De DNB Good Practice Informatiebeveiliging
De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor informatiebeveiliging bij financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk.
De Good Practice wordt al een tijd gebruikt door DNB, ook bij hun jaarlijkse sectorbrede uitvragen, en is onlangs vernieuwd. Er zijn twee versies: de 2019/2020-versie en de 2023-versie. De Good Practice Informatiebeveiliging 2023 (hierna GP IB 2023) bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. De herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s. De GP IB 2023 is ook ‘uitgelijnd’ met DORA (Digital Operational Resilience Act) op Level 1. Level 1 bevat de primaire wetgeving die door de Europese wetgevers is vastgesteld. Level 2 bestaat uit meer gedetailleerde technische standaarden en richtlijnen die ontwikkeld worden door Europese toezichthoudende autoriteiten en bedoeld zijn als uitvoeringsmaatregelen die specificeren hoe de vereisten van Level 1 in de praktijk gebracht moeten worden. Dus let op: Level 2 zit heel duidelijk níet in de GP IB 2023. De GP IB 2023 zorgt daarom niet ‘automatisch’ voor compliance tegen DORA, maar is wel een stevig startpunt.
Meer nadruk op de rol van Internal Audit
De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen die al zijn vastgesteld in de 2019-versie. In de 2023-versie is duidelijk te merken dat het belang van een goede rol door Internal Audit zwaarder is gaan wegen. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen. De specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen.
Een ander aspect in de 2023-versie is de grotere nadruk op de leveranciersketen. De GP IB 2023 legt veel nadruk op de outsourcingsketen (ook vanuit DORA). Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.
In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van Internal Audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.
De mogelijke rollen van Internal Audit op een rijtje
Zoals al uit de tekst hiervoor blijkt, kan Internal Audit allerlei prikkels geven en rollen aannemen in het kader van de DNB Good Practice. We zetten hieronder een aantal mogelijke rollen op een rij:
- Toetsing van beleid: Internal Audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB Good Practice.
- Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1e en ook 2e lijn) zelf, speelt Internal Audit een belangrijke rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
- Risicobeoordeling: Internal Audit kan een onafhankelijke beoordeling doenvan de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid (of daarbij assisteren).
- Awareness en training: Internal Audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB Good Practice.
- Incidentenanalyse: In het geval van beveiligingsincidenten kan Internal Audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
- Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.
We willen de internal auditor eveneens aanmoedigen tot een rol waarbij er samen met de organisatie verder wordt gekeken dan alleen de norm die de Good Practice vraagt. Internal Auditors kunnen hiermee extra waarde toevoegen, door te stimuleren dat er veerkracht wordt gekweekt. Veerkracht is immers nodig om het steeds veranderende landschap aan te kunnen, zeker als het om cyber risico’s gaat.
De rol van Internal Audit bij Control Self Assessments
Eenvoudig gezegd zijn Control Self Assessments (CSA’s) een systematiek waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en interne controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en benodigde control(e)s begrijpen. Door het zelf formuleren van verbeterpunten, wordt eveneens gezorgd voor het nodige draagvlak om deze verbeteringen ook zelf te realiseren.
Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door (bijvoorbeeld) de CISO, kan Internal Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:
- Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
- Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
- Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Internal auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen. In het geval van de Good Practice kan Internal Audit beoordelen in hoeverre de gerapporteerde (eigen) diplomascores/volwassenheidsniveaus plausibel zijn.
- Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal Audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
- Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.
De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen
Bij outsourcing geldt dat de assuranceverklaringen inzicht geven in de opzet en werking van de eigen controls, die uitbesteed zijn aan de leverancier. Het is daarom belangrijk om van leveranciers van in de outsourcingsketen te eisen dat ze een assuranceverklaring overleggen om inzicht te krijgen in de beheersing van hun risico’s en het aantonen van hun compliance. Dat werd al vereist in de 2019-versie, maar is nu veel prominenter aanwezig in de GP IB 2023.
Assuranceverklaringen zijn vaak onderdeel van contractuele afspraken en zorgen voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.
Eén van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop Internal Audit dit kan doen:
- Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid, dekking en relevantie ervan te beoordelen.
- Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
- Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
- Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
- Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
- Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
- Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.
Conclusie
Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. De meest recente (2023-)versie is uitgelijnd met nieuwe wetgeving zoals DORA en EIOPA. Ook legt het sterkere nadruk op een aantal elementaire inhoudelijke aspecten, waaronder de risico’s in de leveranciersketen. Ook wordt Internal Audit als een cruciale functie gezien, die allerlei relevante rollen kan spelen bij het waarborgen van de naleving van deze richtlijnen. Zij kunnen onder meer de kwaliteit van de Control Self Assessments van de organisatie versterken en de assuranceverklaringen in de outsourcing keten beoordelen. Ook kan er vanuit Internal Audit worden gestimuleerd om verder te kijken dan de (vernieuwde) norm vanuit DNB. Goed beveiligen is namelijk stap 1. Het zorgen voor weerstand om nieuwe of onverwachte risico’s aan te kunnen, is de volgende stap.
Wilt u uw organisatie versterken op het gebied van informatiebeveiliging en voldoen aan de richtlijnen van De Nederlandsche Bank? De specialisten van ARC People staan voor u klaar met deskundig advies en ondersteuning. Lees meer over wat we voor u kunnen betekenen, download ons gratis whitepaper of neem direct contact op met Carlo Bavius voor maatwerkoplossingen die aansluiten op uw behoeften.
Whitepaper DNB Good Practice Informatiebeveiliging
Download gratis ons whitepaper waarin we dieper ingaan de nieuwe vooruitzichten en de impact die regelgeving als DORA en NIS2 heeft op de Nederlandse financiële sector.