• Home
• Nieuws

Albert van Heugten (CorpoNet) en Micha van der Burg (Avantage): Inspelen op nieuwe trends en ontwikkelingen met de BIC 4.0

Geplaatst door CorporatieMedia op Wednesday 14 December 2022

Het belang van informatiebeveiliging hoeft veel woningcorporaties niet meer duidelijk gemaakt te worden. Maar hoe je dat thema vervolgens meeneemt in je processen en organisatie, is minder vanzelfsprekend. CorpoNet werkt sinds jaar en dag aan kennisdeling, architectuur en strandaarden binnen de sector, zoals de Baseline Informatiebeveiliging Woningcorporaties (BIC) . Het risicoprofiel is sterk in  beweging en nieuwe bedreigingen verschijnen vrijwel dagelijks. Daarom komt CorpoNet met een nieuwe versie van de BIC. Op welke ontwikkelingen speelt de BIC 4.0 in en wat hebben woningcorporaties daaraan? CorporatieGids.nl sprak erover met auteurs Albert van Heugten (foto rechtsboven) van CorpoNet en Micha van der Burg (foto linksonder) van Avantage.

De eerste BIC werd in 2016 opgesteld. “Destijds was informatiebeveiliging nog een ondergesneeuwd vakgebied,” blikt Albert terug. “De gedachte achter de baseline was informatiebeveiliging minder complex maken. De materie was soms erg stoffig en lastig te doorgronden, maar tegelijkertijd wel enorm belangrijk voor de hele sector.”

Minder ad hoc
De doorontwikkeling van de BIC leidde in 2019 tot de BIC 3.0. Op de vraag waarom deze versie moet worden geüpdatet, antwoordt Albert: “Er zijn verschillende redenen. Het belangrijkste is dat we willen dat corporaties iets met de BIC gaan doen. Echter liepen we in de praktijk tegen volwassenheidsissues aan. De 3.0-versie was nog steeds lastig te ontsluiten voor corporaties, waarbij de herschikking in de norm – de 27002:2022 kent een nieuwe indeling – naar verwachting veel toegankelijker zal zijn. Met de huidige dreigingen die nu spelen, kan dat niet meer. Dat betekent dat er meer ingestoken wordt op preventieve maatregelen en dat ICT beter gemonitord moet worden. Daarnaast wordt de nieuwe standaard omarmd zodat goed gecommuniceerd kan worden, waardoor informatiebeveiliging handvatten wordt gegeven en je makkelijker maatregelen eraan kunt koppelen. En als laatste hebben we ook enkele nieuwe, actuele onderwerpen aan de BIC toegevoegd.”

Beschikbaarheid, SaaS en privacy
“Een voorbeeld van een nieuw onderwerp in de BIC 4.0 is de wens om alleen vertrouwde apparaten toegang te geven tot de systemen,” zegt Micha. “Dit mitigeert immers voor een deel het bekende hackgevaar. Verschillende corporaties zijn hier in de praktijk al mee bezig, maar hebben moeite met de vraag wat ze exact moeten doen. In de BIC springen we hierop in door te beschrijven wat hier technisch voor nodig is, hoe je weet welke apparaten technisch veilig zijn en hoe de cloud daarbij kan helpen. Ook andere globale IT-trends hebben we meegenomen in de BIC 4.0, zoals nieuwe technologieën, SaaS, privacy, outsourcing en de aansluiting met partners zoals gemeenten of aannemers.”

Ransomware-gevaar
Ook een andere belangrijke trend in de sector komt langs: ransomwareaanvallen. Albert: “De hack van acht corporaties begin dit jaar was hiervoor niet de aanleiding, we waren al met de BIC 4.0 bezig toen deze plaatsvond. We benoemen de aanval van begin dit jaar niet specifiek – dat hoort niet in een BIC – maar doen wel aanbevelingen om het veiligheidsniveau van corporaties te verhogen. We gaan daarbij niet met een vinger wijzen naar wat beter had gekund, maar proberen lessen te trekken voor de toekomst. Dus hoe kunnen backups je na een ransomware-aanval snel weer op de been helpen, wat is dan goede backup en wat is de rol van cloud en hoe ben je kritisch op ketenpartners en toeleveranciers. Dit biedt vervolgens handvatten om als organisatie het gevaar van een ransomware-aanval verder te verkleinen.”

Zwakste schakel
Naast ransomware ziet het duo de mens binnen de organisatie als zwakste schakel, ook de komende jaren. “Natuurlijk is er de laatste jaren veel aandacht geweest voor awareness, maar toch zie je dat een fout in de ‘human firewall’ nog steeds verantwoordelijk is voor 70 tot 80 procent van de incidenten,” vertelt Albert. “Ook buiten onze sector, bijvoorbeeld bij de Universiteit van Maastricht of de gemeente Hof van Twente. We zien dat spearphishing en social engineering steeds vaker gebruikt worden en willen mensen daarop voorbereiden. Immers is de ‘oops often just one click away’, waardoor iedereen heel bewust moet omgaan met linkjes, berichten en bijlagen. Alleen zo wordt échte awareness een tweede natuur.”

Gedeelde verantwoordelijkheid
Het adopteren van échte awareness is iets wat door de hele organisatie moet gebeuren, gaat Micha verder. “Avantage helpt corporaties bij het kritisch kijken naar hun informatiebeveiligingsbeleid. Waar ze staan, waar ze heen willen en hoe ze daar komen. Vanuit onze ervaring motiveren we de organisatie om die stappen te nemen zodat hun volwassenheid rondom informatiebeveiliging groeit. Daarbij moet wel de hele organisatie worden meegenomen. Als de directie het bijvoorbeeld ‘te groot of te moeilijk’ vindt, wordt het niet opgepakt. Door mee te schrijven aan de BIC 4.0 zorgen we ervoor dat we het begrijpelijk en behapbaar voor iedereen houden, zodat informatiebeveiliging een gedeelde verantwoordelijkheid voor de hele organisatie wordt.”

70 procent
Het schrijven van de BIC 4.0 vordert redelijk, sluiten Albert en Micha af: “We zitten inmiddels op zo’n 70 procent,” vertelt Albert trots. “De verwachting is dat we in het eerste kwartaal van 2023 de BIC 4.0 kunnen opleveren. Daarmee leveren wij een echte up-to-date baseline omtrent informatiebeveiliging voor de sector. Niet voor onszelf, maar vooral voor alle huurders, woningzoekenden en medewerkers van de woningcorporaties. Daar doen we het uiteindelijk voor.”

Bron: CorporatieMedia, Foto: CorporatieMedia en Avantage