Edward Roozenburg: Het gaat goed met IT risk, maar niet goed genoeg
Edward Roozenburg: Het gaat goed met IT risk, maar niet goed genoeg
Door Edward Roozenburg, Service Line Lead IT Risk en Informatiebeveiliging, Probability & Partners
De Nederlandsche Bank heeft onlangs op haar website de resultaten van de jaarlijkse uitvraag over operationele en IT-risico’s in de pensioensector gepubliceerd. De publicatie heeft de titel ‘Beheersen van operationele risico’s in de pensioensector behoeft aandacht’. Een alarmerende kop die leest als een duidelijke oproep tot verbetering van IT- en operationele risico’s.
Wie echter de inhoud van het stuk leest, ziet een genuanceerder beeld. In mijn beleving zelfs een positiever beeld dan de titel suggereert. Er lijkt sprake van een spanning tussen de stevigheid van de boodschap in de titel en de feitelijke bevindingen waarop die boodschap is gebaseerd. Hoe kan deze alarmerende toon met de niet al te schokkende bevindingen worden geïnterpreteerd?
Bevindingen uitvraag DNB
DNB onderbouwt haar oproep tot aandacht met een aantal concrete bevindingen uit de uitvraag. Samengevat gaat het om de volgende conclusies:
- Volgens 20% van de respondenten behoeft het risicomanagementproces rondom informatiebeveiliging verdere verbetering.
- Niet alle fondsen en uitvoeringsorganisaties kunnen aantonen dat hun ICT-risicomanagementprocessen daadwerkelijk bijdragen aan een betere beheersing van ICT- en cyberrisico’s.
- Een aantal respondenten heeft geen risicotolerantiegrenzen gedefinieerd voor ICT-uitbesteding.
- De volwassenheid van fundamentele beheersmaatregelen is niet in de volle breedte aantoonbaar, waarbij DNB specifiek wijst op business-continuïteit, configuratiemanagement en security testing.
- 14% van de respondenten geeft aan afhankelijk te zijn van legacy-systemen die niet langer door leveranciers worden ondersteund.
- 14% van de respondenten had meer dan tien dagen nodig om kritieke patches te installeren.
- Een groot aantal instellingen heeft onvoldoende inzicht en controle op kritieke uitbestedingsketens, voorafgaande risicoanalyses, meetbare afspraken over informatiebeveiliging en het toetsen van business-continuïteitsplannen bij derde partijen ontbreken vaak.
Wie deze bevindingen letterlijk neemt, kan zich moeilijk aan de indruk onttrekken dat het — op hoofdlijnen — eigenlijk best goed gaat met de beheersing van IT-risico’s in de sector. De meeste afwijkingen gaan over een minderheid van de respondenten. Het gaat om afwijkingen bij 14% tot 20% van de respondenten en er wordt gewerkt met duidingen als ‘niet alle fondsen kunnen aantonen dat…’, ‘een aantal’, en ‘de volwassenheid is niet in de volle breedte aantoonbaar’. Met andere woorden, bij de meeste instellingen zijn de meeste maatregelen voldoende geïmplementeerd. Alleen op het punt van de uitbestedingsketen raken de problemen ‘een groot aantal instellingen’.
Wat zou de reden zijn dat DNB, ondanks dit relatief gunstige beeld, toch kiest voor een titel en toonzetting die nadrukkelijk waarschuwen?
Ketenrisico als achilleshiel
Met de komst van de Digital Operational Resilience Act (DORA) is ook het belang van de keten verder geformaliseerd in de wetgeving. Instellingen moeten aantoonbaar maken dat ketenafhankelijkheden worden beheerst en dat verstoringen — ook bij derde partijen — kunnen worden opgevangen.
