DNB zet zich proactief in voor risicobeheer

De noodzaak om financiële services te beschermen
Banken leveren zulke vitale services dat ze alles moeten doen wat in hun macht ligt om hun blootstelling aan risico's te elimineren of verminderen. Als banksystemen uitvallen, kan dit een verwoestend effect hebben op individuele klanten, bedrijven of hele landen.

Of het nu gaat om het garanderen van IT-uptime, het screenen van externe handelspartners of bescherming tegen externe cyberaanvallen, de noodzaak om kwetsbaarheden te identificeren en te beperken vertegenwoordigt een enorme opgave. Dit is zeker het geval voor DNB, dat met jaarlijkse IT-uitgaven van ruim 500 miljoen euro ongeveer 50 service-eigenaren heeft, die bijna 1000 IT-gerelateerde toepassingen, datacenters en cloudinfrastructuren beheren.

In de sterk gereguleerde wereld van financiële services moet DNB ook zijn 11 productlicenties voor bankieren en financiën beschermen door te bewijzen dat ze compliant zijn aan toezichthouders zoals Schrems II, Basel III en NIST.

“Als er een beveiligingslek zou zijn met een gegevensinbraak, zou dit een verwoestende uitwerking hebben op onze reputatie. We zouden onze uitvoeringslicenties kunnen verliezen en ongelooflijk hoge boetes kunnen krijgen, en klanten zouden kunnen vertrekken”, aldus Anne Kristine Næss, Enterprise Architect voor het ServiceNow Platform bij DNB.

Risicobeheersing staat hoog op de agenda van DNB, maar de bank vond het onmogelijk om dit complexe werk handmatig te doen met behulp van Excel-spreadsheets. Het kostte te veel tijd en wanneer gegevens beschikbaar werden, waren ze vaak al verouderd.

Het Basel III-akkoord en de kapitaalvereisten met betrekking tot de risicopositie van DNB betekenen dat de bank ook jaarlijks grote bedragen opzij moet zetten als verzekering voor als er iets mis zou gaan. De bank wilde meer controle over zijn risico's en de mogelijkheid om zijn risicopositie te verlagen, om zo de kapitaalvereisten te verlagen. De bank zou dit geld dan kunnen investeren in winstgevendere activiteiten, zoals het creëren van nieuwe digitale producten en functies die aansluiten op de steeds grotere verwachtingen van klanten.

Risicobeperking op basis van de huidige gegevens
“We hadden een tool nodig die ons een hiërarchie zou bieden, waarin we knooppunten zouden kunnen koppelen en resultaten zouden kunnen leveren die van nut zijn voor verschillende frameworks”, aldus Kristine. “We moesten ook bewijzen dat we beleid volgen, waarvoor taakbeheer nodig is waarmee mensen live gegevens kunnen verzamelen, kunnen zien wat er aan de hand is en er vervolgens iets aan kunnen doen.

“We zijn er niet in geslaagd om volledig van Excel af te stappen, maar mensen zien nu dat ze beter op de gegevens in ServiceNow kunnen vertrouwen dan op hun spreadsheets.”

DNB heeft al veel andere ServiceNow-oplossingen gebruikt. Zo heeft de bank ServiceNow Integrated Risk Management geïmplementeerd om risico's voor zowel interne services als dreigingen van derden te beheren.

De SAM-module (Software Asset Management) en Vulnerability Response worden gebruikt om beveiligingslekken te traceren rond softwareassets die mogelijk het einde van de levenscyclus bereiken of patches en upgrades nodig hebben. Op deze manier kan DNB ervoor zorgen dat de informatie in zijn Configuration Management Database (CMDB) juist is, en dat service-eigenaren over onbetwistbare gegevens beschikken om de financiering voor patches en andere activiteiten die services veiliger maken te ondersteunen.

ServiceNow Security Incident Response vereenvoudigt de identificatie van kritieke incidenten en biedt workflow- en automatiseringstools die het herstel versnellen. Zo kan de bank leren van wat er in het verleden problemen heeft veroorzaakt en zijn risicopositie verbeteren.

“Ik wil ook de DevOps-module en de aanstaande DevOps-configuratie noemen, waarbij we de codestappen kunnen controleren voordat ze worden geïmplementeerd en in productie gaan”, zegt Kristine. “Dit voldoet aan risicoregelgevingen zoals NIST en zorgt ervoor dat meer teams werken aan best practice voor DevOps en ons een audittrail bieden.”

Meer bewustzijn van kwetsbaarheid voor risico's
DNB heeft nu een framework van gecentraliseerde leden van het risicoteam die processen coördineren: risico- en beveiligingskampioenen binnen een gecentraliseerde IT-afdeling en risicomanagers binnen de bedrijfsvoering van de organisatie.

Ondersteund door ServiceNow-technologie heeft DNB een risicobeperkingsproces geïmplementeerd, met veel nieuwe beleidsregels en controles die zijn ontworpen om de bank veilig te houden door de service-eigenaren meer risicobewust te maken en meer verantwoordelijkheid te laten nemen. Ze concentreren zich op de tijdige acquisitie van realtime gegevens, waardoor personeel de huidige risico's correct kan inschatten en vervolgens prioriteiten kan stellen voor wat moet worden beperkt. Ze beschikken ook over geautomatiseerde risicobeoordelingen, waarmee service-eigenaren vragen beantwoorden over de risico's waar ze momenteel mee te maken hebben, de beperking die ze willen toepassen en de uiteindelijke resultaten. Als ze succesvol zijn, kan het risico worden afgesloten.

“Ons werk heeft de risico's voor de bank beslist verminderd en het bewijs is het aantal zaken dat we hebben aangepakt om de kans op een slechte uitkomst te verkleinen”, voegt Kristine toe. “Op dit moment hebben we een veel betere operationele situatie dan voorheen. Dat komt doordat we echt voorzichtig zijn met wat we in productie brengen, en we erkennen dat risico een veranderde mentaliteit vereist, en niet alleen iets is om over te rapporteren. Dit heeft, samen met ons vermogen om te rapporteren over een goed risicobeheerproces, al geresulteerd in een merkbare vermindering van de kapitaalbindingen voor het huidige boekjaar.

“We hebben nu zeer weinig downtime bij onze kritieke services en zeer weinig problemen. En als we in die positie willen blijven, moeten we naar ServiceNow Integrated Risk Management kijken, omdat het ons niet zal toestaan onze standaarden te verlagen. We willen zorgen voor een grotere klanttevredenheid, geen downtime en geen aangetaste services of beveiligingslekken. ServiceNow helpt ons dit te realiseren.”