The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Geef met uitbesteden niet de verantwoordelijkheid uit handen, blijf zelf in control
DNB benadrukt dat de instelling eindverantwoordelijk blijft voor de door dienstverleners uitgevoerde activiteiten. Dit geldt zeker ook voor het borgen van de adequate werking van maatregelen ten aanzien van informatiebeveiliging en cybersecurity. De laatste jaren is ontegenzeggelijk de trend gaande dat uitbesteding van kritieke functies of activiteiten steeds verder toeneemt binnen de financi.le sector. Daarmee wordt dus de afhankelijkheid van dienstverleners in de keten steeds groter en is de noodzaak voor samenwerking van dienstverleners en onderaannemers in de keten groter geworden.
DNB roept instellingen op zich bewust te zijn van mogelijke concentratierisico’s. Dit kan onder andere door kritische vragen te stellen aan dienstverleners ten aanzien van bijvoorbeeld de impact van calamiteiten (Business Continuity Management) op de dienstverlening. Daarnaast ook door het ontwikkelen van initiatieven zoals een pooled audit (zie kader).
Tegelijkertijd brengt het gebruik maken van dezelfde dienstverlener door meerdere instellingen ook kansen met zich mee. Zo worden instellingen vanuit hun gezamenlijk belang in staat gesteld om de krachten te bundelen richting de dienstverlener. Bijvoorbeeld in de vorm van het uitvoeren van gezamenlijke beveiligingstests en -audits, alsook het afdwingen van de implementatie van ‘sound industry practises’ op het gebied van informatiebeveiliging en cybersecurity. Ook hier roept DNB op dat instellingen meer gezamenlijk optrekken om minimale verwachtingen ten aanzien van informatiebeveiligingsmaatregelen bij diestverleners (inclusief onderuitbestedingspartijen) overeen te komen.
Uit DNB onderzoek komen naast bovenstaande de volgende drie andere risico’s naar voren:
▪ Niet alle instellingen hebben hun kritieke of belangrijke uitbestedingsketens voldoende in kaart gebracht. DNB geeft in haar Good Practice IB aan dat DNB er op let dat de instelling een proces heeft ingericht dat ten minste het volgende waarborgt dat zij de IT-ketens rondom kritische processen scherp in beeld hebben, zicht hebben op relevante onder-uitbesteding en adequate contractuele afspraken maakt met haar dienstverleners.
▪ Het risico bestaat dat instellingen ten onrechte zekerheid ontlenen aan assurance rapportages. Het gebruik van assurance rapportages door instellingen is voor verbetering vatbaar. Uit de onderzoeken komt naar voren dat steeds meer dienstverleners assurance rapportages kunnen overleggen over de kwaliteit van hun dienstverlening en de eigen interne beheersing. Zie daartoe ook figuur 5 beheersingsmaatregel #16.5, monitoring. Het gebruik van deze rapporten is
echter voor verbetering vatbaar. Het blijkt dat instellingen nog onvoldoende zelf vaststellen of het soort assurance dat wordt verleend, gepast is voor de uitbestede activiteiten (werking geeft meer zekerheid dan alleen opzet en bestaan). Ook blijkt dat de scope/beheersingsmaatregelen van de rapportage beter kunnen aansluiten bij de reikwijdte/maatregelen van de uitbestede
dienstverlening. Daarnaast kunnen instellingen meer expliciet maken op welke wijze gebruikersoverwegingen uit de assurance rapportage in de eigen organisatie zijn ingebed en wat de impact is van eventuele bevindingen uit de assurance rapportage voor de eigen organisatie van de instelling.
▪ Monitoring van informatiebeveiligingsmaatregelen op operationeel niveau bij ketenpartners is beperkt. Zie daartoe ook figuur 5 en de beheersingsmaatregelen 16.1-16.5 uit de Good practice IB. Voorbeelden hierbij zijn dat gegevens van instellingen en haar klanten vaak niet meer opgeslagen staan op de eigen ITinfrastructuur, maar op de systemen van ketenpartners en cloudproviders. Duidelijke afspraken en accurate verantwoordingsinformatie zijn daarom
randvoorwaardelijk voor instellingen om afdoende controle en monitoring
op informatiebeveiligings- en cybersecurity-maatregelen bij dienstverleners
uit te oefenen.
Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
