Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Agenda •

Over uw sprekers;

•

De toezichtaanpak van DNB: Focus!

•

IT risico in Focus!

•

Pensioenfondsen en uitbesteding: ‘de Schijf van Vijf’;

•

Informatiebeveiliging 2014;

•

Highlights Informatiebeveiliging 2013.

Kernboodschappen: •

Het Pensioenfonds is verantwoordelijk voor IT risico beheersing;

•

Pas tenminste de aangereikte set voor Informatiebeveiliging toe en maak dat aantoonbaar.

DNB Pensioenseminar 2014

Over uw sprekers

DNB Expertise Centrum ICT: • • •

Groep van 15 personen olv Evert Koning; Toezicht op IT risico’s bij financiële instellingen; Rocus van Oossanen is belast met het IT toezicht op Pensioenfondsen.

• • • •

Beroepsorganisatie van Register IT-auditors (RE’s); 1.700 RE’s in Nederland; Een IT-auditor houdt zich bezig met beheersingsvraagstukken over IT; Jeroen Biekart is voorzitter van de NOREA.

DNB Pensioenseminar 2014

De toezichtaanpak van DNB: Focus! Focus! is de toezichtaanpak van DNB Top down aanpak voor beoordeling prudentiële en integriteitsrisico’s, het algemene risicobeheer en de toereikendheid van kapitaal en liquiditeit: • macro en sectorale risico’s; • bedrijfsmodel & strategie; • gedrag, cultuur & governance; • infrastructuur & IT.

Wettelijke basis: • • • •

Artikelen 138 / 143 van de Pensioenwet; organisatie zodanig in te richten dat deze een beheerste en integere bedrijfsvoering waarborgt; Regels zijn gesteld met betrekking tot het beheersen van bedrijfsprocessen en bedrijfsrisico’s; Let op: nieuwe Europese privacy wetgeving inzake meldplicht datalekken is in behandeling.

DNB Pensioenseminar 2014

IT risico in Focus! Operationeel risico is de kans op onverwachte verliezen in inkomsten of verhoogde onkosten die kunnen ontstaan door het falen van mensen, processen, (IT-)systemen en ten gevolge van externe gebeurtenissen. Conform de Pensioenwet is DNB van oordeel dat ondernemingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van ITrisico's.

Agility Accuracy Access Availability

Projecten en complexiteit Data kwaliteit Informatiebeveiliging Business Continuity Management

DNB Pensioenseminar 2014

Pensioenfondsen en uitbesteding: ‘de schijf van vijf’ Pensioenfonds is verantwoordelijk

Evaluatie uitbesteding (5)

Uitbestedingsbeleid (1)

Monitoring uitbesteding (4)

Keuze van de uitvoerder (2)

Governance uitbesteding (3)

•

Welke IT wordt uitbesteed?

•

Wat zijn de resterende risico’s volgens de risicoanalyse?

•

Is een service provider een PUO?

•

Welke belangen spelen hier een rol?

•

Hoe deskundig is het bestuur over de IT?

•

Risicomanagement t.a.v. IT?

•

Hoe beheers je uitbestede IT?

•

Sluiten Beleid, Normen, SLA en Rapportage op elkaar aan?

•

Hoe evalueer ik mijn IT-partner?

•

Zat mijn beleid goed in elkaar en is de business case positief?

DNB Pensioenseminar 2014

Informatiebeveiliging 2014

Specifiek voor het waarborgen van de beveiliging van informatie heeft DNB een toetsingskader gemaakt met 54 controls gegroepeerd naar: • • • • • •

Strategy & Policies; Organization; People; Processes; Technology; Facilities.

•

Instellingen dienen hierbij voor alle maatregelen te voldoen aan een volwassenheidsniveau van minimaal 3 (‘aantoonbare werking’).

•

In 2014 is het toetsingskader geactualiseerd en geldt voor drie maatregelen uit de categorie ‘Assess and manage (IT) risks’ per 1 juni 2015 een minimaal volwassenheidsniveau van 4.

DNB Pensioenseminar 2014

Informatiebeveiliging 2014

Voor Information Security is een Framework ontwikkeld op basis van Cobit en ISO 27002 met een Maturity Model.

