarvan is daarom actueler dan ooit tevoren en moet daarmee ook voldoende aandacht krijgen op C-niveau.

Om uw aandacht te prioriteren kunt u gebruik maken van de verwachtingen die de toezichthouder hanteert. DNB hanteert voor informatiebeveiliging de zogenaamde Good Practice, waarin op basis van COBIT risico´s en maatregelen worden besproken die getroffen (kunnen) worden om risico’s te beheersen en bedreigingen te weren die onder meer kunnen leiden tot langdurige uitval van IT-systemen, het ongeautoriseerd wijzigen van data en het veroorzaken van datalekken.

DNB verwacht dat financiële instellingen beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico’s. Hierbij dienen de procedures passend te zijn met de aard van de financiële instelling en de complexiteit van de organisatiestructuur. Bij voorkeur zijn deze afgestemd op het risicoprofiel: de bedrijfstak-specifieke omstandigheden van de desbetreffende financiële instelling.

Specifiek voor het waarborgen van de beveiliging van informatie heeft DNB het ‘Toetsingskader Informatiebeveiliging’ opgesteld. Dit toetsingskader bestaat uit een selectie van COBIT. COBIT is internationaal één van de leidende standaarden op het gebied van informatiebeveiliging. In het toetsingskader is per standaard tevens een verwijzing opgenomen naar de overeenstemmende standaard zoals bepaald in de ISO 27000. Periodiek worden de onder toezicht staande entiteiten verzocht om een IT self-assessment uit te voeren, op basis van deze COBIT deelgebieden. Het is daarbij niet uitgesloten dat de uitkomst van deze IT self-assessment meeweegt in het risico kapitaal.

Bij een niet adequate uitkomst dienen verbeteringen doorgevoerd te worden. Het spreekt voor zich dat de betrouwbaarheid van de organisatie in het geding komt wanneer blijkt dat er met onvoldoende diepgang, nauwkeurigheid en sceptische houding is getoetst. Het blind doen varen op de eigen organisatie kan hierbij tot vervelende consequenties leiden, zeker wanneer er onvoldoende IT-professionals betrokken zijn geweest.

Wat kan 3angles u bieden ?

Informatiebeveiliging doet u niet voor de toezichthouder, maar omdat u zelf de risico’s wilt beperken. Wij helpen daar graag bij door uw organisatie bewust te maken van het niveau van informatiebeveiliging in relatie tot uw risicobereidheid.

Zo kunnen wij de nulmeting uitvoeren waarbij het volwassenheidsniveau inzichtelijk wordt gemaakt. Daarbij is met name het aantonen van belang: het gescoorde volwassenheidsniveau dient deugdelijk te worden onderbouwd met toereikend bewijs. Met onze ervaring kunnen wij u daarbij van dienst zijn. We beoordelen dan – onafhankelijk –  de onderbouwing en bewijsvoering van de IT Self Assessment van uw organisatie.

Deze nulmeting hoeft daarbij niet integraal over alle doelstellingen  te omvatten, maar kan ook thematisch verspreid worden.

Wanneer het niveau van informatiebeveiliging nog niet op het gewenste niveau is, kunnen wij u helpen met aanbevelingen ter verbetering. Daarbij is veelal een goede risicoanalyse de basis.

Na doorlopen van deze fases kunnen wij een pre-audit voor u uitvoeren waarbij we vaststellen in hoeverre de doorgevoerde verbeteringen hebben geleid tot resultaat, en in hoeverre wordt voldaan aan de eisen en wensen van de organisatie. Deze pre-audit kan als basis dienen voor toetsing door de 2^e en 3^e lijn in uw organisatie.

Onze ervaring leert dat deze aanpak leidt tot nieuwe inzichten voor de organisatie (zowel 1^e, 2^e als 3^e lijn) en er meer scherpte en focus komt in de interne beheersing.

Synergie kan behaald worden, door het integreren in een assurancerapport. Vaak hebben meerdere partijen belang bij een zelfde object. Het doen combineren in een ISAE 3402 rapport is hierbij een vaak gekozen oplossing. Dit verlaagd de druk op de interne organisatie (2^de en 3^de lijn) en geeft verlichting aan de 1^ste lijn, wegens de synergie uit het eenmalig toetsen voor meerdere doelen. Het is onze verwachting dat de toezichthouder deze kant op zal gaan, om hiermee meer kwaliteit en consistentie in de toetsing te bewerkstellingen.

Uiteraard kunnen we aanpak en de scope van onze werkzaamheden op uw verwachtingen afstemmen. Graag werken wij samen met de reeds bestaande risk-en/of interne auditfunctie om onze competenties en de frisse blik van buiten toe te voegen.

Neem gerust contact met ons op en we bespreken vrijblijvend de mogelijkheden met betrekking tot de status van de informatiebeveiliging en onze mogelijkheden om de informatiebeveiliging naar een hoger volwassenheidsniveau te brengen.