Risk Services
Waar zitten de risico's in uw IT-landschap? Wij brengen ze in kaart op basis van ISO 27005 en NIST CSF, testen uw interne beheersing en adviseren richting toezichthouders als DNB en AFM.
Risk Services
Risicobeoordelingen · Interne controle · Toezichthouders
Waar zitten de risico's in uw IT-landschap? Wij brengen ze in kaart op basis van ISO 27005 en NIST CSF, testen uw interne beheersing en adviseren richting toezichthouders als DNB en AFM.
Een gedegen IT-risicobeoordeling is de basis voor effectief risicomanagement. Wij identificeren en analyseren IT-risico's op basis van bedrijfsdoelstellingen, relevante dreigingen en kwetsbaarheden. Het resultaat is een helder risicolandschap met geprioriteerde aanbevelingen voor verbetering.
Methodiek
Onze methodiek sluit aan bij gangbare frameworks zoals ISO 27005 en het NIST Cybersecurity Framework (CSF 2.0), en wordt afgestemd op de omvang en complexiteit van jouw organisatie. We hanteren een gestructureerde aanpak: inventarisatie van assets en processen, dreigingsanalyse, kwetsbaarheidsbeoordeling, impactanalyse en het bepalen van het restrisico na bestaande beheersmaatregelen.
Scope en diepgang
De scope van de risicobeoordeling wordt vooraf bepaald op basis van de context van de organisatie: welke systemen zijn bedrijfskritisch, welke data is het meest gevoelig, en welke regelgeving is van toepassing. We kijken niet alleen naar technische risico's maar ook naar organisatorische factoren zoals governance, awareness en derdepartijafhankelijkheden.
Oplevering
Het eindresultaat is een risicoregister met per risico de waarschijnlijkheid, impact, huidige beheersmaatregelen en restrisico. Risico's worden geprioriteerd en voorzien van concrete aanbevelingen. Het register kan dienen als input voor het ISMS, als onderbouwing voor investeringsbeslissingen of als basis voor rapportage aan het management of toezichthouders.
Wij beoordelen de opzet, het bestaan en de werking van interne beheersmaatregelen rondom IT-systemen en processen. Dit geeft het management objectief inzicht in of de beheersing werkt zoals bedoeld.
Domeinen
De evaluatie omvat de belangrijkste IT-beheersdomeinen: logische toegangsbeveiliging, wijzigingsbeheer (change management), IT-operations, netwerk- en infrastructuurbeveiliging, back-up en recovery, en bedrijfscontinuiteit. Per domein wordt beoordeeld of de controls adequaat zijn opgezet, daadwerkelijk bestaan en effectief werken over de beoordelingsperiode.
Normenkaders
De evaluatie wordt uitgevoerd tegen een relevant normenkader: ISO 27001, SOC 2 Trust Services Criteria, NEN 7510 of een organisatiespecifiek controleraamwerk. Dit zorgt voor een objectieve maatstaf en maakt resultaten vergelijkbaar over tijd.
Resultaat
De evaluatie levert een overzicht van tekortkomingen en verbeterpunten, inclusief risicoclassificatie en concrete aanbevelingen. Dit kan dienen als voorbereiding op een externe audit, als input voor het jaarlijkse IT-auditplan of als onderdeel van de managementrapportage.
Financiële instellingen worden door DNB en AFM steeds intensiever getoetst op hun IT-beheersing en cyberweerbaarheid. Dit geldt niet alleen voor banken en verzekeraars, maar ook voor pensioenfondsen, betaaldienstverleners en beleggingsondernemingen.
DORA-vereisten
Sinds 17 januari 2025 is DORA van kracht en stelt de verordening concrete eisen aan ICT-risicomanagement, incidentmelding, weerbaarheidstesten en het beheer van ICT-derdepartijrisico's. DNB en AFM toetsen actief op naleving en verwachten dat organisaties een gedocumenteerd ICT-risicomanagementkader hebben, significante incidenten tijdig melden en hun kritieke ICT-dienstverleners in kaart hebben gebracht.
Voorbereiding op toezichtonderzoeken
Wij ondersteunen bij de voorbereiding op toezichtonderzoeken door vooraf een zelfevaluatie uit te voeren tegen de verwachtingen van de toezichthouder. Dit omvat het beoordelen van beleidsdocumenten, het toetsen van de operationele uitvoering en het identificeren van gaps die tijdens een onderzoek naar voren zouden komen.
Onze aanpak
Wij combineren kennis van IT-audit met ervaring in de financiële sector. We kennen de verwachtingen van DNB en AFM en helpen organisaties hun IT-risicomanagement op het vereiste niveau te brengen, zonder overbodige bureaucratie. Van gap-analyse en beleidsvorming tot het opzetten van het DORA-informatieregister en de voorbereiding op threat-led penetration testing (TLPT).
Organisaties besteden steeds meer IT-diensten uit aan derde partijen: cloudproviders, SaaS-leveranciers, managed service providers en datacenteroperators. Dit creëert afhankelijkheden die actief beheerd moeten worden.
Leveranciersbeoordeling
Wij helpen bij het opzetten van een leveranciersbeoordelingsproces: van het classificeren van leveranciers op basis van kriticiteit tot het beoordelen van hun beveiligingsmaatregelen via vragenlijsten, certificeringen (SOC 2, ISO 27001) en contractuele waarborgen. Voor kritieke leveranciers adviseren wij over audit- en toegangsrechten.
Concentratierisico
Een bijzonder aandachtspunt is concentratierisico: de afhankelijkheid van een beperkt aantal leveranciers voor kritieke diensten. Dit is ook een expliciet aandachtspunt onder DORA en NIS2/Cbw. Wij brengen deze afhankelijkheden in kaart en adviseren over mitigerende maatregelen zoals multi-cloud strategieën en exitplannen.
Op zoek naar een IT-auditor?
Elke organisatie is uniek. Neem vrijblijvend contact op voor een gesprek over IT-audit, informatiebeveiliging of risicomanagement.