Zwakste schakel bepaalt niveau informatiebeveiliging

Nieuwsbericht
Datum 12 december 2011

Alle polisgegevens van een verzekeraar gehackt. Het zou een nachtmerrie zijn voor de branche. Zo’n gebeurtenis vaagt in één keer al het vertrouwen weg. Plus dat het bijzonder veel inspanning zou kosten om dat vertrouwen daarna weer terug te winnen. Het is dan ook een van de redenen waarom verzekeraars hun informatiebeveiliging op orde moeten hebben. DNB helpt verzekeraars op weg met een praktisch toetsingskader.

Ruimte voor verbetering
DNB heeft geconstateerd dat het informatieveiligheidsniveau bij verzekeraars gemiddeld iets lager ligt dan in de banksector. Verzekeraars regelen wel steeds meer zaken via internet, maar de banksector heeft al langer ervaring met online dienstverlening. Met name het kunnen aantonen dat de aanwezige maatregelen effectief zijn, is bij verzekeraars voor verbetering vatbaar. Voorwaarde om de effectiviteit te kunnen aantonen, is om incidenten op een gestructureerde manier bij te houden.

Toetsingskader
Om verzekeraars te helpen bij de verbetering van het veiligheidsbeleid heeft DNB het Toetsingskader Security Management opgesteld. Dit document (zie link hieronder) bevat onder meer vragenlijsten waarmee een verzekeraar zijn veiligheidsbeleid en -procedures kan toetsen. Verzekeraars die met dit toetsingskader hebben gewerkt, vinden het een bruikbaar hulpmiddel dat goed aansluit op de praktijk.

Integrale aanpak
Informatiebeveiliging heeft niet alleen betrekking op de IT-systemen, maar vraagt om een integrale aanpak. De zwakste schakel kan inspanningen elders teniet doen. Een goed beveiligde IT-omgeving heeft bijvoorbeeld weinig zin als medewerkers onzorgvuldig omgaan met laptops, usb-sticks en smartphones of als de kantoren slecht beveiligd zijn.

Aandacht van bestuurders
Het veiligheidsbeleid vraagt daarnaast continu aandacht van de bestuurders. Zo is het van belang het geformuleerde beleid periodiek te herijken. Ook ingrijpende gebeurtenissen als een fusie of reorganisatie zijn een uitgelezen moment om het beleid opnieuw tegen het licht te houden.

Goed voorbeeld
De directie kan zorgen dat het onderwerp bij de medewerkers blijft leven. Door het geven van het goede voorbeeld en door informatiebeveiliging regelmatig te bespreken. Ook permanente educatie speelt daarbij een rol. Bijvoorbeeld door medewerkers periodiek online vragen te laten beantwoorden over veiligheidsonderwerpen.

Meer informatie
Definitief Toetsingskader Security Management
Toetsingskader Informatiebeveiliging voor DNB thema-onderzoek 2010/2011
Circulaire Info beveiliging