DNB biedt sector informatiebeveiligings-monitor

Nieuwsbericht
Datum 26 maart 2019

De monitor van DNB beschrijft belangrijke waarnemingen voor informatiebeveiliging.

IT systemen

DNB heeft in 2018 verschillende onderzoeken uitgevoerd op het gebied van informatiebeveiliging. Daarnaast hebben instellingen bij DNB meldingen gedaan van cyberincidenten en is de weerbaarheid van instellingen op het gebied van cybersecurity extern getest in het kader van het TIBER-programma. DNB heeft op basis hiervan een informatiebeveiligingsmonitor opgesteld. Deze monitor biedt onder andere de belangrijkste waarnemingen vanuit het DNB-onderzoek naar informatiebeveiliging in 2018.

Waarnemingen

Belangrijke waarnemingen in de informatiebeveiligingsmonitor zijn:

  • Er wordt niet continu expliciet aandacht gegeven aan analyses van cybersecuritydreigingen en -maatregelen.
  • De aandacht voor het op niveau brengen en houden van informatiebeveiligingsmaatregelen schiet soms tekort.
  • Er is niet altijd inzicht in de risico’s en de effectiviteit van informatiebeveiligingsmaatregelen in de uitbestedingsketen.
  • Er komen soms ongewenste combinaties voor in toegangsrechten van applicaties en processen (toxic combinations).

Hier kunt u de informatiebeveiligingsmonitor lezen.

Seminar

Op 12 februari 2019 organiseerde DNB een seminar over informatiebeveiliging voor bestuurders, CIO’s en securityspecialisten van banken, verzekeraars en pensioenfondsen. De rode draad van de dag werd door directielid Else Bos als volgt samengevat:

  • We zijn nooit klaar. Daarom is het zo belangrijk om te blijven beoordelen of wat we gisteren hebben bedacht, vandaag goed wordt toegepast, en morgen ook nog effectief is.
  • Het DNB-toetsingsraamwerk voor informatiebeveiliging vormt de basis (‘het essentiële fundament’). Maar dit moet geen papieren werkelijkheid worden. Om effectief te zijn, moet de instelling de weerbaarheid testen. TIBER is hierbij een mogelijk instrument.
  • De externe dreiging voor instellingen is groot. Maar kijk ook naar belangrijke schakels in de keten, zoals service providers die effect hebben op de instelling. De totale beveiliging is immers zo sterk als de zwakste schakel. Samenwerking tussen de instellingen alsmede in de keten is essentieel.

Vervolgstappen

In het tweede kwartaal van 2019 informeert DNB de sector over het geactualiseerde DNB-toetsingskader Informatiebeveiliging/Cybersecurity dat in samenwerking met de sector is opgesteld. In het geactualiseerde toetsingskader is het onderwerp cybersecurity meer expliciet geadresseerd. Verder biedt het nieuwe toetsingskader (geanonimiseerde) voorbeelden van effectieve beheersmaatregelen die DNB in haar toezicht ziet.

Meer informatie

Relevante presentaties zijn beschikbaar via deze links:

> Terug naar de Nieuwsbrief