Continuïteit en betrouw
baarheid, sleutelwoorden
bij informatisering
Een bank loopt risico's op diverse gebieden. De belangrijkste taak
van de accountantsdienst is het vaststellen of de Rabobankorga-
nisatie op een verantwoorde wijze met de risico's van het bankie
ren omgaat. De beheersing van de risico's op het gebied van auto
matisering en informatisering krijgt daarbij steeds meer aandacht.
Een gesprek met Evert van der Stroom, directeur van de Accoun
tantsdienst en Joop Winterink, hoofd van EDP Audit.
De Accountantsdienst
en de beveiliging van
de informatisering
'Alle applicaties
die we centraal uitleveren
worden gescreend'
Beveiliging informatisering
Nummer 23/2 december 1991
Enkele jaren geleden kwam de Neder-
landsche Bank met een memoran
dum. Dat had de titel 'De continuïteit
en de betrouwbaarheid van de geautomati
seerde informatieverwerking'. Daarin staat
dat in opdracht van DNB accountants erop
toe dienen te zien dat de bankleiding het op
zetten en functioneren van een kwalitatief
goeie automatisering op een verantwoorde
wijze invult. In feite komt het erop neer dat
DNB door externe accountants wil laten
toetsen hoe de bank met haar beveiliging
omgaat, ofte wel, hoe het is gesteld met het
beveiligingsbewustzijn bij de bank.
De Accountantsdienst richt zich in de
eerste plaats op de evaluatie van de pro
cessen ter beheersing van de activiteiten
van de Rabobankorganisatie. EDP Audit is
daarbij belast met de toetsing van het
functioneren van de geautomatiseerde in
formatievoorziening. Wat betreft de toet
sing van de geautomatiseerde informatie
voorziening houdt EDP Audit zich bezig
met de beoordeling van specifieke toe
passingen en met die van de vereiste or
ganisatorische en technische infrastruc
turen. In feite zijn dat de algemene basis
voorzieningen die aanwezig moeten zijn
om te zorgen dat specifieke toepassingen
bij de Rabobank goed kunnen functione
ren. Die infractructuur is in feite het hele
technische wegen-, bruggen- en spoorlij-
nennet dat nodig is om de verschillende
banktoepassingen ook betrouwbaar te
kunnen laten plaatsvinden. Naast de in
frastructuur die je zowel bij het CDI als bij
het Centrale Bankbedrijf tegenkomt zijn
er, vooral bij het Centrale Bankbedrijf en
bij het Werkgebied Aangesloten Banken,
ook specifieke toepassingen die voor het
bankieren nodig zijn. Dat is het tweede
werkterrein van de afdeling EDP Audit. in
vakjargon: Systems Auditing. Dat is het
beoordelen van de specifieke toepassin
gen. Met name beoordeling van beveili
gingsaspecten. Belangrijkste vraag is,
hoe betrouwbaar die systemen zijn. De
Rabobank wil op een effectieve, maar
vooral op een betrouwbare manier bankie
ren. En zo weinig mogelijk risico's lopen.
Helikopterblik 'Kijk, dat beveiligingsbe
wustzijn, daar hangt in wezen alles aan', al
dus Van der Stroom. 'Dat is een kwaliteits
kenmerk dat als een rode draad door de to
tale automatisering van de bank heen dient
te lopen. De Accountantsdienst probeert
dat zichtbaar te maken. We moeten op een
punt komen dat we tegen elkaar kunnen
zeggen: Er is in de automatisering van de
Rabobankorganisatie een verantwoord be
veiligingsniveau ingebouwd. Ofwel, de conti
nuïteit van de toepassingen is verzekerd. In
feite zouden we met een helikopterblik over
het hele automatiseringsbeleid en de reali
satie daarvan willen heenkijken.'
Continuïteit 'De klanten van de Rabo
bank verwachten kwaliteit van ons bankie
ren', legt Winterink uit. 'Voor dat bankieren
is automatisering noodzakelijk. Die dient
vlekkeloos te verlopen. Sleutelwoorden
daarbij zijn continuïteiten betrouwbaarheid.
Degenen die verantwoordelijk zijn voor het
bankieren, dat wil zeggen de mensen van
Rabobank Nederland maar ook de directeu
ren van de plaatselijke banken, moeten
erop kunnen vertrouwen dat de systemen
continu opleveren wat ze moeten opleve
ren. En dat ze ook betaalbaar draaien.'
Nieuwe produkten Winterink: 'Wat ik in
het traject van de automatisering veel heb
geconstateerd, is dat het tijdig opleveren
van een commercieel produkt en met name
het implementeren van een nieuw produkt,
altijd heel hoge prioriteit heeft gehad. Maar
daardoor werd vaak aan beveiliging inge
boet en men hield niet aan de oorspronke
lijk gestelde beveiligingseisen vast. Dat is
het eerste waarop men vaak ging inleveren.
Daar kom je in feite weer terug op die heli
kopterblik. Als Accountantsdienst, maar
met name als afdeling EDP Audit, willen we
steeds meer continu toetsen of het beveili
gingsbewustzijn ook binnen de hele sys
teemontwikkeling wordt doorgevoerd. En of
men steeds aan de beveiligingseisen vast
houdt. Als je dan een systeem gaat imple
menteren, heb je op dat moment de nodige
beveiliging inderdaad voorhanden.'
LAURA Het beveiligingsbewustzijn is
ook belangrijk voor de plaatselijke banken.
Van der Stroom: 'Hoe wij dat invullen, kan ik
heel goed duidelijk maken aan de hand van
LAURA. Op het moment dat we LAURA gaan
uitzetten bij de banken, moet minimaal aan
een bepaald beveiligingsconcept zijn vol
daan. Anders ga je banken opschepen met
een functionaliteit waar ze misschien wel
mee uit de voeten kunnen, maar die eigen
lijk geen betrouwbare grondslag heeft. Die
houdt dus in feite bepaalde risico's voor het
bankieren in. LAURA is op zich een totaal
vernieuwende manier van bankieren. Het
concept is uniek. Maar dat betekent ook dat
de Rabobank wordt geconfronteerd met
heel specifieke problemen op beveiligings
gebied.'
Pionieren Winterink: 'EDP Audit is met
betrekking tot LAURA aan het pionieren.
Hoe moeten we zodanig op dat project in
springen, dat de eisen aan beveiliging en
continuïteit zoals wij die zien ook daadwer
kelijk worden waargemaakt. We moeten
continu blijven toetsen of aan de oorspron
kelijk gestelde beveiligingseisen wordt vol
daan. En nu is het met name zaak om te zor
gen dat de hele beveiliging ook daadwerke
lijk wordt geïmplementeerd. Daarbij mogen
geen concessies worden gedaan aan de
oorspronkelijk gestelde eisen.'
Vlekkeloos 'Beveiliging is een kenmerk
van kwaliteit', merkt Van der Stroom op.
'Wij zien er op toe dat de Rabobankorgani
satie daar op verantwoorde wijze mee om
gaat. En dat is belangrijk voor de mensen
die in dit geautomatiseerde tijdperk leiding
moeten geven aan het bankieren van de
Rabobank. Maar het is ook belangrijk voor
de cliënten. Een voorbeeld is de rente die
we de cliënten in rekening brengen. Zowel
aan debet- als aan creditzijde. Dat moet
vlekkeloos lopen. Er zit een hele wereld ach
ter van wat je allemaal moet regelen om er
voor te zorgen dat het in de procedures
vlekkeloos loopt, ook wat de automatise
ring betreft. Als zo'n toepassing stopt, krijgt
de klant geen informatie meer.'