Customer Success

Succes met Informatiebeveiliging bij SPF Beheer

DE OPDRACHT

Het versnellen van de implementatie van beheersmaatregelen voor informatiebeveiliging, zodat SPF Beheer aantoonbaar voldoet aan het Toetstingskader Informatiebeveiliging van De Nederlandsche Bank.

“In goede samenwerking met de andere projectpartners brengt Quint de juiste expertise en daadkracht om SPF Beheer te helpen in korte tijd de beheersmaatregelen te definiëren en uit te rollen.”

Martin Mos, CFRO

100.000

pensioen deelnemers

180

medewerkers

21

€ miljard beheerd vermogen

Over SPF Beheer

SPF Beheer B.V. verzorgt de bestuursondersteuning, pensioenenadministratie en het vermogensbeheer voor een selecte groep klanten en is een middelgrote speler in de wereld van pensioenen en vermogensbeheer. Haar mensen verstaan hun vak, zijn gedreven, collegiaal en klantgericht. Het is de ambitie van SPF Beheer om klanten op een hoog kwaliteitsniveau te bedienen. Hiervoor heeft zij uitstekende professionals in dienst en investeert ze veel in kennis, systemen en processen om dit te realiseren. SPF Beheer kan dit omdat zij de wereld van haar klanten door en door kent. SPF Beheer kiest ervoor een overzichtelijke groep klanten intensief te bedienen. De klanten waarderen deze focus. De kernwaarden van SPF Beheer zijn betrouwbaar, partnership en verandervermogen.

De uitdaging

SPF Beheer moet als financiële instelling voldoen aan de wettelijke bepalingen om de integriteit, beschikbaarheid en vertrouwelijkheid van de geautomatiseerde gegevensverwerking te waarborgen. Hiervoor moeten binnen SPF Beheer acties en initiatieven genomen worden om belangrijke risico’s die verband houden met informatiebeveiliging binnen de gewenste bandbreedtes te krijgen. Het project ‘Informatiebeveiliging op orde’ was er op gericht om (meer) aantoonbare controle te krijgen over de informatievoorziening in de bedrijfsvoering. Hiervoor moesten ruim 80 op CobIT gebaseerde beheersmaatregelen worden ingericht die betrekking hadden op de bedrijfskritische applicaties en de onderliggende infrastructuur. Van deze maatregelen diende zowel opzet, bestaan als werking aangetoond te kunnen worden.

Onze aanpak

De doelstelling van het project was ervoor te zorgen dat ruim 80 op CobIT gebaseerde beheersmaatregelen werden ingericht. Om het resultaat van het project zo concreet mogelijk te maken, werd aan iedere beheersmaatregel een aantal deliverables gekoppeld. Om een effectieve, procesmatige uitvoering van het project te realiseren heeft Quint een projectontwerp gemaakt met als uitgangspunt de volgende werkpakketten:

  • IT Risk Management
  • Business Alignment
  • IT Standards & Policies
  • IT Service Management
  • Service Level Management
  • HR Management
  • IT Security Management
  • Borging & Beheersing IB (controlcyclus)

Quint heeft hierbij inhoudelijke experts geleverd die de rol van “werkpakket trekker” vervulden. De primaire taak van deze rol was om in nauwe samenwerking met projectmedewerkers en eigenaren van de beheersmaatregelen de verschillende deliverables te realiseren.

De eigenaren waren medewerkers van de staande organisatie verantwoordelijk voor de uitvoering van één of meerdere beheersmaatregelen. In “RASCI-termen” was deze “controleigenaar” dus accountable voor de op te leveren beheersmaatregelen. De werkpakket trekkers rapporteerden de voortgang naar de overal projectleiding in handen van een externe partner van SPF Beheer.

De rolverdeling binnen de pakketten was als volgt. Projectmedewerkers waren voornamelijk externe specialisten, zoals experts van Quint zelf, medewerkers van de uitbestedingspartner van SPF Beheer en andere externe adviseurs. Zij brachten kennis, kunde en capaciteit in en ondersteunden de beheersmaatregel eigenaren gedurende de projectperiode om de set “beleid, standaarden, richtlijnen, processen en procedures” te realiseren onder leiding van de werkpakket trekkers. Daarnaast zorgden de projectmedewerkers ervoor dat de beheersmaatregelen door de eigenaren werden uitgevoerd, al dan niet met hulp van projectsupport.