Als we vanuit het licht van de keten kijken naar de bevindingen hierboven, krijgt een percentage van 14% van de respondenten die hun patches niet binnen tien dagen installeren een zwaardere betekenis. Hoewel 86% van de sector blijkbaar de kritische patches binnen tien dagen installeert, kan een vertraagde installatie van de patches bij één belangrijke ketenpartner in de sector ertoe leiden dat een groot deel van de fondsen wordt getroffen die met deze ketenpartner te maken hebben. Een enkele afwijking bij één partij, kan de hele sector verstoren. In een traditioneel risicokader, waarin risico’s primair per individuele organisatie worden beoordeeld, zou een afwijking bij een andere partij nauwelijks relevant zijn. Maar juist doordat er ketenafhankelijkheid bestaat en verstoringen zich razendsnel en sectoroverstijgend kunnen verspreiden, moeten zaken in de hele sector op orde zijn.
De scherpste bevinding blijft dus die over uitbesteding. Pensioenfondsen zijn diep verweven geraakt met IT-dienstverleners, cloudproviders en softwareleveranciers. Toch blijkt dat risicoanalyses vooraf vaak onvolledig zijn, beveiligingsafspraken onvoldoende meetbaar en continuïteitsplannen van derde partijen zelden worden getest.
Dit is geen detail, maar een fundamenteel governance-vraagstuk. Wie verantwoordelijk blijft voor risico’s die feitelijk buiten de eigen organisatie liggen, moet ook aantoonbaar grip hebben op die risico’s. Juist daar schuurt het nog.
‘Best goed’ is niet goed genoeg
Hoewel de IT-beheersing bij veel instellingen in de sector best goed gaat, is dit niet goed genoeg. Niet de meerderheid van de instellingen moet zijn zaakjes op orde hebben, maar de hele sector. En vooral de partijen die een sleutelrol vervullen in de keten. De alarmerende titel is daarom waarschijnlijk een bewuste keuze. DNB is blijkbaar van mening dat als de vereiste maatregelen bij het grootste deel van de sector wel in werking zijn, dit niet langer voldoende is in een wereld van de ketens.
Opvallend is overigens dat in de publicatie nog geen expliciete conclusies worden getrokken over de toenemende afhankelijkheid van met name Amerikaanse technologie- en cloudleveranciers. In het huidige geopolitieke klimaat is dat een onderwerp dat zich nadrukkelijk aandient. Ik moedig pensioenfondsbestuurders aan die discussie wel te voeren.
Voor nu is de boodschap helder. Want het gaat best goed. Maar dat is precies wat DNB niet bedoelt. In het huidige tijdsgewricht is ‘best goed’ simpelweg niet goed genoeg meer.
Deel dit bericht
Gerelateerde berichten
-
Lees meer over "Adam Barszczowski: Cyberrisico’s bij PUO’s – inzicht voor bestuurders"Adam Barszczowski: Cyberrisico’s bij PUO’s – inzicht voor bestuurders
-
Lees meer over "Dick Kamp: Risicomanagement en de end-of-history illusion"Dick Kamp: Risicomanagement en de end-of-history illusion
-
Lees meer over "Aon: Dekkingsgraden pensioenfondsen stijgen ook in januari licht"Aon: Dekkingsgraden pensioenfondsen stijgen ook in januari licht
-
Lees meer over "Aon: Stijging dekkingsgraden pensioenfondsen houdt aan"Aon: Stijging dekkingsgraden pensioenfondsen houdt aan
-
Lees meer over "Aon: Verder herstel dekkingsgraden pensioenfondsen in juli"Aon: Verder herstel dekkingsgraden pensioenfondsen in juli
-
Lees meer over "DNB: Dekkingsgraad pensioensector toegenomen in 2e kwartaal"
DNB: Dekkingsgraad pensioensector toegenomen in 2e kwartaal
-
Lees meer over "DNB: Rondetafelgesprek met pensioenfondsen over ESG-risicoanalyse"DNB: Rondetafelgesprek met pensioenfondsen over ESG-risicoanalyse
-
Lees meer over "Aon: Verder herstel dekkingsgraden pensioenfondsen in juni"
Aon: Verder herstel dekkingsgraden pensioenfondsen in juni
-
Lees meer over "Han Dieperink: De prijs van angst"Han Dieperink: De prijs van angst
-
Lees meer over "Aon: Dekkingsgraad pensioenfondsen stabiel ondanks dreigende handelsoorlog"
Aon: Dekkingsgraad pensioenfondsen stabiel ondanks dreigende handelsoorlog