Symposium Uitbesteding & Cloud computing De Nederlandsche Bank 1 Amsterdam, 14 juni 2012
Agenda symposium uitbesteding & cloud computing 13.30-14.00 Ontvangst met koffie 14.00-14.15 Welkomstwoord door Evert Koning (DNB) 14.15-14.30 Resultaten inventarisatie uitbesteding 2011 door Ingrid Talsma (DNB) 14.30-14.45 Toelichting uitbesteding door Pim Berger (Schuberg Philis) 14.45-15.00 Toelichting uitbesteding door Gerhold Runneboom (IBM) 15.00-15.15 Toelichting uitbesteding door Harry Wijbenga (Atos) 15.15 15.45 Discussie over eisen aan uitbesteding olv Evert Koning (DNB) 15.45-16.15 Break 16.15-16.30 Toelichting cloud computing door Miranda Chilvers (DNB) 16.30-17.15 Panel cloud computing met o.a. Ton van Gessel (Microsoft), Lien Ceulemans (Salesforce), Brigette Beugelaar (KPMG), Aart van der Vlist (Nationale Nederlanden), Arjen Huisman (Van Lanschot) en Evert Koning (DNB), olv Michiel Boshuizen 17.15-18.00 Afsluitende borrel 2
3 Toezichtcyclus
4 Beoordeling prudentiële en integriteitsrisico s in drie scores Macro & sectorale risico s Bedrijfsmodel en strategie Top-down werkwijze Gedrag, cultuur en governance Infrastructuur en IT Inherente Risico Score Risicobeheer Risicobeheer Score Risicopositie Risicopositie Score
5 Mogelijke beïnvloedingsstrategieën
Symposium Uitbesteding & Cloud computing Inventarisatie Uitbesteding Resultaten Ingrid Talsma 6 Amsterdam, 14 juni 2012
Aanleiding Uitkomsten Cybercrime project 2010: onvoldoende inzicht in risicobeheersing bij IT serviceproviders, alsook onvoldoende inzicht in de mate waarin financiële ondernemingen afhankelijk zijn van deze providers Signalen vanuit de toezichtpraktijk dat er onvoldoende sturing is op uitbestede dienstverlening door financiële ondernemingen. Signalen vanuit de externe (internationale) omgeving inzake het toegenomen belang van uitbestedingspartijen binnen het financiële stelsel 7
Doel en uitvoering Inzicht verkrijgen of en in welke mate financiële ondernemingen afhankelijk zijn van IT service providers en of ze grip houden op de door hen uitbestede IT dienstverlening. Zijn ze afhankelijk van door de provider getroffen maatregelen? Zijn ze in control? Uitvraag (questionnaire) bij top 25 financiële ondernemingen vanuit IT perspectief. Research van trends in de markt 8
Hypothese Financiële ondernemingen vergewissen zich in onvoldoende mate van de continue kwaliteit van door de IT serviceprovider getroffen beheersmaatregelen
Key messages 1. Het belang van de IT service providers binnen het financiële stelsel is groot en neemt zeker niet af 2. Het concentratierisico bij de IT service providers versterkt dit belang en daarmee de afhankelijkheid van de financiële ondernemingen 3. Afspraken over beheersmaatregelen met IT service providers zijn onvoldoende vastgelegd 4. Informatie over het naleven van beheersmaatregelen wordt onvoldoende opgevraagd en beoordeeld 10
Belang IT serviceprovider binnen financieel stelsel is groot (1) Alle top 25 financiële ondernemingen besteden uit Elke onderneming heeft IT ondersteunend aan een bedrijfskritisch ( wezenlijk ) proces uitbesteed Belang is groot en neemt zeker niet af Weinig wisseling van provider (hercontractering) Risico: Discontinuïteit provider kan leiden tot instabiliteit financieel stelsel. Crisis heeft geleerd dat serviceprovders financiële problemen kennen