Het aantal deliverables van het project was zeer uitgebreid en gevarieerd. Hierbij kan gedacht worden aan deliverables variërend van beleidsdocumenten, procesbeschrijvingen, risico-analyses en rapportage-beoordelingen tot aan vernieuwde contracten. Een belangrijke methode om in korte tijd tot gewenst resultaat te komen, was het uitvoeren van workshops. Daarbij trad de werkpakket trekker op als facilitator, consultant en sparringpartner. Hij bracht hierbij referentiemateriaal en “best practices” in om het proces te versnellen. Met behulp van de verschillende interne kennishouders en externe experts kon op deze manier invulling gegeven worden aan de deliverables.

Naast focus op het ontwerpen, werd bij deze workshops ook aandacht besteed aan de (toekomstige) werking van de maatregelen om de uitvoerbaarheid te borgen. Waar nodig vond aanvullende “coaching on the job” plaats om de link met de praktijk te verankeren. Zo kon Quint in goede samenwerking met de verantwoordelijke externe partner een bijdrage leveren aan de voorbereiding van de fase van de verdere werking en borging die deze partij voor haar rekening nam in het project.

Door per deliverable de voortgang bij te houden, hebben de werkpakket trekkers de projectmanagement organisatie altijd zeer actueel inzicht kunnen geven in de status. Vooral voor de pensioenfondsen was dit zeer belangrijk. Op een speciaal voor het project ingerichte digitale omgeving, konden deliverables na goedkeuring door verschillende rollen van de juiste status worden voorzien. Alle betrokkenen hadden zodoende toegang tot de voor hen relevante informatie en documentatie om op tastbare wijze de voortgang van het project te volgen.

Quint heeft met het leveren van het ontwerp van het project, het inbrengen van de benodigde kennis van controls en het trekken van werkpakketten in goede samenwerking met de verschillende andere betrokken partijen een bijdrage kunnen leveren aan het projectresultaat.

Het Resultaat

Het resultaat is dat in goede samenwerking met interne en externe betrokkenen de belangrijkste standaarden, beleidsstukken, processen en andere guidelines zijn opgesteld of gereviewd als voorbereiding op de audit op opzet en bestaan. Daarbij is bijgedragen aan kennis en vakmanschap van de control-eigenaren zodat zij in de toekomst zelf de verantwoordelijk voor de control-cyclus kunnen dragen.

OUR CAPABILITIES FOR CHANGE

Hoe kunnen wij u helpen?

CONSULTING

IT & Sourcing Governance

Quint beschouwt de IT-voortbrengingsketen als een integraal onderdeel van de waardeketen van een klant in plaats van een IT-waardeketen op zichzelf die diensten levert aan de business. Dit betekent…

Meer informatie

Digitale Strategie

Een digitale strategie definieert de manier waarop digitalisering en het gebruik van data de klantbenadering en bedrijfsprocessen verbeteren. Daarnaast geeft het richting aan de ontwikkeling en het…

Meer informatie

Enterprise Cloud

Met een effectieve hybrid cloudstrategie kunnen organisaties de optimale cloudmix kiezen en zo de maximale voordelen behalen tegen aanvaardbare risico’s en kosten. Wat precies de optimale cloudmix…

Meer informatie
TRAINING

Vakmanschap in Informatiebeveiliging

Ondernemingen registreren en verwerken een grote verscheidenheid aan informatie, zoals concurrentiegevoelige, financiële, en privacy gevoelige gegevens. Er dient zorgvuldig met de vastgelegde…

Meer informatie

BiSL® Foundation

Vanwege de complexiteit van de hedendaagse businessomgeving is de behoefte aan een snelle marktrespons urgenter dan ooit tevoren. Organisaties kunnen niet functioneren met suboptimale ondersteuning…

Meer informatie

BiSL® Next

De BiSL® Next training maakt je bewust van het samenspel tussen verschillende krachten als je de informatievoorziening gaat managen. Je hebt te maken met strategie, governance en verandering. Maar…

Meer informatie
Klantverhalen

Dare To Challenge

  • NIBC Bank

    Succes met Digitale Transformatie bij NIBC Bank

    Lees meer
  • RDW

    Succes met transformatie naar Agile bij RDW

    Lees meer
  • NUTRECO

    Succes met IT Service Management bij Nutreco

    Lees meer
  • STEDIN

    Succes met DMBOK en Data Management bij Stedin

    Lees meer