Computers, IT en technologie zijn niet meer uit onze maatschappij weg te denken. Wanneer systemen uitvallen, is de impact dan ook groot; data kunnen verloren gaan, kosten lopen op en beveiligingsprocessen liggen stil. Voor de continuïteit van uw organisatie is informatiebeveiliging van cruciaal belang. In dit blog gaan we in op de DNB Good Practice Informatiebeveiliging en hoe u deze tool kunt inzetten voor het versterken van uw informatiebeveiliging.
Wat is de DNB Good Practice Informatiebeveiliging?
De Nederlandsche Bank (DNB) houdt toezicht op financiële instellingen in Nederland. Ze beoordelen onder andere of de instellingen voldoen aan de wettelijke maatregelen rondom informatiebeveiliging. Om hier structuur aan te geven, is de DNB Good Practice Informatiebeveiliging geïntroduceerd.
De DNB Good Practice Informatiebeveiliging is een set best practices en voorbeelden die zijn ontworpen om instellingen te ondersteunen bij het inrichten en versterken van hun informatiebeveiliging. En kunnen dus ook buiten de financiële sector heel bruikbaar zijn.
De 58 beheersingsmaatregelen van de DNB Good Practice Informatiebeveiliging
De DNB Good Practice Informatiebeveiliging is gebaseerd op 58 handvatten, de zogenaamde beheersingsmaatregelen (controls). Deze maatregelen omvatten een breed scala aan aspecten van informatiebeveiliging, zoals toegangscontrole, bewustwording, encryptie, monitoring en meer.
Er wordt niet alleen naar technologische oplossingen gekeken, maar ook naar menselijk handelen, inrichting van processen en faciliteiten.
De 9 elementen van de DNB Good Practice Informatiebeveiliging
Financiële instellingen dienen hun informatiebeveiliging periodiek en aantoonbaar te evalueren als onderdeel van hun risk management proces. Tijdens dit proces wordt spelen de negen elementen van de DNB Good Practice Informatiebeveiliging een belangrijke rol. Hieronder zijn deze 9 elementen nader toegelicht.
Governance
Governance (Bestuur) gaat over het beleid, de strategie en de operationele sturing omtrent informatiebeveiliging en cybersecurity. Hierbij wordt gekeken hoe de processen, afspraken en taken zijn ingericht en worden gecontroleerd. Bijvoorbeeld door middel van periodieke evaluaties, incident meldingen en het toezicht van het bestuur. Er wordt hierbij rekening gehouden met de aard, omvang en complexiteit van de instelling.
Organisation
Hierbij heeft DNB het over het documenteren en formaliseren van de rollen en verantwoordelijkheden voor de risicobeheer- en informatiebeveiligingsfunctie. Om het informatiebeveiligingsbeleid uit te voeren, moeten taken, verantwoordelijkheden en bevoegdheden door de gehele organisatie belegd worden. Dit element kijkt onder andere naar gedragsregels, communicatie richting medewerkers en toegangsrechten.
People
Voor een sterke informatiebeveiliging, is het belangrijk dat medewerkers, externe krachten en dienstverleners het informatiebeveiligingsbeleid kennen, begrijpen en daar naar handelen. Ze moeten weten wat er van hen verwacht wordt en hoe ze hun werk veilig kunnen uitvoeren. De DNB Good Practice Informatiebeveiliging geeft best practices zodat instellingen voldoende investeren om personeel met kennis aan te trekken en personeel te trainen.
Processes
Processen zijn essentieel voor de continuïteit van een bedrijf en noodzakelijk voor de beheersing van informatie- en cyberrisico’s. In dit element heeft de DNB Good Practice Informatiebeveiliging aandacht voor de processen die zijn ingericht omtrent IT-beveiliging en informatievoorziening. De 22 beheersingsmaatregelen, geven handvatten om een IT-security beleid op te stellen, uit te voeren en de kwaliteit van de IT-beheerprocessen te waarborgen.
