Symposium Uitbesteding & Cloud computing
De Nederlandsche Bank
1
Amsterdam, 14 juni 2012
Agenda symposium uitbesteding & cloud computing
2
13.30 - 14.00
Ontvangst met koffie
14.00 - 14.15 14.15 - 14.30 14.30 - 14.45 14.45 - 15.00 15.00 - 15.15 15.15 – 15.45
Welkomstwoord door Evert Koning (DNB) Resultaten inventarisatie uitbesteding 2011 door Ingrid Talsma (DNB) Toelichting uitbesteding door Pim Berger (Schuberg Philis) Toelichting uitbesteding door Gerhold Runneboom (IBM) Toelichting uitbesteding door Harry Wijbenga (Atos) Discussie over eisen aan uitbesteding olv Evert Koning (DNB)
15.45 - 16.15
Break
16.15 - 16.30 16.30 - 17.15
Toelichting cloud computing door Miranda Chilvers (DNB) Panel cloud computing met o.a. Ton van Gessel (Microsoft), Lien Ceulemans (Salesforce), Brigette Beugelaar (KPMG), Aart van der Vlist (Nationale Nederlanden), Arjen Huisman (Van Lanschot) en Evert Koning (DNB), olv Michiel Boshuizen
17.15 - 18.00
Afsluitende borrel
Toezichtcyclus
3
Beoordeling prudentiële en integriteitsrisico’s in drie scores Macro & sectorale risico’s
Bedrijfsmodel en strategie
Gedrag, cultuur en governance Top-down werkwijze
4
Infrastructuur en IT
Inherente Risico Score
Risicobeheer
Risicobeheer Score
Risicopositie
Risicopositie Score
Mogelijke beïnvloedingsstrategieën
5
Symposium Uitbesteding & Cloud computing Inventarisatie Uitbesteding Resultaten Ingrid Talsma
6
Amsterdam, 14 juni 2012
Aanleiding • Uitkomsten Cybercrime project 2010: onvoldoende inzicht in risicobeheersing bij IT serviceproviders, alsook onvoldoende inzicht in de mate waarin financiële ondernemingen afhankelijk zijn van deze providers • Signalen vanuit de toezichtpraktijk dat er onvoldoende sturing is op uitbestede dienstverlening door financiële ondernemingen. • Signalen vanuit de externe (internationale) omgeving inzake het toegenomen belang van uitbestedingspartijen binnen het financiële stelsel 7
Doel en uitvoering • Inzicht verkrijgen of en in welke mate financiële ondernemingen afhankelijk zijn van IT service providers en of ze grip houden op de door hen uitbestede IT dienstverlening. Zijn ze afhankelijk van door de provider getroffen maatregelen? Zijn ze in control? • Uitvraag (questionnaire) bij top 25 financiële ondernemingen vanuit IT perspectief.
