'Externe partij moet IT van banken controleren'

Regelmatig halen verschillende ICT-storingen bij banken het nieuws. Vooral als het gaat om internetbankieren lees je dit vaak terug, omdat dit consumenten direct treft. Aan de achterkant zijn er natuurlijk ook andere IT-storingen, wat enerzijds risicovol kan zijn als hackers dit veroorzaken om gegevens te stelen, maar tegelijkertijd ook een kostenpost is voor banken als bedrijfsprocessen worden vertraagd.


De Nederlandsche Bank heeft betreffende het IT-beleid een controlerende functie, maar dit is moeilijk omdat elke bank zijn eigen IT-systeem en beleid heeft. Er zouden een stuk minder IT-problemen in de financiële sector zijn als er een externe partij wordt aangesteld die banken controleert en ervoor zorgt dat banken hun IT-beleid uniformiseren. Inmiddels wordt er ook geadviseerd dat een externe partij de ICT van de overheid in de gaten moet houden, dus waarom zou dat ook niet voor financiële instellingen kunnen? 

Geen digital natives
Mijn ervaring leert dat DNB nog sterk analoog denkt, terwijl de wereld inmiddels wel digitaal is geworden. Het is een kwestie van tijd voordat contant geld verdwijnt, waardoor IT-systemen nog veelomvattender worden dan dat ze nu zijn. Als straks elke valutavorm digitaal is, is iedereen afhankelijk van het functioneren van deze systemen. Dat betekent dat het funest kan zijn als deze systemen niet continu worden gecontroleerd. Niet alleen uit security-oogpunt, want ook storingen die door het systeem zelf worden veroorzaakt hebben dan grote gevolgen zodra het niet meer mogelijk is om betalingen te verrichten.

Van Cobit 3 naar Cobit 4
In juni 2015 gaan de IT-security eisen van Cobit 3 naar Cobit 4. Dat wil zeggen dat banken niet alleen op veiligheid gecontroleerd worden, maar dat deze controle op zijn beurt weer wordt gecontroleerd. Dit is een stap in de goede richting, ware het niet dat de regels veel te algemeen zijn geformuleerd. Iedere bank moet zijn eigen IT-systeem aan deze algemene regels laten voldoen, maar eigenlijk zegt dit nog weinig over hoe een systeem functioneert. In het nieuwe toetsingsdocument staat verder dat er één keer per jaar een controle moet plaatsvinden. Dit is veel te weinig om structureel IT-beleid te beïnvloeden.

Voordeel voor CIO’s banken
Het is niet alleen veiliger en efficiënter om duidelijkere ICT-regels op te laten stellen door een externe partij, het is uiteindelijk ook voordeliger voor banken. Als de regelgeving meer duidelijkheid schept, weten Chief Information Officers beter waar ze aan toe zijn, en kunnen ze systemen toespitsen op de eisen die worden gesteld.

Op weg naar uniformiteit
Een veelgehoord tegenargument is dat banken al zolang met een eigen IT-infrastructuur werken, dat het niet meer doenlijk of betaalbaar is om hier grote aanpassingen in te maken. Ik denk dat je enerzijds hier rekening mee kunt houden door de regels niet té ingrijpend te maken, maar anderzijds, waarom zou je verder aan iets bouwen wanneer de fundering niet meer goed is?

Arno Jellema is algemeen directeur van The Consultancy Firm. Samen met zijn medewerkers richt hij zich op het verbeteren van de digitale klantcommunicatie van financiële instellingen.