Zorg dat de IT security in jouw keten op orde is
Financiële organisaties zoals verzekeraars, banken, pensioenfondsen en beleggingsinstellingen ontkomen er niet meer aan om toe te zien op security in de keten. Deels omdat toezichthouders AFM en DNB dit eisen, maar ook omdat het maatschappelijke debat hierom vraagt. Het is tegenwoordig echt ondenkbaar dat je data van privépersonen verwerkt zonder streng toe te zien op IT security. Maar hoe weet je zeker dat je kunt vertrouwen op IT security in de keten? Partner IT audit en advies Steven Verkaart geeft tips.
In de praktijk zien we dat financiële instellingen meer dan eens (delen van) processen laten uitvoeren door derden. In veel gevallen gaat het hier om vertrouwelijke data. Zeker sinds de komst van de AVG zijn we er allemaal van doordrongen dat jij als opdrachtgever eindverantwoordelijk blijft voor die gegevens. Om een voorbeeld te noemen; een van onze klanten is een grote verzekeraar, zij werken door heel Nederland met volmachtnemers die verzekeringen voor hen afsluiten én dus persoonsgegevens verwerken. Als Hoek en Blok.IT voeren we hier de compliance IT audits uit. Zo kan de verzekeraar erop vertrouwen dat de volmachtpartijen hun zaakjes helemaal op orde hebben en dat de gegevens van klanten veilig zijn. Niemand zit immers te wachten op een groot datalek, zeker niet als dit veroorzaakt wordt door een ketenpartner.
Je vraagt je misschien af waarom een organisatie ervoor kiest om de interne IT audits uit te besteden aan een externe partij. Een logische vraag die ik graag beantwoord door de drie veelvoorkomende redenen te geven.
1. Kies voor specialistische kennis
Veel financiële spelers hebben een eigen compliance afdeling en het lijkt dan voor de hand te liggen om zelf de interne IT audits uit te voeren. Toch blijkt dat het voor compliance afdelingen vaak lastig is om de razendsnelle ontwikkelingen te kunnen volgen. Voor een compliance medewerker die natuurlijk veel meer compliance onderdelen in zijn takenpakket heeft, is het gewoonweg ondoenlijk om alle nieuwe IT security trends bij te benen. Dat is voor een externe partij als Hoek en Blok.IT totaal anders. Wij zijn dagelijks met de materie bezig en hebben dus de specialistische kennis in huis die nodig is om IT audits uit te voeren.
2. Zorg voor schaalbaarheid
Een tweede reden om de interne IT audits uit te besteden, valt samen met de schaalbaarheid van een derde partij. In het eerder genoemde voorbeeld van de verzekeraar hoeft er niet dagelijks een audit uitgevoerd te worden. Een specialistische IT-adviseur hiervoor in dienst nemen voert voor veel financiële instellingen dan ook te ver. Bij een derde partij maakt dat niet uit. Je huurt de dienstverlening in op het moment dat het nodig is en je hebt altijd de zekerheid dat bij Hoek en Blok.IT voldoende capaciteit beschikbaar is. Wel zo efficiënt en kostentechnisch een stuk interessanter.
3. Onafhankelijkheid staat voorop
Een laatste argument om een derde partij in te schakelen is de onafhankelijkheid. Een externe partner kijkt net even anders naar de keten dan jij doet en kan dan ook een belangrijke speler zijn bij het in kaart brengen van risico’s. Als financiële instelling moet jij namelijk niet alleen kijken naar de partij waaraan jij dienstverlening uitbesteedt, je moet ook verder in de keten zeker weten dat gegevens goed verwerkt worden. Om weer even terug te gaan naar het voorbeeld van de verzekeraar: als één van de volmachtpartijen een marketingbureau inschakelt voor het maken van afspraken, moet je dus ook zeker weten dat dit marketingbureau veilig omgaat met de klantdata. Dat dit niet altijd even vlekkeloos verloopt, bewijst het zeer recente datalek bij VodafoneZiggo. Een extra reden om dus vandaag nog aan de slag te gaan met interne IT audits.
Kortom, het is voor organisaties steeds belangrijker om toe te zien op de kwaliteit van de IT-beveiliging bij partners. Wil jij zeker weten dat de vertrouwelijke data die jij uit handen geeft veilig is? Kies dan voor onafhankelijke auditors mét de juiste specialistische kennis in huis die je in kunt zetten op een voor jou gewenst moment. Zo kun je erop vertrouwen dat je voldoet aan je compliance verantwoordelijkheid. Lees meer over onze dienstverlening en neem vrijblijvend contact met ons op.
Kies voor de aanpak van Hoek en Blok IT
Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC Assurance rapportages af om beheersing voor jouw klanten aan te tonen.
Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.
Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.
Meer informatie? Vul het formulier in en we nemen contact met je op.