De Noodzaak van Robuuste Compliance Frameworks voor de Financiële Sector
In de financiële sector zijn toezichthouders alomtegenwoordig. Ze zien erop toe dat wet- en regelgeving wordt nageleefd, en organisaties in deze branche moeten voldoen aan een breed scala aan voorschriften. Denk aan namen als DNB (De Nederlandse Bank), AFM (Autoriteit Financiële Markten), AP (Autoriteit Persoonsgegevens), ECB (Europese Centrale Bank), EIOPA/EAVB (Europese Autoriteit voor Verzekeringen en Bedrijfspensioenen), en dan ben ik bij lange na nog niet volledig. Elke instantie heeft zijn eigen set van controles en maatregelen om specifieke doelen te bereiken, zoals het beschermen van persoonsgegevens, het waarborgen van de integriteit van transacties, het identificeren en beheren van risico’s, en het waarborgen van vertrouwelijkheid en beveiliging.
Deze regelgeving is echter geen vast gegeven maar wordt regelmatig herzien en bijgewerkt. Wat vandaag als voldoende wordt beschouwd, kan morgen veranderen. Organisaties moeten niet alleen hun eigen risicoanalyses uitvoeren, ze moeten ook rekening houden met veranderingen in wet- en regelgeving die van invloed zijn op de manier waarop ze zekerheid verkrijgen over de kwaliteit en beveiliging van hun dienstverlening.
Slim en efficiënt controles toevoegen
Het is duidelijk dat een volwassen en vaak complex compliance framework nodig is om aan al deze eisen te voldoen. Het realiseren van compliance wordt echter veel beheersbaarder als je de eisen van verschillende normen en verordeningen gezamenlijk in beschouwing neemt. Heb je bijvoorbeeld klanten in de overheidssector bijvoorbeeld, dan kunnen zij eisen dat elke medewerker die betrokken is bij hun dienstverlening een getekende integriteitsverklaring heeft. Je kunt het jezelf dan gemakkelijker maken door deze controle toe te voegen aan een bestaande onboarding-check voor teamleden die deze klant bedienen. Op deze manier ontwerp je één controle die aan meerdere normen voldoet, wat efficiënter is.
Wanneer organisaties besluiten om gebruik te maken van cloud-diensten of om beheer en onderhoud van systemen uit te besteden, moeten ze ook nadenken over hoe ze kunnen blijven voldoen aan hun huidige compliance-eisen. Bij Solvinity hebben we bijvoorbeeld een compliance framework op basis van SOC 2-maatregelen, aangevuld met eisen van onze eigen toezichthouders en die van onze klanten.
Een eigen “in control” verklaring
Het Solvinity Compliance Framework vormt de basis voor onze SOC 1- en SOC 2-assurance rapportages, die jaarlijks worden opgesteld door een onafhankelijke auditor. We merken dat sommige van onze meer volwassen klanten deze assurance rapportages aanvullen met extra controles die specifiek voor hen zijn ingericht. Dit kan variëren van het kwartaalsgewijs herstellen van geselecteerde machines, databases of mailboxen tot het uitvoeren van kwartaalcontroles op gebruikersaccounts en beheerdersaccounts. De uitkomst van deze controles, samen met de assurance rapportages, vormt input voor hun eigen ‘in control’ verklaring.
Een andere ontwikkeling waar we rekening mee moeten houden, is de toenemende aandacht voor de gehele supply chain. Incidenten waarbij organisaties slachtoffer worden van inbreuken bij hun toeleveranciers hebben laten zien dat dit verstrekkende gevolgen kan hebben. Het is belangrijk dat de compliance van de hele keten wordt gedekt in de assurance rapportages van een hosting provider. Voor die lange en mogelijk complexe supply chains of digitale ecosystemen, is het raadzaam om in een risicoanalyse te onderzoeken welke maatregelen moeten worden getoetst, zelfs als er sprake is van onderuitbesteding.
Aantoonbaar compliant van platform tot identiteit
Met de komst van nieuwe wet- en regelgeving zoals de Digital Operations Resilience Act (DORA) en de Network and Information Security directive 2 (NIS2), wordt het nog belangrijker om compliance te waarborgen en de gehele supply chain te beheren. NIS2 stelt strengere eisen aan onder andere risicobeheer, cybersecuritybeleid, incidentbehandeling en rapportage, business continuity, vulnerability management en security testing, en supply chain management.
Bij Solvinity brengen we het beheer van zowel private cloud als Microsoft Azure Public Cloud in scope voor onze SOC 1- en SOC 2-audits. Al sinds 2020 is Solvinity de eerste Nederlandse IT-dienstverlener die het beheer van de Azure public cloud klantomgevingen binnen de scope van SOC 1 & 2®-audits laat vallen en deze audits in 2023 voor de derde keer succesvol heeft afgerond. Dit is vooral waardevol voor klanten met hybride cloudomgevingen, omdat de compliance van het platformbeheer, de accounts en identiteiten, de kwetsbaarheden, de back-ups, enzovoort, allemaal in één assurance rapportage wordt aangetoond.
Meerwaarde in samenwerking
Tot slot, met de opkomst van DevOps en Agile-achtige omgevingen, ontstaat de behoefte aan continue en geautomatiseerde beveiligingstests tijdens de ontwikkeling. Dit is veel effectiever dan de traditionele manier van eenmalige vulnerability- en security scanning per jaar. In combinatie met een DevSecOps beleid en een flexibel cloud platform is security dan geen beletsel meer, maar een integraal onderdeel van het geheel aan IT-voorzieningen én de uiteindelijke dienstverlening aan de klant van de klant.
De wereld van compliance in de financiële sector evolueert voortdurend, en het is van vitaal belang voor IT-verantwoordelijken in deze branche om op de hoogte te blijven van deze ontwikkelingen en hun frameworks aan te passen om te voldoen aan de nieuwste eisen. Samenwerking binnen de sector en met gespecialiseerde serviceproviders kan helpen bij het navigeren door dit complexe landschap en ervoor zorgen dat organisaties blijven voldoen aan de steeds veranderende normen en verordeningen.
Heb je vragen over compliance of wil je meer weten over hoe Solvinity organisaties in de financiële sector ondersteunt? Neem dan contact met ons op. Samen kunnen we ervoor zorgen dat je dienstverlening veilig en compliant blijft in deze dynamische omgeving.
Meld je aan voor de Solvinity Nieuwsbrief
Ontvang het laatste nieuws, blogs, artikelen en events.
Lees ook
Meer
Wat maakt een Secure Managed Cloud écht ‘secure’?
Wat maakt een Secure Managed Cloud écht ‘secure’? In een tijdperk waarin cyberdreigingen voortdurend evolueren, is...
READ MOREDe complexe wereld van IT-regelgeving voor gemeenten
Voor IT- en compliance-verantwoordelijken bij gemeenten wordt de wereld steeds complexer. Naast de dagelijkse uitdaging om...
READ MORESecurity controls in hybride cloudomgevingen
Een holistische benadering van security controls is cruciaal voor het verhogen van de digitale weerbaarheid.