üabe
Nummer 23/2 december 1991
Beveiliging informatisering hand
Winterink (r) was in dienst van accountantskan
toor KPMG en werkte als interimmanager bij EDP
Audit. Sinds 1 november is hij hoofd van die af
deling. Belangrijkste activiteit is het nader invul
len van EDP Audit binnen de nieuwe opzet van de
Accountantsdienst.
Hulpmiddelen 'En telebankieren wordt
ook steeds complexer', voegt Winterink
daar aan toe. 'Met name door de hulpmid
delen die je door de automatisering krijgt
aangereikt. In feite moetje alle kennis over
die produkten in je informatiesystemen in
bouwen en tegelijkertijd waarborgen dat het
een betrouwbaar gebeuren blijft.' Van der
Stroom: 'Dus wij zeggen dat de Rabobank-
organisatie beter met haar klanten kan om
gaan als de automatisering goed is gere
geld. En onder goed verstaan wij dan ook
een goed beveiligingsniveau. Dat is eigen
lijk het verhaal.'
Applicaties Geldt dat hoge beveiligings
niveau ook voor applicaties die op een
plaatselijke bank zelf zijn ontwikkeld? Win
terink: 'Dat is een aspect waarmee we ons
op dit moment slechts zijdelings bezighou
den. Wel zijn we nu met een audit bezig bij
banken, die op eigen initiatief een lokaal
area-netwerk hebben geïnstalleerd. Een
soort netwerk met daarop aangesloten een
aantal microcomputers, die met elkaar op
een centraal bestand kunnen communice
ren. We lopen daarbij tegen diverse interes
sante problemen aan.'
Kredietbeheer 'We komen bijvoorbeeld
toepassingen tegen op het gebied van het
kredietbeheer die door één bank zijn ontwik
keld en die bij een heleboel buurbanken blij
ken te functioneren. Aangezien kredietbe
heer voor het bankieren essentieel is, bekij
ken wij welke invloed zo'n toepassing heeft
en wat de risico's zijn als je via zo'n netwerk
de gegevens uit je kredietbeheerbestand
beschikbaar stelt', constateert Winterink.
'De implicaties kunnen gigantisch zijn. Wat
je merkt, is dat de ene bank daar wel be
wust bij stilstaat, en dus een aantal maatre
gelen neemt, maar dat de andere bank een
zodanig vertrouwen in haar medewerkers
heeft dat daar op dat gebied heel weinig is
geregeld. Dat soort aspecten zullen we
gaandeweg steeds meer als EDP Audit tot
ons aandachtgebied gaan rekenen.'
Virusbesmetting Rabobank Nederland
is bezig met een plan van aanpak om virus
sen buiten de deur te houden. Van der
Stroom: 'Alle applicaties die we centraal uit
leveren worden gescreend om te kijken of
daar geen virussen op zitten. Wat voor
maatregelen treft een plaatselijke bank als
zij een eigen applicatie zelfstandig gaat uit
leveren? Zo'n bank heeft vaak contact met
kleine software leveranciers, die een stuk
onderhoud aan bepaalde applicaties ple
gen. Daardoor wordt het systeembeheer op
dat apparaat eenvoudiger. Als je je voorstelt
wat voor risico's je loopt! In principe zouden
ze op eenvoudige wijze gegevensbestanden
kunnen kopiëren.' Winterink: 'Dat zijn as
pecten die we willen signaleren en aan het
management van de banken willen voorhou
den. Is men zich bewust van alle risico's en
welke maatregelen heeft men getroffen?'
Voorwerk Accountantsdienst Winte
rink gaat verder in op de rol die zijn afdeling
speelt: 'De afdeling EDP Audit doet een
stuk voorwerk voor de mensen van de Ac
countantsdienst die bij de banken komen.
EDP Audit moet er dus eigenlijk voor zorgen
dat de Accountantsdienst bij plaatselijke
banken ook op het gebied van de automati
sering een stuk kwaliteit kan leveren. En dat
is nieuw. Dat was er in het verleden niet.'
