Effect creëren in de boardroom

The next level: effect bereiken

17 december 2015
In dit artikel:

Als IT-auditor kun je effect bereiken in de boardroom door in te spelen op de risicobeleving van bestuurders en directieleden. De afdeling IT Risico’s (ITR) van De Nederlandsche Bank (DNB) werkt sinds 2010 met IT-standaarden. In een artikel uit 2012 is de aanpak hiervan beschreven. [KONI12] Onderhavig artikel gaat over het bereikte effect en de weg daarnaartoe. Hoe kan een IT-auditor effect creëren binnen zijn of haar organisatie en welke rol spelen IT-standaarden daarbij?

Door de methodiek aan te reiken kan ook de IT-auditor van niet-financiële instellingen binnen zijn of haar organisatie effect bereiken door gebruik te maken van IT-standaarden. Dit beschrijven wij aan de hand van de ervaringen van IT-Toezicht bij DNB met als concrete casus het themaonderzoek informatiebeveiliging. We gaan in op de ontwikkeling, actualisatie en het proces van dit themaonderzoek. Tot slot lichten wij de gemeten resultaten en effecten nader toe.

Eerder publiceerden collega’s van DNB een artikel over de vernieuwde aanpak van IT-Toezicht bij DNB. [KONI12] Een vraag die daarin open bleef staan was in hoeverre de vernieuwde aanpak van het IT-Toezicht heeft geleid tot een grotere betrokkenheid en inzet op bestuurs- en directieniveau. Op het moment van schrijven van dat artikel was de effectmeting nog onderhanden. In dit artikel gaan wij in op de effectmeting en waarom de aanpak tot effect heeft geleid.

Een belangrijk element in de aanpak zoals beschreven in 2012 is het gebruik van IT-standaarden in combinatie met doelgerichte communicatie. Als praktijkcasus is het meerjarig themaonderzoek naar informatiebeveiliging uitgewerkt. Inmiddels zijn wij een aantal jaar verder. Wat zijn de ervaringen tot nu toe en hoe kun je als IT-auditor standaarden inzetten om effect te bereiken?

De afdeling ITR houdt toezicht op de IT-risicobeheersing bij verzekeraars, pensioenfondsen en banken. Naast toezichtgesprekken met het senior management, voeren wij ook onderzoeken uit naar de risicobeheersing. Een voorbeeld is het themaonderzoek informatiebeveiliging. Het doel van het onderzoek informatiebeveiliging is om de financiële sector tot een hoger volwassenheidsniveau te brengen op het gebied van informatiebeveiliging. Het creëren van effect in de boardroom is hiervoor een belangrijke succesfactor.

Ontwikkeling en proces van het themaonderzoek

Het proces van dit themaonderzoek is sinds 2010 sterk gestandaardiseerd en hiervoor zijn diverse sjablonen opgesteld. Een ervan, het sjabloon voor de self-assessments, is publiekelijk beschikbaar.1 Hieronder volgen de belangrijkste stappen van de ontwikkeling en het proces van dit onderzoek.

Ontwikkeling self-assessment

De eerste stap in het themaonderzoek is het ontwikkelen van een self-assessment voor de financiële sector. Dit self-assessment bestaat uit 54 COBIT 4.1 beheersmaatregelen die beoordeeld moeten worden op hun volwassenheidsniveau.
DNB hanteert hierbij de eis dat alle beheersmaatregelen minimaal op COBIT volwassenheidsniveau 3 (op een schaal van 1–5) beoordeeld moeten worden. De keuze voor COBIT 4.1 is gemaakt omdat dit internationaal een van de leidende standaarden is op het gebied van informatiebeveiliging en ook binnen de auditfuncties van de Nederlandse financiële instellingen veel wordt gebruikt. Om aansluiting te behouden met de ISO 2700x standaard is vanaf het begin een cross reference naar deze standaard toegevoegd. Ieder jaar wordt bekeken of aanpassing/aanvulling van het self-assessment noodzakelijk, dan wel gewenst is.

