Categorie: Cyber Security

Securance adviseert TelecityGroup

Securance adviseert TelecityGroup


TelecityGroup is Europa’s grootste aanbieder van carrier-neutrale datacenters. De datacenters van TelecityGroup bieden hoge connectiviteit en veilige omgevingen voor IT- en telecomapparatuur, die de drijvende kracht achter de digitale economie vormen. Telecity heeft datacenterclusters in 12 grote Europese steden. In de datacenters van Telecity komen de netwerken die samen het internet vormen samen en worden bandbreedte-intensieve applicaties, content en informatie veilig gehost. Telecity’s nieuwste 9MW datacenter AMS 5 in Amsterdam Zuidoost biedt niet alleen een robuuste stroomvoorziening, efficiënte koeling en uitgebreide beveiliging, maar ook ongeëvenaarde connectiviteit. Naast connectiviteit zijn beveiliging en controle cruciaal voor datacenters. Hiervoor bestaan verschillende standaarden, waarvan ISAE 3402 een van de belangrijkste is.

ISAE 3402 en datacenters

Sinds december 2014 is het COSO-raamwerk vervangen door COSO2013. De Nederlandsche Bank heeft CObit 4.1 en het bijbehorende volwassenheidsmodel opgenomen in het beoordelingskader voor informatiebeveiliging. Door deze ontwikkelingen eisen multinationals naast SaaS-providers steeds vaker ISAE 3402 van hostingproviders. Deze trend wordt ondersteund door de toename van het aantal geregistreerde datacenters in het ISAE 3402-register van 3 naar 10 binnen een jaar. Securance zal Telecity ondersteunen en adviseren bij de implementatie van ISAE 3402.

Telecity en beveiliging

Emile ten Hoor is verheugd dat Securance is geselecteerd als assurance- en beveiligingsadviseur voor de Telecity Group. Binnen ons huidige portfolio van vermogensbeheerders, SaaS- en hostingproviders is de Telecity Group een welkome aanvulling. We zijn zeer gemotiveerd en enthousiast om Telecity in dit proces te ondersteunen. We ondersteunen elke stap in de richting van professionalisering en streven naar betere beveiliging en controle in de ICT-sector.

Outsourcing Excellence™

Uitbesteding Excellence™


Wanneer improviseren
processen in een organisatie, benadrukt de Theory of Constraints (TOC) het belang van het opnemen van de toeleveringsketen en marktbetrokkenheid in de analyse. Operational Excellence wordt bereikt door het elimineren van beperkingen in het hele proces, van inkoop tot productie (operations) tot verkoop. Dit lijkt eenvoudig, maar volgens Goldratt (de bedenker van TOC): “Hoe complexer een systeem is, hoe dieper de inherente eenvoud.” De uitvoering is complex, niet de oplossing. Hetzelfde geldt voor outsourcing; het proces is eenvoudig, maar het aanpassen aan de processen van een gebruikersorganisatie is complex. Outsourcing is in wezen altijd gebaseerd op comparatieve voordelen.

Comparatieve voordelen – Ricardo

Een van mijn mentoren zei: “Processen die anderen beter of goedkoper kunnen dan jij, moet je uitbesteden.” Waarom? Omdat het je meer tijd en ruimte geeft om je te richten op waar je echt goed in bent. Dit is in wezen de theorie van David Ricardo over comparatieve kostenverschillen, of beter gezegd comparatieve voordelen. Meer processen worden uitbesteed; boekhoudsoftware wordt vaker aangeboden als SaaS-oplossing dan als softwarepakket.

Meer uitbesteden

Outsourcing gebeurt ook ongemerkt; LinkedIn vervangt netwerkevenementen, Evernote vervangt het traditionele notitieblok. We zijn in toenemende mate afhankelijk van deze uitbestede activiteiten. Dit betekent ook dat zekerheid over deze uitbesteding belangrijker wordt en daarom bestaan er standaarden zoals ISAE 3402 of ISO 27001. Uitbesteden werkt alleen als het optimaal georganiseerd is; beter of goedkoper. Daarnaast is afstemming op de processen van de gebruikersorganisatie cruciaal.

Voorbeeld

Op eiland A worden schapen gehouden en op eiland B wordt graan verbouwd. Handel tussen A en B zal resulteren in een hoger welvaartsniveau voor beide eilanden dan wanneer beide eilanden schapen houden en graan verbouwen.

