‘Informatiebeveiliging is één van de belangrijkste operationele risico’s voor pensioenfondsen’

In gesprek met Ingrid Talsma en Martin Luijt van De Nederlandsche Bank
Type: Onderwijs
Publicatiedatum: 5-9-2023

De pensioensector is een domein waarvan cybercriminelen zien dat er wat te halen valt. Gegevens van deelnemers zijn geld waard. Cyberaanvallen worden geavanceerder en het aantal neemt toe. De ontwrichtende impact van cyberaanvallen wordt steeds groter en kunnen de continuïteit van een gehele uitbestedingsketen ernstig schaden. DNB ziet de risico’s van informatiebeveiliging, cybersecurity en uitbesteding als één van de belangrijkste operationele risico’s.

Het Expertisecentrum Operationele & IT-risico’s DNB (ECOPIT) van de divisie Toezicht Pensioenfondsen onderzoekt of verzekeraars en pensioenfondsen hun processen en organisatie zodanig hebben ingericht dat ze goed bestand zijn tegen, onder andere, cyberrisico’s. Ingrid Talsma en Martin Luijt werken op deze afdeling. SPO Nyenrode ging met hen in gesprek over cyberrisico’s, informatiebeveiliging en het toezicht van DNB op deze onderwerpen.

Ingrid: “Er vinden veel cyberaanvallen plaats, binnen én buiten de financiële sector. Van simpele aanvallen door scripts die geautomatiseerd het hele internet afzoeken tot geavanceerde ransomware-aanvallen. Uit de laatste IB-monitor [1] bleek dat één op de twintig pensioenfondsen en verzekeraars weleens een aanval te hebben meegemaakt. Dat betekent niet dat de impact van al die aanvallen even groot was. Ernstige incidenten moeten apart bij DNB worden gemeld.

Dreigingen veranderen en alleen preventie is niet meer voldoende

Aanvallers worden geraffineerder en de aanvallen worden steeds complexer. Gelukkig wordt het merendeel van de aanvallen tijdig gedetecteerd. Detectie en periodiek testen van de weerbaarheid van een instelling wordt steeds belangrijker. Pensioenfondsen doen er verstandig aan om de inrichting van hun informatiebeveiliging op niveau te brengen en te houden, ook in het geval dat belangrijke activiteiten zijn uitbesteed bij derde partijen.”

Cyberrisico en informatiebeveiliging nader toegelicht

Martin: “Cyberrisico is het risico dat de ICT systemen van een pensioenfonds worden binnengedrongen door personen vanuit de organisatie zelf of vanaf buiten door cybercriminelen. DNB geeft handvatten en voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices. Daarin is te lezen hoe instellingen kunnen voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging en uitbesteding. Je wordt meegenomen in de verwachtingen van DNB op deze onderwerpen aan de hand van praktische voorbeelden van risico’s en beheersingsmaatregelen.”

“Onder Informatiebeveiliging wordt verstaan: de maatregelen die een pensioenfonds treft om de informatie binnen of buiten zijn ICT systemen te beveiligen tegen ongeoorloofde toegang en ontvreemding. Bij deze maatregelen kan je denken aan toegangsbeveiliging en detectie van vreemde activiteiten op je netwerk, maar ook aan maatregelen die het bewustzijn van de medewerkers moeten bevorderen. DNB heeft de Good Practice Informatiebeveiliging [2] gepubliceerd, waarin 58 maatregelen (controls) zijn opgenomen, waarvan DNB verwacht dat financiële instellingen deze op voldoende niveau brengen.

De rol van het bestuur in cyberrisico’s en informatiebeveiliging

Ingrid: ”Belangrijk is dat een pensioenfonds kiest voor een mix van beheersmaatregelen passend bij de aard en omvang van de cyberrisico’s van de instelling. Het is belangrijk dat het pensioenfonds een juiste combinatie van preventieve, detectieve en correctieve maatregelen op een voldoende volwassenheidsniveau heeft geïmplementeerd en periodiek als ‘proof of the pudding’ door middel van securitytests vaststelt of de organisatie voldoende weerbaar is tegen cyberaanvallen.
 

Ook van belang is dat fondsbestuurders in staat zijn om kritische vragen te stellen en weloverwogen beslissingen te nemen ten aanzien van risico’s van informatiebeveiliging en cybersecurity, ook als deze risico’s zich bevinden bij een dienstverlener verderop in de uitbestedingsketen. Goed als de bestuurder kan meedenken op dit gebied en de instelling helpen om de strategische en tactische richting te bepalen.”