Concentratie risico versterkt belang & afhankelijkheid (2) Concentratiegraad binnen vanuit IT perspectief meest belangrijke ondernemingen (27) Providers ondersteunen bedrijfs kritische processen voor meer ondernemingen 60% van de geïnventariseerde contractwaarde ondergebracht bij top 6 (10%) 65% van ondernemingen heeft een top 6 provider gecontracteerd
Afspraken over beheersmaatregelen onvoldoende vastgelegd (3) Risico (toezichtspraktijk): Medewerkers service provider hebben ongeautoriseerde toegang tot vertrouwelijke info Risico (toezichtspraktijk): Provider werkt niet mee aan ordentelijke overdracht van kennis, activiteiten, middelen 45% heeft geen expliciete afspraken over het toepassen van het eigen informatiebeveiligingsbeleid 90% heeft formeel right to audit. Slechts 40% van de ondernemingen maakt hiervan gebruik 90% heeft exitbepaling in contract, maar 25% van de ondernemingen heeft een uitgewerkt exitplan
Informatie over naleven beheersmaatregelen onvoldoende opgevraagd en beoordeeld (4) Risico: onvoldoende sturing doordat doelstellingen op strategisch niveau onvoldoende worden door vertaald naar het tactische en operationele (overleg)niveau Risico: onvoldoende assurance door te kort schieten (SAS70, ISA3402) qua diepgang en scope voor de specifieke dienstverlening aan de onderneming De helft van ondernemingenlaat personeel bij providers screenen, slechts 20% heeft de beschikking over dedicated personeel. Een klein deel geeft aan op strategisch niveau doelstellingen af te stemmen. Het operationeel overleg is veelal reactief van aard. Ondernemingen steunen voor een groot gedeelte op generieke (assurance)verklaringen, zoals SAS70 / ISAE 3402. Slechts bij een klein deel wordt o.b.v. eigen onderzoek de kwaliteit van de getroffen maatregelen getoetst.
DNB 15 Ingrid Talsma
Symposium Uitbesteding & Cloud computing Discussie olv Evert Koning 16 Amsterdam, 14 juni 2012
17 Amsterdam, 14 juni 2012 Symposium Uitbesteding & Cloud computing
Symposium Uitbesteding & Cloud computing Cloud computing Miranda Chilvers 18 Amsterdam, 14 juni 2012
19 Cloud computing
Cloud computing Cloud computing uitbesteding dus dezelfde wettelijke vereisten voor cloud computing als uitbesteding risico s dienen aantoonbaar gekend en beheerst te worden en, uitbesteding aan derden mag geen belemmering vormen voor toezicht http://www.toezicht.dnb.nl/binaries/cloud computing_tcm50-224828.pdf 20
Aandachtpunten bij cloud computing Rekening dient gehouden te worden met: Waar bevindt mijn data zich? Wie hebben er toegang tot mijn data? Hoe weet ik zeker dat dat wat afgesproken is ook uitgevoerd wordt? Exit bij de cloud provider gaat alle data mee? Onderuitbesteding door de cloud provider formeel right to audit? 21
Cloud computing / Internationale aspect Internationaal overleg over cloud computing Circulaire over cloud computing APRA, MAS, DNB en Canada alle landen hetzelfde standpunt mbt cloud computing aantal landen een strikter regime 22
23 Stellingen Cloud computing
Cloud computing stelling 1 Cloud computing is nieuwe wijn in oude zakken 24
Cloud computing stelling 2 Voor cloud computing moet nadere regelgeving worden opgesteld 25
Cloud computing stelling 3 Iedere financiële instelling houdt bij zijn strategische plannen zichtbaar rekening met cloud computing 26
Cloud computing stelling 4 Safe Harbour = wij van WC-eend adviseren WC-eend 27
Cloud computing stelling 5 (cloud) service providers moeten onder toezicht van DNB vallen 28
Bedankt voor uw aanwezigheid 29 e.koning@dnb.nl i.j.talsma@dnb.nl m.j.chilvers-van.der.kruk@dnb.nl