Relatie met ISAE 3402

Een ISAE 3402 certificerings- of implementatieproject is een kans om uitbesteding te optimaliseren, beperkingen weg te nemen en uitbesteding te bekijken binnen het totale bedrijfsproces, van inkoop tot productie tot verkoop. Outsourcing Excellence is afgeleid van Operational Excellence, gebaseerd op LEAN en TOC. In het veranderingsproces zijn drie vragen belangrijk:

  1. Wat moet er veranderen?
  2. Wat moet er veranderen?
  3. Hoe kan de verandering worden bereikt?

Optimalisatieproces

Het optimalisatieproces kan grofweg in de volgende fasen worden verdeeld:

  1. Identificeer en analyseer het knelpunt dat de belangrijkste beperkende factor is voor het bereiken van doelen (cf. strategische doelstellingen COSO ERM).
  2. Benut het knelpunt en stem alle bedrijfsprocessen op elkaar af (inclusief de processen bij de gebruikersorganisatie; overwegingen met betrekking tot gebruikersbeheer) om het knelpunt volledig te benutten.
  3. Verhoog de capaciteit van de bottleneck om de doorvoer te verbeteren. Als het knelpunt is opgelost, begin dan opnieuw bij punt

Voorbeeld Een IT-serviceprovider (applicatiebeheer en hosting) worstelt met het structureren van interne processen, het handhaven van beveiligingsrichtlijnen en besteedt veel tijd aan onnodige incidenten. Door deze processen te analyseren, te structureren en gebruik te maken van de natuurlijke discipline die voortkomt uit controle- en auditprocedures, bereikt de organisatie aanzienlijke interne verbeteringen. Dankzij de ISAE 3402-certificering kwalificeert de organisatie zich voor verschillende aanbestedingsprocedures en heeft ze twee belangrijke gewonnen. Dankzij ISAE 3402 krijgt de organisatie nieuwe klanten en kan ze door procesverbeteringen 100% service leveren aan deze belangrijke nieuwe klanten.

Belangrijkste punten

Het is belangrijk om te beseffen dat:

  • Uitbesteding is onderdeel van processen die plaatsvinden bij de uitbestedende partij; procesverbeteringen kunnen alleen plaatsvinden als beperkingen binnen deze context worden geanalyseerd.
  • Knelpunten kunnen alleen worden opgelost als alle processen, inclusief die van de gebruikersorganisatie, dienovereenkomstig worden aangepast. Het is belangrijk om dit te documenteren in SLA’s of overwegingen voor gebruikerscontrole.
  • ISAE 3402 is een effectief hulpmiddel voor het beoordelen van processen, het verbeteren van de discipline en het daadwerkelijk verbeteren van processen; outsourcing excellence.

Wat nu?

Bij SASconsult hebben we verschillende tools ontwikkeld om ervoor te zorgen dat organisaties niet alleen hun processen afstemmen op de ISAE 3402-standaard, maar ook hun interne processen verbeteren. Deze aanpak dient twee doelen; ISAE 3402 zorgt voor meer marktkansen (meer klanten), en deze klanten ontvangen een beter product of betere service door gelijktijdige procesverbeteringen bij de serviceorganisatie.

Vijf redenen om ISAE 3402 te implementeren

Vijf redenen om ISAE 3402 te implementeren

ISAE 3402 is de standaard voor uitbestedingsprocessen en beveiliging. Het wordt steeds vaker vereist in verschillende industrieën en door overheidsinstanties voor deelname aan aanbestedingen.

1. Uw klanten verwachten een ISAE 3402-rapport.

Je klanten verwachten dat je solide procedures hebt voor IT, gegevensbeveiliging en transactieverwerking, en dat je zekerheid verschaft over deze processen. Een ISAE 3402-rapport omvat de uitbestede processen, interne controles en alle beveiligingsmaatregelen die je hebt geïmplementeerd. Vooral na de economische crisis verwachten je klanten dat je voldoet aan de verplichte normen en dat je transparant bent over hoe je je interne controles hebt georganiseerd. Dit is zo bewezen dat je het hebt laten beoordelen door een externe professionele partij.

2. Prospects omzetten in nieuwe klanten.

Veel organisaties eisen ISAE 3402-certificering om uw diensten of producten aan te schaffen. Elke organisatie die onderworpen is aan wettelijke auditverplichtingen moet al haar processen binnen het bereik van deze audit brengen, inclusief uitbestede processen. Een ISAE 3402-rapport is het hulpmiddel dat je als serviceorganisatie (de uitbestede partij) kunt gebruiken om gecontroleerde processen aan te tonen. Dit betekent dat alle beursgenoteerde bedrijven, financiële instellingen en zelfs middelgrote rechtspersonen die processen uitbesteden (binnenkort) ISAE 3402-rapporten van hun leveranciers zullen eisen. De vraag van de overheid (inclusief gemeenten) is de laatste tijd ook aanzienlijk toegenomen.

