Accountantsorganisaties: zorg voor een passend raamwerk voor informatiebeveiliging

Datalekken tonen aan hoe kwetsbaar organisaties kunnen zijn

Digitale incidenten bij grote organisaties – zoals recente datalekken – laten zien hoe kwetsbaar organisaties kunnen zijn. De impact raakt vaak niet alleen het getroffen bedrijf, maar ook (sub)leveranciers, klanten en soms zelfs financiële markten. Voor accountantsorganisaties, die werken met gevoelige cliënt- en transactiedata en afhankelijk zijn van digitale systemen, is een toekomstbestendige informatiebeveiliging daarom essentieel. Een stevig fundament van informatiebeveiliging en risicomanagement helpt incidenten te voorkomen én sneller op te vangen wanneer ze zich voordoen. 

Passend raamwerk voor informatiebeveiliging versterkt digitale weerbaarheid en voorkomt de ‘hacker als wekker’

Veel incidenten ontstaan door menselijke fouten, gebrekkige monitoring of onduidelijkheid over verantwoordelijkheden. Een robuust risicomanagementraamwerk biedt houvast om informatiebeveiliging toekomstbestendig in te richten en de ‘hacker als wekker’ te voorkomen. De Good Practice Informatiebeveiliging van De Nederlandsche Bank is een voorbeeld van een goed risicomanagementraamwerk dat richting geeft aan samenhang, risicobewustzijn en continue verbetering. Die is nuttig voor alle accountantsorganisaties, omdat het enerzijds handvatten biedt voor een proportionele en samenhangende aanpak van informatiebeveiligingsrisico’s. Anderzijds bevat het een self-assessment informatiebeveiliging die direct inzicht biedt in de volwassenheid. 

AFM deelt handvatten om informatiebeveiliging te versterken

Op basis van verkregen inzichten bij OOB-accountantsorganisaties delen we daarnaast onderstaande versterkingspunten die ook reguliere vergunninghouders helpen hun risicomanagement verder te versterken.

ICT-risicomanagement: werk met een actueel en cyclisch proces

• Houd risicoregisters actueel en volledig rondom interne en externe dreigingsbeeld.
• Leg risicobesluiten vast en bewaak opvolging.
• Zorg dat risico’s binnen de risk appetite zijn.

Continuïteitsmanagement: toets aannames en test breed

• Actualiseer business-impact-analyses regelmatig.
• Test niet alleen IT-herstel, maar de volledige keten.
• Verwerk ‘lessons learned’ structureel in plannen en rapportages.

Configuratiemanagement: breng afhankelijkheden helder in kaart

• Zorg voor een volledig overzicht van informatiesystemen, API-koppelingen, assets en relaties.
• Maak inzichtelijk welke processen geraakt worden bij verstoringen.
  

Leveranciersbeheer: monitor structureel en risicogebaseerd

• Werk met formele onboarding en evaluatieprocessen.
• Betrek ook subleveranciers bij risicoafwegingen.
  

Incidentmanagement: structureel leren en verbeteren

• Definieer eenduidig wat een incident is.
• Voer postincident-analyses standaard uit.
• Documenteer verbeteracties en borg opvolging. 

IT-risicobeheersing blijft komende jaren prioriteit

Een raamwerk voor informatiebeveiliging is pas effectief wanneer het aantoonbaar werkt. Daarom vragen we alle accountantsorganisaties om extra aandacht te besteden aan een veilige, toekomstbestendige beheersomgeving. De AFM blijft hierover in gesprek met de sector en ondersteunt waar mogelijk. De komende jaren blijft IT-risicobeheersing een prioriteit van de AFM.