Wat als alle ICT-systemen crashen? Wat als boze huurders zomaar kunnen binnenlopen? Wat als een medewerker waardevolle data verkoopt? ‘’Op al deze vragen geven wij in ons informatiebeveiligingsplan en disaster recoveryplan antwoord’’, zegt Aletta Hoogeveen, manager Bedrijfsondersteuning bij Parteon in Wormerveer. Een gesprek over informatiebeveiliging in de breedste zin van het woord.
Download hier het originele artikel uit CorporatieGids Magazine editie juni 2015
Aletta Hoogeveen studeerde in 2009 af op BedrijfskundigeInformatica aan de NHL in Leeuwarden en deed daarvoor onderzoek naar Informatiebeveiliging bij woningcorporaties. In haar periode als consultant verzorgde ze masterclasses over dit onderwerp en in het BITTI-boek Trends in Business & IT jaargang 2011 werden delen uit haar onderzoek gepubliceerd. ‘’De uitkomsten van het onderzoek zijn anno 2015 nog steeds actueel’’, zegt Aletta. ‘’Nog steeds hebben woningcorporaties incidentmanagement niet genoeg geborgd en is de awareness op informatiebeveiliging onvoldoende. Informatiebeveiliging wordt gezien als een ICT-feestje’’.
IBP en DRP
‘’Je ziet dat woningcorporaties al best veel doen op het gebied van informatiebeveiliging’’, gaat Aletta verder. ‘’Waar het vaak aan ontbreekt is dat het niet goed wordt vastgelegd in een informatiebeveiligingsplan (IBP) en geïntegreerd disaster recovery plan (DRP), waarbij het DRP ook wel ICT-calamiteitenplan of uitwijkplan wordt genoemd. Als je niets vastlegt kun je er ook niet op inspelen. Het zijn vaak accountants die de vinger op de zere plek leggen.’’ Dat was bij Parteon niet anders, geeft Aletta ruiterlijk toe. ‘’Wat als de stroom uitvalt? Wat als ons pand afbrandt? Je moet op alle scenario’s voorbereid zijn.’’
Risicoanalyse
Gevraagd naar de aanpak van Parteon om informatiebeveiliging te borgen binnen de bedrijfsvoering, zegt Aletta: ‘’We hebben samen met Jorrit van de Walle van Audittrail een risicoanalyse uitgevoerd met als doel alle risico’s te beschrijven en te analyseren. We hebben daarvoor een template van Audittrail gebruikt, gebaseerd op de NEN-ISO27002, wet- en regelgeving en wat specifiek voor Parteon van toepassing was. Vervolgens was het aan de organisatie zelf om door deze template heen te gaan. Daarna hebben we met Audittrail het informatiebeveiligingsplan opgesteld.’’
Wat als
‘’Alle kritische bedrijfsprocessen zijn benoemd en de proceseigenaren, veelal de teammanagers, zijn geïnterviewd met de ‘wat als’ vragen. Maar ook managers kregen deze vragen. Het is dus echt een plan van de gehele organisatie’’, benadrukt Aletta. ‘’De analyse heeft geleid tot een compleet informatiebeveiligingsplan en geïntegreerd disaster-recoveryplan: van gegevensbeveiliging tot hoe we omgaan met medewerkers en leveranciers en hoe we grote incidenten aanpakken.’’
Groen, oranje en rood
Om woord bij beeld te voegen slaat Aletta het rapport open. Een tabel met groene, oranje en rode blokjes verschijnt. ‘’Groen hebben we allemaal op orde, oranje bijna en rood nog niet. Op P&O gebied hebben we nog veel rode stukken. In ons aannamebeleid vragen we sinds vorig jaar ook een verklaring goed gedrag (VOG) en externen moeten onze integriteitsregeling ondertekenen. Die vlakken worden dus binnenkort ook groen. Ook was onze BHV door interne verhuizing en personeelswisselingen niet meer up to date. Die kan straks ook weer op groen’’, zegt Aletta tevreden. ‘’Zo zie je dat informatiebeveiliging eigenlijk vooral gedrag en bewustwording is en misschien maar voor dertig procent ICT betreft’’, vervolgt Aletta. Het plan geeft inzicht, houvast en een kader. Wij weten nu precies wat we nog moeten doen. Ze wijst nogmaals op het plan: ‘’Het is geen papieren tijger, maar een levend document.’’
Awareness
Op de vraag wat de grootste kwetsbaarheid is van informatiebeveiliging, zegt Aletta: ‘’Awareness bij medewerkers. Je werkt met gegevens van huurders en kopers. Als je kwade bedoelingen hebt, kun je die gegevens verhandelen. Ik weet dat dit in corporatieland gebeurd is. Het kwam aan het licht omdat een huurder contact opnam met de corporatie en vroeg waarom hij door een makelaar werd benaderd. Bleek een medewerker gegevens van potentiële kopers te hebben gelekt. Andere bekende voorbeelden zijn fraude met huuropbrengsten. Dat maakt informatiebeveiliging ook tot een moeilijk domein. Je kunt niet alles beveiligen en je moet dus vooral inzetten op bewustwording, houding en gedrag van medewerkers.’’
