Voor financiële dienstverleners staat databeveiliging hoog op de agenda. Niet alleen omdat overheden en toezichthouders allerlei eisen stellen, maar ook omdat klanten van hun bank of verzekeraar verwachten dat deze hun zaken op orde hebben. “En dat mogen ze ook verwachten”, zegt Ted Blonk, Information Security Officer bij Robeco in Rotterdam. Robeco, opgericht in Rotterdam in 1929, biedt beleggingsproducten en -diensten voor institutionele en particuliere beleggers wereldwijd. Het beheerd vermogen bedraagt circa 146 miljard euro (per 31 december 2007). Het productaanbod van de financiële dienstverlener omvat aandelen-en vastrentende beleggingen, geldmarkt- en vastgoedfondsen, en alternative investments, waaronder private equity, hedgefondsen en gestructureerde producten. Robeco is onderdeel van de Rabobank Groep, wereldwijd een van de weinige particuliere banken met de hoogste
kredietwaardigheidbeoordeling.
Goede IT-ondersteuning “In de financiële dienstverlening is goede IT-ondersteuning op alle fronten cruciaal”, zegt Ted Blonk. “Orders en opdrachten van klanten moeten snel maar vooral correct afgehandeld worden. Hierbij zullen aspecten als de integriteit van de gegevens en de vertrouwelijkheid ervan gewaarborgd moeten zijn. De ICT afdeling van Robeco besteedt hier traditioneel al heel veel aandacht aan. De laatste jaren is het echter steeds belangrijker geworden om de maatregelen die je op dat terrein neemt of hebt genomen, inzichtelijk en aantoonbaar te maken.” Ted Blonk wijst op regelgeving als Sarbanes-Oxley, MiFID en Basel II.
Stap verder
Met het oog hierop startte Robeco ongeveer twee jaar geleden een project waarbij in totaal zo’n 200 databases grondig werden geanalyseerd. Ted Blonk benadrukt dat deze systemen al voorzien waren van een hoge mate van beveiliging. “Je kunt zeggen dat de spijlen van het denkbeeldige hekwerk dat om deze databases geplaatst is al behoorlijk dicht tegen elkaar aan stonden. Maar de vraag was nu of ze echt dicht genoeg bij elkaar stonden of dat we nog een stap verder konden gaan.”
Specifieke kennis
Robeco schakelde Motiv in voor dit project. “Het gaat hier om heel specifieke databasekennis”, verduidelijkt Ted Blonk. “Ik ben heel blij dat Motiv helpt Robeco bij versterken databasebeveiliging Motiv ons hiermee kon helpen, want deze specifieke kennis is niet breed voorhanden. Robeco is een kritische klant, denk ik. Gewoon goed is voor ons, maar ook voor onze klanten, niet goed genoeg. Wij willen niets aan het toeval overlaten.“
Scans
In opdracht van de IT beveiligingsorganisatie van Robeco voerde Motiv tal van scans uit om te kijken waar zich nog mogelijke kwetsbaarheden bevonden in de beveiliging van de databases die een gevaar voor Robeco konden opleveren. Op basis van de resultaten stelde de expert van Motiv maatregelen voor en werd de impact van wijzigingen onderzocht. “Een zeer secuur werk”, aldus Ted Blonk, “Ook omdat we een 24-uursbedrijf zijn. De business gaat hier altijd door en dus voor.” Dat vereiste veel overleg met de beheerders van de databases en ook veel inhoudelijke kennis tot op detailniveau van databasetechnologie. ”
Continue processen
Volgens Ted Blonk zijn beveiliging en de daaraan gerelateerde compliancy continue processen. “Het is een cyclus die niet stopt. Je blijft steeds verbeteren en aanpassen. Het begon ooit met netwerkbeveiliging, toen kwam de specifieke applicatie- en databasebeveiliging en nu staat secure coding – het inbouwen van beveiliging meteen bij de applicatie-ontwikkeling– hoog op de agenda. Naast het moeten voldoen aan regelgeving speelt vooral het eigen kwaliteitsbesef een belangrijke rol. Je moet deze zaken op orde hebben omdat de klanten erop vertrouwen dat hun gegevens in goede handen zijn.”
* Dit artikel is overgenomen uit Motivator 8 (mei 2008)