• Research van trends in de markt 8
Hypothese Financiële ondernemingen vergewissen zich in onvoldoende mate van de continue kwaliteit van door de IT serviceprovider getroffen beheersmaatregelen
Key messages 1. Het belang van de IT service providers binnen het financiële stelsel is groot en neemt zeker niet af 2. Het concentratierisico bij de IT service providers versterkt dit belang en daarmee de afhankelijkheid van de financiële ondernemingen 3. Afspraken over beheersmaatregelen met IT service providers zijn onvoldoende vastgelegd
4. Informatie over het naleven van beheersmaatregelen wordt onvoldoende opgevraagd en beoordeeld 10
Belang IT serviceprovider binnen financieel stelsel is groot (1) • Alle top 25 financiële ondernemingen besteden uit • Elke onderneming heeft IT ondersteunend aan een bedrijfskritisch (“wezenlijk”) proces uitbesteed • Belang is groot en neemt zeker niet af • Weinig wisseling van provider (hercontractering) Risico: Discontinuïteit provider kan leiden tot instabiliteit financieel stelsel. Crisis heeft geleerd dat serviceprovders financiële problemen kennen
Concentratie risico versterkt belang & afhankelijkheid (2)
Concentratiegraad binnen vanuit IT perspectief meest belangrijke ondernemingen (27) Providers ondersteunen bedrijfs kritische processen voor meer ondernemingen 60% van de geïnventariseerde contractwaarde ondergebracht bij “top 6” (10%) 65% van ondernemingen heeft een “top 6” provider gecontracteerd
Afspraken over beheersmaatregelen onvoldoende vastgelegd (3) Risico (toezichtspraktijk): Medewerkers service provider hebben ongeautoriseerde toegang tot vertrouwelijke info
Risico (toezichtspraktijk): Provider werkt niet mee aan ordentelijke overdracht van kennis, activiteiten, middelen
45% heeft geen expliciete afspraken over het toepassen van het eigen informatiebeveiligingsbeleid 90% heeft formeel ‘right to audit’. Slechts 40% van de ondernemingen maakt hiervan gebruik 90% heeft exitbepaling in contract, maar 25% van de ondernemingen heeft een uitgewerkt exitplan
Informatie over naleven beheersmaatregelen onvoldoende opgevraagd en beoordeeld (4) Risico: onvoldoende sturing doordat doelstellingen op strategisch niveau onvoldoende worden door vertaald naar het tactische en operationele (overleg)niveau Risico: onvoldoende assurance door te kort schieten (SAS70, ISA3402) qua diepgang en scope voor de specifieke dienstverlening aan de onderneming
De helft van ondernemingenlaat personeel bij providers screenen, slechts 20% heeft de beschikking over dedicated personeel. Een klein deel geeft aan op strategisch niveau doelstellingen af te stemmen. Het operationeel overleg is veelal reactief van aard. Ondernemingen steunen voor een groot gedeelte op generieke (assurance)verklaringen, zoals SAS70 / ISAE 3402. Slechts bij een klein deel wordt o.b.v. eigen onderzoek de kwaliteit van de getroffen maatregelen getoetst.
DNB
Ingrid Talsma 15
Symposium Uitbesteding & Cloud computing
Discussie olv Evert Koning
16
Amsterdam, 14 juni 2012
Symposium Uitbesteding & Cloud computing
17
Amsterdam, 14 juni 2012
Symposium Uitbesteding & Cloud computing
Cloud computing Miranda Chilvers
18
Amsterdam, 14 juni 2012
Cloud computing
19
Cloud computing •
Cloud computing uitbesteding dus dezelfde wettelijke vereisten voor cloud computing als uitbesteding • risico’s dienen aantoonbaar gekend en beheerst te worden en, • uitbesteding aan derden mag geen belemmering vormen voor toezicht
http://www.toezicht.dnb.nl/binaries/Cloud computing_tcm50-224828.pdf
20
Aandachtpunten bij cloud computing
•
Rekening dient gehouden te worden met:
Waar bevindt mijn data zich? Wie hebben er toegang tot mijn data? Hoe weet ik zeker dat dat wat afgesproken is ook uitgevoerd wordt? Exit bij de cloud provider – gaat alle data mee ? Onderuitbesteding door de cloud provider – formeel right to audit?
21
Cloud computing / Internationale aspect •
Internationaal overleg over cloud computing
•
Circulaire over cloud computing APRA, MAS, DNB en Canada • alle landen hetzelfde standpunt mbt cloud computing • aantal landen een strikter regime
22
Stellingen Cloud computing
23
Cloud computing stelling 1
Cloud computing is nieuwe wijn in oude zakken
24
Cloud computing stelling 2
Voor cloud computing moet nadere regelgeving worden opgesteld
25
Cloud computing stelling 3
Iedere financiële instelling houdt bij zijn strategische plannen zichtbaar rekening met cloud computing
26
Cloud computing stelling 4
Safe Harbour = wij van WC-eend adviseren WC-eend
27
Cloud computing stelling 5
(cloud) service providers moeten onder toezicht van DNB vallen
28
Bedankt voor uw aanwezigheid
29
[email protected] [email protected] [email protected]