Centric connect.engage.succeed

SOC 2: het beste van twee werelden

Geschreven door Pieter Overbeeke - 22 mei 2017

Pieter Overbeeke
Deze maand heeft Centric haar visie op de financiële sector gepubliceerd in de visiepaper: 'Zet in op uw onderscheidend vermogen'. Hierin wordt onder andere aangegeven hoe een financiële instelling outsourcing kan organiseren, zodat zij zich kan blijven onderscheiden met haar kernprocessen.

Maar aan welke dienstverlener moet je als financiële instelling dan outsourcen? De kwaliteit van de IT-dienstverlening wordt onder andere bepaald door de kwaliteitsaspecten vertrouwelijkheid, integriteit en beschikbaarheid. Maar de ene IT-omgeving is de andere niet. Dat heeft de ransomware WannaCry de afgelopen periode maar weer bewezen. Er zijn nogal wat keuzes te maken rondom op te stellen richtlijnen, procedurele beheersmaatregelen, werkinstructies en niet in de laatste plaats tools, die de geïdentificeerde risico’s moeten verkleinen.

Hoge eisen

Bij het outsourcen van IT stellen financiële instellingen de hoogste eisen. Dit is ook logisch, omdat zij aan veel eisen moeten voldoen uit hoofde van wet- en regelgeving. Steeds meer van deze eisen hebben betrekking op de IT-processen, waarvan een financiële instelling in hoge mate afhankelijk is. Niet alleen de dienstverlening zelf moet transparant zijn, de assurance over de kwaliteit van die dienstverlening ook.

Vergelijkbaar maken

Transparantie is alleen mogelijk als alle informatie voor alle stakeholders beschikbaar is en een vergelijking tussen dienstverleners mogelijk maakt. Om informatie vergelijkbaar te maken, zijn standaarden noodzakelijk. In Nederland zijn dat voor de kwaliteitsaspecten vertrouwelijkheid, integriteit en beschikbaarheid de certificeringsstandaard ISO 27001 en de assurance-standaard ISAE 3000. De ISO 27001-standaard zegt iets over de opzet en het bestaan van beheersmaatregelen in het kader van informatiebeveiliging. De ISAE 3000 is een standaard die aangeeft aan welke eisen een audit moet voldoen om tot een oordeel te komen over de opzet, het bestaan en de werking van een intern beheerssysteem voor de kwaliteitsaspecten vertrouwelijkheid, integriteit en beschikbaarheid. Helaas geeft de ISAE 3000 geen normenkader voor het treffen van beheersmaatregelen en is dit iets wat specifiek tussen de financiële instelling en een dienstverlener moet worden afgesproken. Dit maakt het lastig om ISAE 3000-rapporten met elkaar te vergelijken.

Hoogste niveau van zekerheid

Dit heeft ertoe geleid dat onze Amerikaanse vakbroeders van de American Institute of Certified Public Accountants een normenkader hebben ontwikkeld dat bekendstaat als SOC 2. SOC staat voor Service Organisation Controls Report en is de evenknie van het ISAE 3000-rapport. Het SOC 2-rapport kent de Trusted Service Principles, die naast vertrouwelijkheid, integriteit en beschikbaarheid ook nog betrekking kunnen hebben op de kwaliteitsaspecten security en privacy. Dit normenkader is door ‘mapping’ gekoppeld aan het ISO 27001-normenkader en vertoont grote overeenkomsten. Dit houdt in dat we met deze standaard het hoogste niveau van zekerheid (opzet/bestaan/werking) kunnen geven. Deze standaard zorgt ook dat de kwaliteit van de IT-dienstverlening op het vlak van vertrouwelijkheid, integriteit en beschikbaarheid beter vergeleken kan worden.

Dit pleit voor een uitgebreid gebruik van de SOC 2-standaard voor alle vormen van outsourcen van IT-dienstverlening, maar met name voor financiële instellingen. Hierbij krijgt de gebruikersorganisatie door middel van het SOC 2-rapport het hoogste niveau van zekerheid en is de kwaliteit van de dienstverlener vergelijkbaar met andere dienstverleners: het beste van twee werelden.

Pieter Overbeeke is expert Interne audit & Assurance.  Als manager compliance, audit & security houdt Pieter zich bezig met de eisen die gesteld worden aan processen en interne beheersing vanuit de aandachtsgebieden interne audit, compliance en information security.

     
Schrijf een reactie
  • Captcha image
  • Verzenden