ING – Business Based Risk Strategy

De omgeving

ING is een wereldwijde financiële instelling die diensten levert op het gebied van bankieren, beleggen, levensverzekeringen en pensioenen. ING heeft meer dan 75 miljoen klanten in Europa, de Verenigde Staten, Canada, Latijns-Amerika, Azië en Australië. Financiële instellingen, zoals ING, moeten in toenemende mate voldoen aan verscherpte regulering en gedragscodes.

Naast deze verscherpte regulering en gedragscodes zijn er ook vele risico’s van allerlei aard die de bedrijfsvoering van financiële instellingen bedreigen. Deze variëren van ‘technische’ tot meer ‘business’ georiënteerde bedreigingen. Denk daarbij bijvoorbeeld aan phishing en hacking van e-bankieren, aan reputatieschade ten gevolge van informatieverlies en interne fraude.

De uitdaging

Om aan te sluiten op ontwikkelingen op het gebied van risk management, heeft ING gekozen voor de introductie van een vernieuwde, door business gedreven security architectuur. In eerste instantie is het doel om op beperkte schaal de specifieke kenmerken en voordelen van deze architectuur aantoonbaar te maken voor verschillende disciplines. Onder deze disciplines bevinden zich Architectuur, Risk Management en Business Operations.

De rol van i-to-i

i-to-i heeft een aanpak geadviseerd, waarmee de security architectuur doelgericht in de praktijk wordt gebracht, beginnend bij de business drivers. De Business wordt in staat gesteld richting te geven en IT wordt in staat gesteld om op basis van een gezonde en gedragen business case de juiste maatregelen toe te passen.

Deze aanpak heeft niet alleen impact op architectuur en risk management processen, maar verandert ook de manier waarop Business en IT samenwerken. i-to-i heeft ING geholpen om, in één specifieke waardeketen, deze aanpak projectmatig toe te passen als ware het een prototype.

i-to-i heeft in drie maanden tijd, op basis van resultaatverantwoordelijkheid, dit project gerealiseerd. Bovendien is dit project in nauwe samenwerking met interne belanghebbenden en medewerkers uitgevoerd, zodat zij deze aanpak ‘meester’ worden en binnen andere waardeketens zelf kunnen toepassen.

De methode

i-to-i werkt sinds jaren samen met de auteurs van SABSA : Sherwood Applied Business Security Architecture. In samenwerking met John Sherwood, die als ‘Thought Leader’ in projecten deelneemt, heeft i-to-i de aanpak ontwikkeld om op een toegankelijke en realistische manier het Risk Management domein te vernieuwen. Dankzij de ‘2-way’ traceerbaarheid van business drivers naar beveiligingsmaatregelen zijn de voordelen zichtbaar en aantoonbaar.

Het resultaat

Het project heeft in concrete zin een vernieuwde lijst van beveiligingsmaatregelen opgeleverd. Deze lijst toont de praktische waarde en de impact van het verfijnde en transparante karakter van de vernieuwde security architectuur. Naast de concrete inhoudelijke resultaten, heeft i-to-i een transparant en toepasbaar proces opgeleverd. In combinatie met de opgebouwde praktische kennis vormt dit een belangrijke stap in de borging van het resultaat.

Al met al heeft het project ertoe geleid dat de waarde van de vernieuwde security architectuur voor alle disciplines aangetoond is. Het biedt een waardevolle basis om van een prototype toepassing te groeien naar een brede implementatie. i-to-i heeft hiertoe een reeks van gerichte aanbevelingen gedaan voor de korte en lange termijn.

Hendrik Zwart             Toby Boerlage             PatrickLeliveld
Robert Veenstra          Jeroen van Esch         John Sherwood 

Terug naar het projectenoverzicht.