No

Facility

Organization

Technology

People

Internal Control

CobiT 4.1

ISO 27002

Define an information security plan: Provide direction and support for information security in accordance with business, risks and compliance requirements with involvement of Business and IT so priorities can be mutually agreed. Information Security plan: Business, risk and compliance DS5.2 5.1.1 requirements are translated into an overall IT security plan, taking 5.1.2 into consideration the IT infrastructure and the security culture. The 6.1.2 plan is implemented in security policies and procedures together 6.1.5 1.1 with appropriate investments in services, personnel, software and 8.2.2 hardware. Security policies and procedures are communicated to 11.1.1 stakeholders and users. 11.7.1 11.7.2 IT Policies Management: Develop and maintain a set of policies PO6.3 5.1.1 to support Information security strategy. These policies should 5.1.2 include policy intent; roles and responsibilities; exception process; 6.1.1 compliance approach; and references to procedures, standards and 8.1.1 1.2 guidelines for development, acquisition, maintenance and support. Their relevance should be confirmed and approved regularly. 1

Risk Policy

Information Security Management

Standard / Control measure

Operational Maturity Level Assessment status

Operational maturity level

Not applicable

4 - Implemented and periodically assessed

3 - Structured and formalized

Back to Assessment Overview

2 - Repeatable, informal

Strategy & Policies

Risk Monitoring

Open

0 - Non existent

Risk

Processes

SP Strategy & Policies

Provide management direction and support for information security in accordance with business requirements, risks and relevant laws and regulations.

1 - Ad-hoc, initial

Domain

0 Non existent

Operational maturity level is …. Instructions: An 'x' is used to indicate which level is applicable. Please, avoid two ´x´ in one row.

x

1 Adhoc, initial 2 Repeatable, informal

3

Open

3 Defined x

3

Open

4 Managed and measurable

DNB Pensioenseminar 2014

Informatiebeveiliging 2014 Score

3

Description

Points to consider

Defined

• Formal control is available for any critical process. • Critical processes and controls are identified based on risk assessments. • There is evidence of implementation of the control • Formal ‘test of design effectiveness’ constitutes evidence for level 3. • Formal ‘test of operating effectiveness’ constitutes evidence for level 3. • The test of operating effectiveness should be done over an appropriate period which fits the risk profile.

Control is documented, executed in a structured and formalized way. Execution of control can be proved.

4

Managed and measurable The effectiveness of the control is periodically assessed and improved when necessary. This assessment is documented.

Criteria for level 3 plus the following: • The periodic evaluation of the control is documented, including any identified action for improvement. • The frequency of the periodic evaluation should be based on the risk profile. • The frequency of this assessment should be at least annually.

DNB Pensioenseminar 2014

Highlights informatiebeveiliging 2013

Sectorbrede aandacht blijft noodzakelijk

Nulmeting

• afname van het aantal controls dat initieel niet op niveau was. (41% in 2010 naar 28% in 2013)

100%

80%

60%

• Geen scores meer op niveau ‘1’

40%

• Aandacht blijft noodzakelijk

20%

0% 2010

2011

% controls onder niveau

2012

2013

% controls op niveau

DNB Pensioenseminar 2014

Highlights informatiebeveiliging 2013

Verschillen tussen sectoren zijn significant

Benchmark per sector 100% 90%

92%

80%

83% 76%

70% 60%

71% 64% 59%

50% Nulmeting

Eénmeting

Cross-sectoraal:

 Hogere risico’s / meer   

fraude Meer dienstverlening via Internet Meer media-aandacht Third parties, complicerende factor

Banken

Verzekeraars Pensioenfondsen

DNB Pensioenseminar 2014

Highlights informatiebeveiliging 2013

Verschillen tussen sectoren zijn significant

Eénmeting domeinen Banken

Verzekeraars

Verbeteringen bij pensioenfondsen nodig binnen domeinen:

 Organisatie  Mensen  Processen

Pensioenfondsen DNB Pensioenseminar 2014

Highlights informatiebeveiliging 2013

Best scorende controls Banken 16.5 Independent assurance

Verzekeraars 8.2 Personnel competences

Pensioenfondsen 10.1 Change standards and procedures

21.1 Physical security measures

10.5 Promotion to production

10.2 Impact assessment, prioritisation and authorisation

10.1 Change standards and procedures

15.2 Incident escalation

5.2 Management of information security

11.1 IT continuity plans

19.1 Malicious software prevention, detection and correction 21.1 Physical security measures

7.1 Segregation of duties

8.2 Personnel competences

10.4 Testing of changes

DNB Pensioenseminar 2014

Highlights informatiebeveiliging 2013

Slechtst scorende controls Banken

Verzekeraars

Pensioenfondsen

13.2 Identification and maintenance of configuration items

16.3 Internal control at third parties

18.3 Cryptographic key management

13.1 Configuration repository

17.2 User Accountmanagement

16.3 Internal control at third parties

16.3 Internal control of third parties

2.2 Data classification scheme

16.1 Security testing, surveillance and monitoring

8.3 Dependence upon individuals

18.5 Exchange of sensitive data

2.2 Data classification scheme

2.1 Enterprise Information Architecture Model

16.1 Security testing, surveillance and monitoring

16.2 Monitoring of internal control framework

DNB Pensioenseminar 2014

Vragen?

IT-risico Informatiebeveiliging

DNB Pensioenseminar 2014