Martin: “Een pensioenfondsbestuurder die kennis heeft van cyberrisico’s en informatiebeveiliging zal beter in staat zijn om ervoor te zorgen dat het pensioenfonds deze risico’s onderkent en beheerst.”

Concurreer, maar niet op het gebied van cyberbeveiliging

Ingrid: “Nederlandse banken liepen voorop met het gebruik van online kanalen. Zij hebben dan ook al jaren te maken met cyberdreigingen. Hierdoor hebben ze veel kennis en ervaring op dit gebied en hebben daardoor een hoger (basis)niveau van informatiebeveiliging.

Wat pensioenfondsen kunnen opsteken van de banken? Banken concurreren weliswaar met elkaar, maar niet op het gebied van cyberbeveiliging. Op dat vlak werken ze steeds meer samen, bijvoorbeeld op het gebied van cyberbeveiliging wordt juist informatie met elkaar gedeeld.

 

[1] Highlights jaarlijkse sectorbrede analyse operationele en IT risico’s pensioenfondsen (dnb.nl)
[2] Q&A Informatiebeveiliging (dnb.nl).
Op deze website staat een verwijzing naar de Good Practice, de SA en de IB monitor 2021.

Wens je meer handvatten en voorbeelden voor de beheersing van IT-risico’s, dan kan je de module Informatiebeveiliging & Cybersecurity volgen van SPO Nyenrode. In deze eendaagse module word je meegenomen in de beheersingsmaatregelen samengevat per onderwerp. De voorbeelden zijn toegespitst op de rol van het bestuur bij de implementatie van en het toezien op die beheersingsmaatregelen

Naast een theoretische inleiding met praktijkvoorbeelden wordt dieper ingegaan op onderwerpen die bij tekortkomingen een hoog risico hebben. Tijdens de training analyseert en beoordeel je zelf enkele praktijkcases, zodat je de stof direct in de praktijk leert toe te passen.

Meer informatie? Neem gerust contact met ons op via telefoonnummer 070-427 66 55 of via info-spo@nyenrode.nl.

Sinds september 2022 is SPO-pensioenopleiders de pensioentak van Nyenrode Business Universiteit. Door de krachten van SPO en Nyenrode te bundelen is kwalitatief pensioenonderwijs met een sectoraal hart en karakter op academisch niveau ontstaan en kunnen we nu als SPO Nyenrode nog beter inspelen op de behoeftes van iedereen die in de pensioensector werkt en bieden we een naadloos doorlopend opleidingsaanbod aan. 

Gerelateerde opleidingen

  • Executive Pensions Program | Pensioensector

    Startdatum: 9 april 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen
    • Den Haag

    Opleiding op niveau B+ voor pensioenbestuurders. Kerndoelstelling voor de deelnemende executive: de pensioenleider van de toekomst worden en het geheel van de vraagstukken van de sector in samenhang overzien.

  • Masterprogramma Vermogensbeheer | Pensioensector

    Startdatum: 24 maart 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Tijdens dit programma leer je beter omgaan met het zware eisenpakket en druk, waar ieder in de pensioensector mee te maken hebt.

  • Strategisch uitbesteden en partneren | Pensioensector

    Startdatum: 2 april 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Tijdens dit programma challengen we jouw uitbestedingsprocessen door deze te toetsen aan de aangereikte concepten, voorbeelden en theorie. Zo krijg je een eerste inzicht in het niveau van je pensioenorganisatie.

  • Boardroom Dynamics | Pensioensector

    Startdatum: 12 december 2024
    Taal:
    • Nederlands
    Locatie:
    • Den Haag
    • Online

    Goed omgaan met bestuursdynamiek om effectiever besturen. Module is onderdeel van leergang B van SPO Nyenrode - Van Geschikt naar Ervaren op niveau B - maar is ook los te volgen.

    wtc lobby

  • ESG in één dag | Pensioensector

    Startdatum: Maatwerk
    Taal:
    • Nederlands
    Locatie:
    • Den Haag
    • Online

    DNB besteedt structureel meer aandacht aan klimaatrisico’s en andere ESG-thema’s in het toezicht op de pensioensector.

    wtc lobby

  • Module Duurzaam beleggen & ESG risicomanagement | Pensioensector

    Startdatum: 29 november 2024 en 28 maart 2025
    Taal:
    • Nederlands
    Locatie:
    • Den Haag

    Tijdens deze module worden alle facetten van duurzaamheid die bij pensioenfondsen op de bestuurderstafel liggen in één dag volledig en systematisch op een rij gezet op een manier die onmiddellijk toepasbaar is .