Selectie instellingen

DNB selecteert jaarlijks de financiële instellingen die meedoen aan het themaonderzoek informatiebeveiliging. Hierbij wordt onder andere gekeken naar het risico en wanneer de instelling voor het laatst heeft meegedaan aan het themaonderzoek.

Invullen self-assessment

Na selectie van de instellingen worden de sjablonen voor de self-assessment naar de geselecteerden gestuurd met het verzoek om deze ‘zo getrouw’ mogelijk en met een zelfkritische houding in te vullen. Dit beeld dient te worden bevestigd door een onafhankelijke partij of afdeling (bijvoorbeeld Risk Management of de interne auditafdeling). Voordat het ingevulde self-assessment naar DNB wordt verstuurd, dient deze te worden afgetekend op bestuursniveau.

Challenge betrouwbaarheid self-assessment

Na ontvangst worden de self-assessments gechallenged door DNB. Dit houdt in dat de resultaten intern bij DNB langs de benchmark van vergelijkbare instellingen worden gelegd en worden besproken met DNB-medewerkers. Vervolgens vindt een challenge bij de instelling plaats. Hierbij wordt dieper ingegaan op de beheersmaatregelen. Indien nodig wordt aanvullende documentatie (evidence) opgevraagd waarmee een bepaald volwassenheidsniveau onderbouwd kan worden. Dit gehele traject zorgt voor een betrouwbaar inzicht in het volwassenheidsniveau van de betrokken organisaties.

Terugrapportage

Alle organisaties krijgen een individuele rapportage met scores en eventuele aanbevelingen. Daarnaast worden de resultaten van het onderzoek per sector of tegen vergelijkbare organisaties gebenchmarkt. Deze resultaten worden vervolgens weer teruggekoppeld naar de organisaties via een benchmarkrapportage. Tevens worden de resultaten in een DNB-database opgenomen. Deze rapportages dragen bij tot een grotere betrokkenheid van organisaties en daarmee ook tot een sterke bereidheid om zwakke punten weg te werken.

Follow-up acties

De monitoring van de verbeteracties is een belangrijke pijler. Niet alleen het onderzoek zelf, maar ook de opvolging indien er te laag wordt ’gescoord’ is belangrijk. Bovendien wordt het self-assessment iedere twee jaar opnieuw ingevuld, zodat de progressie beoordeeld kan worden.

Het verkrijgen van een handtekening van de bestuurder op het self-assessment is een belangrijke mijlpaal in dit proces. Hiermee is het risicobeeld van informatiebeveiliging direct bekend op bestuursniveau.
Tevens is communicatie van de resultaten door DNB naar alle stakeholders van belang. Essentiële elementen hiervan zijn de individuele terugrapportage (op maat gesneden) als wel de meer generieke benchmarkinformatie met sectorinformatie. Standaarden helpen de communicatie, maar alleen als de standaarden in zekere mate herkend en erkend worden binnen de sector. Dit is de reden dat DNB regelmatig onderhoud pleegt op het normenkader.

Hoe kun je als IT-auditor standaarden inzetten om effect te bereiken?

Actualisatie self-assessment

In de periode vanaf 2012 tot en met 2014 heeft DNB het self-assessment en het bijbehorende normenkader verder geactualiseerd. Ten eerste zijn in 2014 de volwassenheidsniveaus verduidelijkt. Ten tweede zijn nadere richtlijnen opgenomen op het gebied van cybersecurity vanwege de toenemende dreiging hiervan binnen de financiële sector. Ten derde is de mapping gemaakt naar COBIT 5. Ten slotte zijn per juni 2015 de eisen verzwaard en geldt voor de drie beheersmaatregelen uit de categorie Assess and manage (IT) risks een minimum volwassenheidsniveau 4. Deze laatste stap heeft als doel dat de instellingen het risicomanagement- en risico-identificatieproces goed op orde hebben, waardoor ze op basis hiervan eventueel andere beheersmaatregelen ook op volwassenheidsniveau 4 of 5 willen hebben.