Afhankelijkheid Van der Stroom: 'De
Rabobankorganisatie wordt in toenemende
mate afhankelijk van de kwaliteit van de
automatisering. De mensen die met de
klanten omgaan, moeten zich ervan bewust
zijn, dat ze dat alleen op een kwalitatief goe
de manier kunnen doen als de kwaliteit van
de automatisering aan redelijke eisen vol
doet.' Winterink: 'EDP Audit zal in dat kader
steeds meer gaan functioneren als de spie
gel die de mensen wordt voorgehouden met
betrekking tot het verantwoord omgaan met
beveiliging.'
Toegangsbeveiliging Van der Stroom
geeft een voorbeeld: 'Hoe ga je als individu
om met al die toepassingen? Mag je een be
paalde toepassing gebruiken en wat mag je
ermee? Hoe ga je om met toegangsbeveili
ging. Er zijn allerlei procedures voor. Maar
procedures kunnen alleen maar voor 100
procent werken als mensen zich ervan
bewust zijn dat het belangrijk is je aan die
procedures kan houden. En dat je juist in
een bankorganisatie met elkaar bezig moet
zijn om conform de procedures te werken.'
Geen kinderspel 'We zijn op onze afde
ling druk bezig met het installeren van een
eigen local area netwerk', licht Winterink
toe. 'Een paar dagen geleden werd een in
ventarisatie uitgevoerd van de applicaties
die er draaien. Ik zag de lijst en zei zo gek
scherend, goh vreemd dat PC-Tools er niet
op zit. Dat is zo'n hulpmiddeltje voor men
sen die wat meer thuis zijn op PC's. Je kunt
er van alles mee doen, zonder een spoor na
te laten. Je kunt er bijvoorbeeld bestanden
die gewist zijn mee terughalen. Het bleek,
dat PC-Tools er wél op zat, maar dat ze het
maar niet hadden opgeschreven. Het feit
datje zo'n applicatie eigenlijk bij toeval op
het spoor komt, geeft duidelijk aan wat voor
risico's er zijn!'
Bewust van wachtwoord 'Als je een
beetje slordig omgaat met je wachtwoord,
dan verlaag je het beveiligingsniveau',
merkt Winterink op. 'En doordatje dat ver
laagt, loopt de bank in principe grotere risi
co's. Het op gedisciplineerde manier om
gaan met wachtwoorden is iets wat je ge
woon met elkaar moet doen. Daar moetje
met elkaar over praten. Elkaar bewust ma
ken dat het belangrijk is dat je je wacht
woord ook inderdaad alleen voor jezelf ge
bruikt.'
Toekomst Van der Stroom over het
functioneren van de Accountantsdienst in
de toekomst: 'In de praktijk komt het erop
neer dat we met z'n allen binnen de bank
bezig moeten zijn met het op poten zetten
van een kwalitiatief hoog beveiligings
niveau. Dat betekent, dat we niet achteraf
maar al tijdens de ontwikkelingsfase hechte
contacten willen hebben om samen te kun
nen vaststellen of we verantwoord met be
veiliging omgaan. Dat betekent in feite dat
je op alle niveaus van de bank gaat kijken.
Wat is het beleid dat het management uit
draagt? Op welke wijze wordt het door de
mensen opgepikt? Op welke wijze wordt het
vertaald naar hulpmiddelen? Hoe springt
men in de praktijk daadwerkelijk om met
hulpmiddelen? Als je bijvoorbeeld een chip
card hebt, hoe ga je dan om met de beveili
ging.'
'Veel heeft echt betrekking op alle ni
veaus, dus ook het beleidsniveau', conclu
deert Winterink. 'Dat benadrukt het hele
memorandum van DNB ook. Draag een dui
delijk beveiligingsbeleid uit. Via alle moge-
Van der Stroom werkt nu een half jaar voor de
Rabobank. Daarvoor was hij vijfjaar in dienst van
ABN-Amro, het laatst in de functie van hoofd van
de Accountantsdienst van beide banken.
lijke kanalen moeten we dat zien te berei
ken. Niet alleen voor de mensen die met au
tomatisering moeten omgaan maar voor
alle niveaus in de organisatie. Ook voor het
management. Dat heeft nadrukkelijk de
taak voortdurend ervoor te zorgen dat het
beveiligingsbewustzijn van de mensen op
peil blijft. Dat is een stukje verantwoordelijk
heid van het management zelf. EDP Audit
zal het management daarin actief gaan on
dersteunen.'