Technology
Met de negen beheersingsmaatregelen onder dit element, krijgen de thema’s informatiebeveiliging en cybersecurity vorm. Het doel van dit element is om de beschikbaarheid, exclusiviteit en integriteit van de informatie te waarborgen. Zo geeft dit element invulling aan het onderhoud van de IT-infrastructuur en applicaties. Onderhoud moet ervoor zorgen dat de systemen goed blijven werken en kunnen reageren op de nieuwste cyberbedreigingen.
Facilities
Facilities verwijst naar de fysieke beveiliging van locaties waar gevoelige data worden opgeslagen en verwerkt. Het omvat maatregelen zoals toegangscontrole tot kantoorgebouwen en datacenters. Deze maatregelen beperken de fysieke toegang en voorkomen dat onbevoegden deze kunnen betreden. Een goede beveiliging is van essentieel belang voor een goede informatiebeveiliging.
Outsourcing
Steeds meer instellingen kiezen ervoor om bepaalde werkzaamheden uit te besteden aan externe partijen. Denk hierbij aan ICT, vermogensbeheer, en financiële administratie. Dit brengt vele voordelen, maar ook informatiebeveiligingsrisico’s waar op geanticipeerd en geacteerd moet worden. In dit element kijkt DNB Good Practice Informatiebeveiliging onder andere naar de monitoring van Service Level Agreements of Achievements (SLA’s) en hoe externe partijen gecontroleerd worden.
Testing
Technologie en cyberbedreigingen ontwikkelingen zich constant, wat vandaag nieuw is, is morgen ouderwets. Daarom is het belangrijk om de informatiebeveiliging regelmatig te testen met een zogenaamde penetratietest of ethical hacking. De DNB Good Practice Informatiebeveiliging geeft voorbeelden welke testen worden gebruikt, hoe deze worden uitgevoerd en wat er met de resultaten gedaan wordt.
Risk management cycle
De Risk Management Cycle is waar alle beheersmaatregelen en elementen als het ware samenkomen. DNB verwacht daarom voor dit element ook een hoger volwassenheidsniveau dan voor de andere elementen/ beheersingsmaatregelen. Dit onderdeel bestaat uit het implementeren van het IT Risk management framework, periodieke Risk Assessments uitvoeren en de risico’s opvolgen via het Risk Response actieplan.
Waarom is de DNB Good Practice Informatiebeveiliging belangrijk voor u?
Als financiële instelling wilt u niet alleen voldoen aan de regelgeving van DNB, maar ook de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens waarborgen. Het implementeren van de DNB Good Practice Informatiebeveiliging kan u helpen om:
Reputatieschade te voorkomen: Datalekken en beveiligingsincidenten kunnen reputatieschade en verlies van klantenvertrouwen veroorzaken. Het naleven van deze maatregelen kan dit helpen voorkomen.
Boetes en sancties te vermijden: Niet voldoen aan de DNB-richtlijnen kan leiden tot financiële boetes en andere juridische gevolgen.
Klantvertrouwen opbouwen: Klanten vertrouwen op financiële instellingen om hun gegevens veilig te bewaren. Het implementeren van sterke beveiligingsmaatregelen kan dit vertrouwen versterken.
Bescherm uw informatie met Audit & Risk Solutions
De DNB Good Practice Informatiebeveiliging biedt een gedetailleerd kader om financiële instellingen te helpen hun informatiebeveiliging te versterken. Toch kan het lastig zijn om deze maatregelen te begrijpen en te implementeren. Audit & Risk Solutions kan u hierbij helpen. Neem vandaag nog contact met ons op voor een audit om uw informatiebeveiliging te controleren en te versterken. Uw gegevens zijn het waard!
Audit & Risk Solutions biedt een cursus aan waarin u een introductie krijgt in de belangrijkste begrippen en onderwerpen van het vakgebied informatiebeveiliging en cybersecurity. Bekijk de cursuspagina voor meer informatie