De methodiek die DNB toepast op de financiële instellingen is ook te gebruiken voor andere typen instellingen. Zo kan een IT-auditor bij een niet-financiële organisatie het self-assessment met de 54 beheersmaatregelen prima inzetten om zijn/haar organisatie te toetsen op het gebied van informatiebeveiliging.

Schermafbeelding 2015-12-17 om 13.56.16

Effecten themaonderzoek

Inmiddels zijn in de drie subsectoren (Banken, Verzekeraars en Pensioenfondsen) meer dan 100 self-assessments uitgevoerd en daarmee in totaal ruim 5000 controls getoetst. De resultaten staan in een hiervoor ontwikkelde database, die gebruikt wordt voor rapportage- en communicatiedoeleinden. Het effect van dit themaonderzoek is onder andere een grotere betrokkenheid en inzet op bestuurs- en directieniveau. Dit effect is zichtbaar in het dagelijks toezicht, waarbij wij zien dat informatiebeveiliging en cybercrime regelmatig op de agenda staan. Tevens is men bereid om hierin te investeren.

Als wij de gegevens uit de database met alle self-assessments analyseren, komen de volgende positieve effecten naar voren:

  • Een toename van het volwassenheidsniveau van de sectoren als geheel.
  • Een toename van het volwassenheidsniveau na vervolgmeting(en).

Zie de grafiek in figuur 1 voor deze effecten.

Verdere analyses van de sectoren maken verschillen zichtbaar in de best en slechtst scorende beheersmaatregelen. Zie hiervoor de tabellen 1, 2 en 3.

Opvallende zaken

  • Bij banken en verzekeraars staat de beheersmaatregel manage malware attacks sinds 2014 in de top 5 best scorende beheersingsdoelstellingen. Het gaat hierbij specifiek om de beheersmaatregel malicious software prevention, detection and correction. Belangrijk is het om up-to-date securitypatches en virussoftware te hebben. Deze beheersmaatregel heeft raakvlakken met de cybercrime-aanvallen waar de financiële sector mee te maken heeft, of waar de instellingen nog aanvallen van verwachten.
  • In alle drie de sectoren scoort de beheersmaatregel define the information architecture onvoldoende.

Belangrijk om hierbij op te merken is dat per jaar de scores van diverse beheersmaatregelen verschillen. Een van de oorzaken hiervan zijn de grote verandertrajecten bij IT waardoor risico’s ’tijdelijk’ minder goed beheerst zijn. Het eenmaal behalen van een voldoende betekent dan ook zeker niet dat er niets meer gedaan hoeft te worden. Om de veranderende risico’s te beheersen is het voor de sectoren belangrijk om de interne en externe ontwikkelingen te blijven volgen en daar de risicoanalyses op aan te passen. Vandaar ook de aangescherpte eisen van het risicomanagementproces.

In de loop der jaren is de financiële schade voor banken als gevolg van cybercrime afgenomen. Dit blijkt uit de fraudecijfers van de NVB. [NVB15] De sector heeft zelf veel maatregelen getroffen in samenwerking met de publieke sector. Het DNB-onderzoek ter verbetering van de informatiebeveiliging (de basis) heeft hieraan een belangrijke bijdrage geleverd.

Naast de meetbare effecten, signaleren wij ook andere effecten. De aandacht binnen de sectoren voor het onderwerp informatiebeveiliging en cybersecurity is toegenomen. Dit is enerzijds merkbaar aan de scores van de sectoren, maar valt ook op in de gesprekken van het toezicht en de aandacht in de pers voor cybersecurity.

