Je weet het: alles wat gedigitaliseerd is, kan worden gelekt, verloren of gestolen.
De onroerendgoedwereld digitaliseert volop. Informatiebeveiliging zou bovenaan moeten staan van elk digitaal vernieuwingsproject. En toch: “Woningcorporaties hebben hun informatiebeveiliging bij lange na niet op orde” volgens BDO Accountants & Adviseurs.
Drie aparte werelden vloeien in elkaar over: die van de huurder in “zijn” woning, die van de medewerker achter zijn computer op kantoor en die van de monteur op locatie. Klantcontact, planning, administratieve terugkoppeling en de financiële afhandeling doorlopen de hele bedrijfsketen. Vanaf de huurder via de woningcorporatie naar de onderaannemer of andere partner en weer terug. Waar moet je beginnen?
De belangrijkste aspecten zijn: de data, de infrastructuur en de mensen. Je zult merken dat een gedegen aanpak van het ene, bijvoorbeeld beleid inzake informatiemanagement, direct aan het licht brengt aan welke beveiligingsniveaus de andere twee moeten voldoen. Een ding is zeker, werken op basis van een architectuur is noodzakelijk. Met "architectuur" heb ik het niet over een bouwproject, maar over de blauwdruk van de bedrijfsprocessen en de daarvoor benodigde ICT-voorzieningen. Houd daarbij rekening met flexibiliteit en potentiele veranderingen in schaal en scope.
Een woningcorporatie is ook een informatiefabriek. Woningcorporaties beschikken over veel data maar gaan er nog niet altijd even bewust mee om. Hoe meer je weet, hoe beter je kunt sturen op verbetering en op nieuwe kansen. Corporaties hebben ook veel privacygevoelige informatie in huis. Reden te meer om zorgvuldig met data om te gaan. Die te beschermen, goed te regelen wie er waar wanneer en met welk apparaat bij kan en wat ermee mag gebeuren. Hoe goed is uw huurdersportaal beveiligd? Welke medewerkers hebben een smartphone van de zaak en wat doen ze hiermee na werktijd?
Het is ook zaak levenscyclusbeleid over opslag en vernietiging te ontwikkelen en na te leven. Goed datamanagement is extra urgent geworden met de nieuwe Meldplicht Datalekken. De wetgeving hieromtrent (Wet Bescherming Persoonsgegevens) schrijft voor dat je adequate beveiligingsmaatregelen moet treffen voor de beveiliging van persoonsgegevens. Dus moet elke organisatie die persoonsgegevens verwerkt – dus ook de woningcorporatie - inzichtelijk hebben hoe de informatievoorziening in elkaar zit.
“Infrastructuur” dient ruim te worden opgevat. Het omvat het netwerk, de apparatuur, de datacenters maar ook toegangspoortjes en kantoorvoorzieningen als printers, etc. Alles en iedereen met een netwerkverbinding kan een punt van aanval zijn, en moet derhalve worden opgenomen in het beveiligingsbeleid en de daaruit voortvloeiende maatregelen. De fysieke beveiliging en bewaking op de locaties moeten in orde zijn. En niet alleen van de kantoorlocaties maar ook van de objecten in beheer. Netwerken goed dichtgetimmerd, vitale computer- en netwerkvoorzieningen dubbel uitgevoerd, computers altijd voorzien van de nieuwste updates. Het is zaak erop toe te zien dat ook de ketenpartners hun zaakjes op orde hebben. Immers, beveiliging is zo sterk als de zwakste schakel, ook als die zich buiten de corporatiemuren bevindt. In security-termen gaat het om: werkplekbeveiliging, antimalware, Firewalls, Intrusion Prevention & Detection, Security Information and Event Management (SIEM), Patch Management, certificering van ketenpartners…
Onderzoek na onderzoek laat zien dat het doen en laten van de (interne) medewerker de belangrijkste oorzaak is van allerlei security-incidenten. Zeker nu ransomware rondgaat (software die computerbestanden op slot zet en tegen betaling weer vrijgeeft), is het cruciaal om medewerkers bewust te maken van de risico’s van het eigen gedrag: niet zomaar klikken op linkjes in e-mail of attachments openen, ook al ziet de afzender er nog zo betrouwbaar uit; geen wachtwoorden delen met collega’s; niet mensen zomaar binnenlaten. Het heeft allemaal met gedrag en bewustzijn te maken. Verbetering daarvan is een doorlopend proces. Gelukkig helpt de techniek een handje, bijvoorbeeld door het inloggen op bedrijfsapplicaties te vergemakkelijken maar ook te versterken met bijvoorbeeld authenticatie op basis van biometrische kenmerken dan wel met eenmalige codes op de mobiele telefoon. Goed regelen wie waar en onder welke condities bij kan verkleint de kans op narigheid. Net als waarborgen dat u zeker weet dat de persoon echt diegene is die hij of zij zegt te zijn, in de fysieke maar zeker ook in de digitale wereld. In securitytermen hebben we het dan bijvoorbeeld over zaken als security awareness trainingen en multi-factor authentication.
Het goede nieuws is dat NetwIT, de vereniging voor ICT-verantwoordelijken bij woningcorporaties, de Baseline Informatiebeveiliging Corporaties (BIC) heeft opgesteld. Dit is een pakket randvoorwaarden voor goede informatiebeveiliging. De BIC is gebaseerd op de Nederlandse norm voor informatiebeveiliging (NEN-norm), die het Rijk ook gebruikt als basis voor haar eigen baseline voor informatiebeveiliging. Woningcorporaties kunnen de BIC gebruiken als startpunt voor de beveiliging van (digitale) informatie die zij beheren, zoals gegevens van huurders en financiële informatie. De BIC biedt ook de mogelijkheid om de diverse dimensies van informatiebeveiliging te vergelijken met die van andere corporaties. De BIC biedt een uitstekende richtlijn en er zijn genoeg goede technologieën, producten en best practices beschikbaar om de informatiebeveiliging op orde te krijgen en te houden.
Valid helpt graag om dit toch complexe geheel op een ritje te zetten. Zoals BDO het schrijft: “Corporaties, maak werk van informatiebeveiliging'”.
Onze specialisten kunnen bijvoorbeeld het huidige beleid, processen en IT-middelen tegen het licht houden en adviezen formuleren. Hoe te starten? Onze "phishing as a service" propositie kan een prima startpunt zijn: je krijgt hiermee inzicht in het gedrag van medewerkers. Wellicht heb je andere prioriteiten? We denken graag mee.