Identiteitsfraude
‘’Om de bewustwording bij medewerkers te vergroten is Maria Genova, journalist en schrijfster van het boek ‘Komt een vrouw bij de h@acker’ uitgenodigd voor een lezing’’, vertelt Aletta verder. ‘’De aanwezige medewerkers zijn op een leuke maar toch serieuze wijze meegenomen in het gemak van identiteitsfraude. Over deze sessie is nog lang nagesproken. Veel medewerkers gaan sindsdien anders om met wachtwoorden en zijn meer op hun hoede bij het beantwoorden van privacygerelateerde vragen van huurders. Dit is een leuke manier om awareness bij de medewerkers te borgen.’’
Wachtwoord onder toetsenbord
Louter vertrouwen op goed gedrag doen ze bij Parteon niet. ‘’Onze data-analist heeft een rapport (logging) ontwikkeld waarmee we onregelmatigheden kunnen aantonen in ons primaire systeem. We zien bijvoorbeeld wie een bankrekeningnummer heeft gewijzigd. We houden op deze manier onze processen en data schoon en filteren het onbewust en onbekwaam gedrag eruit. Het is namelijk vaak geen opzet. Wachtwoorden op een briefje onder je toetsenbord komt niet meer voor.’’
Nieuwe uitdagingen
Toch komen er ook steeds weer nieuwe uitdagingen bij, legt Aletta uit. ‘’Wij gaan ook steeds verder met digitalisering. Medewerkers gebruiken smartphones en tablets en hebben via deze tools toegang tot bedrijfsinformatie. Is het dan handig dat kinderen op die zelfde devices spelletjes doen? Nee. Kun je voorkomen dat een device zoekraakt of bewust wordt gestolen? Nee. Wij kunnen natuurlijk devices op afstand blokkeren en leeghalen om misbruik te voorkomen. Het gevaar voor Parteon is vooral imagoschade. We benadrukken medewerkers dus vooral goed eigenaarschap in de manier waarop ze omgaan met hun spullen.’’
Fysieke beveiliging
Fysieke beveiliging is overigens ook een belangrijk onderdeel binnen het informatiebeveiligingsplan van Parteon. ‘’Bezoekers kunnen ons pand uitsluitend binnentreden na aanmelding bij de receptie en met een bezoekerspas. Eenmaal binnen is de betreffende medewerker verantwoordelijk voor zijn/haar bezoek totdat deze het pand weer heeft verlaten.’’ Een beperkt aantal medewerkers beschikt over een toegangscode maar de meeste medewerkers kunnen pas vanaf zeven uur ´s ochtends het pand betreden, anders treedt de alarmfunctie in werking. Een medewerker facilitair is verantwoordelijk voor sleutelbeheer en het bewaken van het toegangsbeleid. Per kwartaal wordt inzichtelijk gemaakt wat de wijzigingen zijn. ‘’Ook dit soort autorisatieprocessen worden onder aanvoering van de accountant steeds scherper aangezet’’, zegt Aletta.
Security assessment
Parteon bereidt op dit moment ook een security assessment voor: een soort stresstest die de kwetsbaarheid van beleid, organisatie en processen blootlegt. ‘’Wij denken bijvoorbeeld wel dat onze website goed beveiligd is, maar wat als ik er een hacker op loslaat? Net als dat je jaarlijks voor de BHV een ontruiming oefent, zou je ook een ICT-ramp moeten simuleren. Onze interne controller schrijft nu samen met Audittrail een plan van aanpak voor een rampscenario. Dat betekent ook dat we met onze ICT-leveranciers in overleg gaan. Als wij bijvoorbeeld op een vrijdag om vier uur ´s middags de boel volledig platgooien, hebben we dan maandagochtend weer de laatste stand van vrijdagmiddag beschikbaar? Hoe staat het met de continuïteit van onze bedrijfsvoering? Die ‘ramp’ gaan we dit jaar uitvoeren.’’ Ze vervolgt: ‘’Corporaties zijn niet verplicht om dit soort rampen te oefenen, maar als je serieus met informatiebeveiliging en disaster recovery wil omgaan, ben je dat aan jezelf verplicht. Zeker wanneer je net als wij het ICT-beheer niet volledig hebt geoutsourcet.’’
Outsourcen
Continuïteit van de bedrijfsvoering en disaster recovery wegen zwaar bij Parteon, zegt Aletta. ‘’Dat is ook de reden waarom we nu onderzoek uitvoeren naar het volledig outsourcen van IT. Daarmee dek je in ieder geval een aantal IT-gerelateerde risico’s af binnen je DRP. Het gevaar van outsourcen is misschien dat daarmee ook het risico denken voor informatiebeveiliging afneemt omdat je denkt dat alles voor je wordt geregeld. Bij ons is dat niet het geval, omdat we dankzij ons IBP en DRP precies weten waar de andere risico’s zitten.’’
Nooit af
Op de vraag of het beschikken over een IBP en DRP alle inspanningen waard is geweest, zegt Aletta: ‘’Jazeker. Iedereen die bij de totstandkoming van het plan betrokken is geweest, is zich nu veel bewuster van de dingen die ze doen. Het geeft veel meer inzicht en dat maakt het werk uiteindelijk ook leuker en eenvoudiger. Een IBP en DRP zijn ook nooit af: je finetuned het voortdurend, al is het maar omdat governance en wet- en regelgeving snel veranderen. Een IBP en DRP helpen je om nieuwe risico’s vroegtijdig te ontdekken en de impact ervan zoveel mogelijk te beperken.’’
Bron: CorporatieGids Magazine
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Juni 2024 - Klantdenken Inhoud Mara van Sluis (Parteon): Klantdenken vervlechten in onze verduurzamingsopgave Jurrian Koks en…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
