labo
band Beveiliging informatisering
Mensen over beveiliging informatisering
Banktermen
Automatisering en Informatisering
Nummer 23/2 december 1991
De bankwereld is in beweging. Er gebeurt veel. Steeds weer komen we voor verrassingen te staan. Dat is ook het geval als het gaat om
de ontwikkelingen op het gebied informatisering. En de beveiliging van informatie, de systemen, de apparatuur en de software.
Vier mensen uit de organisatie geven hun mening over beveiliging van de informatisering.
Harry Reekers is directeur van de Rabobank
Raalte en lid van de TOC Automatisering.
Hij heeft een duidelijke mening over infor-
maticabeveiliging bij zijn bank.
'Door alle veranderingen op
het terrein van automatise
ring en informatisering wor
den we steeds kwetsbaar
der. Ik denk dan aan conti
nuïteit van de informatie
voorziening, betrouwbaar
heid van de gegevens en de
informatie, de vertrouwelijkheid van de infor
matie en misbruik en fraude. Door de toe
nemende decentralisatie vormen wij een
steeds belangrijker schakel bij informatiebe
veiliging. Daarom moeten alle medewerkers
zich nog meer bewust zijn van de risico's die
automatisering met zich meebrengt. Om pro
bleemloos te kunnen functioneren, moeten
wij zeker zijn van de integriteit van de gege
vens en informatie die in onze computers zijn
opgeslagen. Beslissingen gebaseerd op on
juiste informatie kunnen zowel voor onze
cliënten als onszelf verstrekkende financiële
gevolgen hebben. Ik ben er dan ook voorstan
der van dat toegangsbevoegdheden op maat
kunnen worden geregeld, waarbij bij bepaal
de handelingen automatische verslaglegging
moet plaatsvinden. Onze bank moet in geval
van een calamiteit zo snel mogelijk weer aan
de slag. Enige stagnatie in ons functioneren
is - afhankelijk van de oorzaak en aard van
de moeilijkheden - natuurlijk niet uit te slui
ten. Maar reconstructie moet met zo min mo
gelijk inspanningen en kosten kunnen wor
den verwezenlijkt. Back-up procedures die
nen daarom strikt te worden nageleefd. Voor
de fysieke beveiliging gelden eveneens strik
te regels. Brand- en braakwerende datakas-
ten zijn een vereiste.'
Herman Wijffels is voorzitter van de hoofddi
rectie van Rabobank Nederland. Wat is zijn
mening over de beveiliging van informatise
ring?
'Een bank kan men ook zien
als een informatie-verwer
kende fabriek. Elke transac
tie - en dat zijn er dagelijks
in onze bank vele miljoenen
- is een stukje informatie
dat moet worden
verwerkt en vastge
legd. Geen wonder dat de informatie
technologie in het bankwezen een
ruim toepassingsgebied heeft gevon
den. Het is begonnen achter in de
bank bij de, gedeeltelijke, automati
sering van de verwerking. Vervolgens
is de toepassing opgerukt naar de ba
lie via KTS/KIK. En sinds enige tijd
wordt deze technologie ook recht
streeks gebruikt voor de cliëntenbe
diening via elektronisch bankieren en
de GEA. Tevens loopt er een proces
van informatisering gericht op onder
steuning van de commerciële functie
en de bedrijfsvoering binnen de bank.
Deze ontwikkeling is nog niet aan zijn eind. De
komende tijd zullen nieuwe apparatuur en
nieuwe systemen het informatica-gehalte van
de bank verder opvoeren. Nagenoeg alle me
dewerkers beschikken over een terminal en
hebben toegang tot voor hun werk relevante
gegevens en systemen. In toenemende mate
zai dat de komende jaren ook het geval zijn
met cliënten. Onze afhankelijkheid van syste
men neemt toe, maar daarmee in zekere zin
ook onze kwetsbaarheid. Juist daarom is een
uitstekende beveiliging van die systemen van
het allergrootste belang. Maar hetzelfde kan
gezegd worden van de zorgvuldigheid die no
dig is bij het gebruik van de systemen door de
medewerkers. Eenieder in de organisatie
dient zich daar zeer bewust van te zijn. De
voorliggende 'special' van Raboband infor
meert u uitgebreid over dit belangrijke onder
werp.'
De Rabobank Midden-Westland staat be
kend als een vooruitstrevende bank. Ook
wat betreft de wijze waarop men daar om
gaat met de geautomatiseerde verwerking
van gegevens. Hoe kijkt Wim Steijn, onder
directeur Bedrijfsvoering van de bank Mid
den-Westland aan tegen beveiliging van in
formatisering?