Een bijeffect van dit themaonderzoek is dat er ook interesse is voor het self-assessment, inclusief toetsingskader buiten de financiële sector. Met name consultancybureaus zetten dit kader in. Dit is goed mogelijk omdat het kader generiek is opgezet en door collega IT-auditors in meer sectoren toegepast kan worden. Daarnaast sluit het goed aan bij de veel gebruikte ISO 2700x standaarden op het gebied van informatiebeveiliging.

Schermafbeelding 2015-12-17 om 13.56.02

Belangrijk is het om up-to-date securitypatches en virussoftware te hebben

Tot slot

Terugkijkend op het meerjarig themaonderzoek van DNB kunnen wij concluderen dat de aanpak gebaseerd op IT-standaarden en gerichte communicatie duidelijk effect heeft gehad. Dit is vooral zichtbaar in de grotere betrokkenheid op bestuursniveau en de verbeterde scores van de volwassenheidsniveaus.
Daarnaast is het belangrijk om ook het toetsingskader mee te laten veranderen met de tijd. De basis is in principe ongewijzigd, maar wel aangepast aan de IT-standaarden, het reservoir van maatregelen is uitgebreid zodat de instellingen het kader goed blijven begrijpen. De lat is hierbij ook hoger gelegd door toenemende en veranderende bedreigingen. De instellingen moeten letterlijk naar ‘The next level’, want een volwassenheidsniveau 3 is niet altijd voldoende meer.

Communicatie naar alle stakeholders blijft essentieel voor het bereiken van effect.

Voor collega IT-auditors is het themaonderzoek informatiebeveiliging goed in te zetten. Hiervoor kan gebruik gemaakt worden van hetzelfde self-assessment. Interessant zou zijn om dit onderzoek met regelmaat te herhalen om de veranderingen door de jaren heen te volgen.
Alleen de beheersmaatregelen vaststellen is niet voldoende. Kortom, met de juiste communicatie is het op IT-standaarden gebaseerde self-assessment een goed instrument om blijvend effect te hebben op bestuursniveau.

 

Noten

1 Zie [DNB14] voor de circulaire, toelichting en self-assessment van het themaonderzoek informatiebeveiliging.

 

Literatuur

[DNB14] Toetsingskader Informatiebeveiliging voor DNB themaonderzoek 2014. De Nederlandsche Bank, mei 2014. http://www.toezicht.dnb.nl/3/50-203304.jsp#, geraadpleegd op 12 september 2015.
 
[KONI12] Koning, E., Bikker, H. Effect creëren in de boardroom, de IT-Auditor, https://www.deitauditor.nl/wp-content/uploads/2014/07/ITA-12-03-Effect.pdf, nummer 3, 2012.
 
[NVB15] Fraude. Nederlandse Vereniging van Banken, 6 oktober 2015. https://www.nvb.nl/thema-s/veiligheid-fraude/166/fraude.html, geraadpleegd op 7 oktober 2015.

Drs. ir. M.P.P. (Marcel) Baveco RE CISA CISSP CRISC en A.E. (Arne) de Boer

Marcel Baveco (1962) is sinds 2006 werkzaam als Toezichthouder Specialist bij De Nederlandsche Bank. Zijn aandachtsgebied is de beheersing van IT-risico’s bij financiële instellingen. Daarvoor is hij in diverse sectoren van het bedrijfsleven werkzaam geweest op het raakvlak van Business & IT. Momenteel is hij lid van de NOREA Werkgroep Cybersecurity. Arne de Boer (1980) begon zijn carrière bij Capgemini (2004). Daar vervulde hij verschillende functies, zoals product consultant, business analist en test coördinator. Daarna stapte hij over naar De Nederlandsche Bank. Na te hebben gewerkt bij de divisies Betalingsverkeer en Financiële Markten, werkt hij nu bij Toezicht, afdeling IT-Risico’s. Hij is daarnaast actief voor NOREA en werkt aan een promotieonderzoek op het gebied van cyber resilience en financiële stabiliteit.