3. Creëer een gelijk speelveld met uw concurrenten.

Zonder een ISAE 3402-rapport loop je het risico klanten te verliezen aan je concurrenten. Als uw concurrenten een ISAE 3402-rapport of op zijn minst een ISO 27001-rapport hebben, zijn ze in het voordeel bij aanbestedingen of offerteaanvragen voor uw diensten. In veel aanbestedingsprocedures staat dat ‘certificering’ vereist is. Meer professionele partijen vragen specifiek om ISAE 3402 of een ISO-certificering.

4. Voldoen aan de hoogste normen en beste praktijken.

Het ISAE 3402-rapport is een krachtig hulpmiddel. Het toont de naleving aan van de toonaangevende wereldwijde standaard voor interne controle. ISAE 3402 is uitgegeven door de International Federation of Accountants (IFAC). Nationale accountantsorganisaties, zoals het Koninklijk Nederlands Instituut van Registeraccountants (NBA) in Nederland, hebben deze standaard geïntegreerd in nationale regelgeving. Dit betekent dat je met een ISAE 3402-rapport niet alleen voldoet aan hoge nationale eisen, maar ook internationaal bewijst dat je ‘in control’ bent.

5. Leid in uw markt.

Door een ISAE 3402 audit uit te voeren en het rapport te produceren, geef je aan dat je beveiliging en interne controle serieus neemt. Je hebt je organisatie onder controle; je identificeert risico’s, hebt maatregelen genomen om deze risico’s te beheren en controleert ze voortdurend. Veel van je concurrenten hebben hun processen misschien niet zo goed gestructureerd als jij en kunnen dit mogelijk niet aantonen door middel van een onafhankelijke beoordeling van hun interne controles door een wettelijk erkende certificerende accountant.

Maatschappelijke gevolgen Solvency II

Sociale impact Solvency II

Verzekeraars implementeren de Solvency II-richtlijnen actief en beheren deze naast hun kapitaal- en risicobeheer. De gevolgen van beslissingen in deze context reiken verder dan de bestuurskamer en beïnvloeden de relaties tussen zowel individuele als zakelijke polishouders en verzekeraars. Deze mogelijke gevolgen zijn onderzocht en gedocumenteerd in een rapport van The Economist Intelligence Unit, waarbij 254 EU-organisaties betrokken waren, waaronder verzekeraars, financiële instellingen en niet-financiële instellingen.

Hoewel de Solvency II-richtlijnen bedoeld zijn om polishouders beter te beschermen, vragen verschillende partijen zich af wie uiteindelijk de kosten van het solvabiliteitsregime zal dragen. Tegelijkertijd zijn er zorgen dat verzekeraars beperkt zullen worden in hun rol als investeerder en gedwongen zullen worden om ‘veiligere’ beleggingen te doen en minder leningen te verstrekken die geen beleggingen zijn. Dit kan mogelijk leiden tot uitdagingen voor organisaties die op zoek zijn naar kapitaal, aangezien balansbeperkingen ertoe kunnen leiden dat banken stoppen met investeren.

Met deze vragen in het achterhoofd is The Economist Intelligence Unit een onderzoek gestart naar de mogelijke impact van Solvency II op consumenten, de verzekeringssector en de maatschappij, waar verzekeraars optreden als investeerders.

De belangrijkste bevindingen en conclusies van dit onderzoek zijn:

  • De vereisten van Solvency II worden als buitensporig gezien. Respondenten vinden dat het evenwicht zoek is en dat de eisen te streng zijn.
  • Uiteindelijk zullen de polishouders de kosten van Solvency II dragen, aangezien de verzekeraars deze kosten aan hen zullen doorberekenen.
  • Verzekeraars verwachten minder risico’s te nemen in hun beleggingsstrategieën.
  • Er is onduidelijkheid bij organisaties over de gevolgen voor de uitgifte van schuldpapier.
  • De wetgevers zullen de kapitaalkosten moeten heroverwegen.
  • De onbedoelde gevolgen zijn nog niet volledig bekend en baren verschillende organisaties zorgen.

Hoewel een herziening van de huidige wetgeving noodzakelijk wordt geacht, baren de mogelijke gevolgen en de timing van Solvency II zorgen. Het huidige politieke en economische klimaat doet velen geloven dat verzekeraars, polishouders en andere belanghebbenden negatieve gevolgen zullen ondervinden van Solvency II. Verwacht wordt dat de premies zullen stijgen en dat investeringen zullen worden beïnvloed. Wat de precieze uitkomsten ook mogen zijn, het suggereert dat verzekeraars absolute zekerheid zoeken over de toepassing van de regels en hun implementatie in deze onzekere tijden.