'We hanteren ais bank dui
delijke uitgangspunten. We
zijn dan misschien wel voor
uitstrevend, maar in feite
heel conservatief wat het
omgaan met software be
treft. Die uitgangspunten
zijn concreet gemaakt in en
kele strakke regels. We hebben de interne or
ganisatie van de geautomatiseerde verwer
king heel duidelijk gehouden. Alleen software
die de bank zelf heeft aangeschaft mag op
de PC's binnen de bank aanwezig zijn. Daar
bij worden de licentierechten heel precies
aangehouden. Het installeren van software
wordt altijd gedaan door iemand van de afde
ling systeembeheer. Wij controleren heel
streng op de aanwezigheid van ongewenste
software. Mocht er een illegaal pakket wor
den aangetroffen, dan volgen sancties.' Als
het gaat om thuis werken dan vindt men in
Midden-Westland dat er geen uitwisseling
van diskettes met de thuisomgeving mag
zijn. Steijn: 'We vinden dat er thuis geen werk
Automatisering is het proces dat ten doel heeft handma
tige arbeid geheel of gedeeltelijk door automatische ap
paratuur te laten verrichten. Die apparatuur verricht zon
der tussenkomst van de mens een aantal opvolgende be
werkingen.
Informatisering is erop gericht de beschikbare kennis in
de gewenste vorm en hoeveelheid op het gewenste mo
ment ter beschikking te stellen van degene die aan deze
informatie behoefte heeft.
voor de bank verricht moet worden. Als in
speciale gevallen medewerkers thuis een
pakket van de bank willen doornemen, zoals
bijvoorbeeld het Rekenmodel Spaar-Opti-
maalhypotheek, dan wordt hiervoor een spe
ciale overeenkomst getekend. Wij gaan het
komend jaar portable PC's gebruiken voor
medewerkers die naar klanten gaan. Met
name is dat bedoeld om alle produktinforma-
tie up to date bij de hand te hebben. We heb
ben er trouwens voor gekozen om dit off-line
te doen. Daardoor sluiten we de risico's uit
die kunnen voortvloeien uit communicatie via
datalijnen met ons interne netwerk, waar alle
ciiënteninformatie ligt opgeslagen.' Over Au
torisatie: 'De autorisatierechten van een me
dewerker zijn heel strak gekoppeld aan een
bepaalde functie en functiebeschrijving. Hier
kan niet van worden afgeweken. We probe
ren de medewerkers heel duidelijk te maken
welke consequenties verbonden zijn aan het
gebruik van het eigen password door een an
der.'
Steeds meer wordt er aandacht besteed
aan informaticabeveiliging. Waarom? Henk
Ruurda van Voorlichting Bedrijfsvoering
Aangesloten Banken legt het uit.
'De afgelopen maanden is
er inderdaad steeds meer
aandacht voor dit onder
werp. Dit nummer van
Raboband gaat uitgebreid
in op veel aspecten van be
veiliging van informatise
ring. Daaruit blijkt ook, dat
het grote aandacht verdient en krijgt. Maar
er gebeurde al méér. Bank in Beeld voor Be
stuur en Directie nummer 27, die enkele we
ken geleden verscheen, was in zijn geheel
gewijd aan dit hot item. Diverse voorbeelden
van computercriminaliteit kwamen aan de
orde. Dat varieerde van de bekende truc met
gea-pasjes, waaraan enkele jaren geleden
door Veronica ruime aandacht werd be
steed, tot aan een inbraak in Mira. Verschil
lende deskundigen komen in deze Bank in
Beeld aan het woord en geven hun mening
over diverse beveiligingsaspecten. Via dit
medium kunnen ook de bestuurders van
plaatselijke banken kennis nemen van het
belang van een goede beveiliging van de in
formatica.' Ook het management van Rabo
bank Nederland is tijdens een aantal
seminars de spiegel voorgehouden.
Ruurda: 'Zij zijn namelijk ieder voor
zich verantwoordelijk voor de beveili
gingsaspecten van het gebruik van
computers. Dus ook als het gaat om
PC's op de eigen afdeling. Bovendien
is een aantal managers ook verant
woordelijk voor de produktontwikke-
ling van automatiseringsprodukten
ten behoeve van de aangesloten ban
ken. De - geautomatiseerde - verwer
king van gegevens moet voldoende
veilig kunnen plaatsvinden. Dit kan in
de praktijk alleen goed gaan, als er al
vanaf de start van de ontwikkeling
rekening mee wordt gehouden.'