Bijna elke week lijkt het wel een keer langs te komen; een bericht over een grote hack of ransomware-aanval die een of meerdere bedrijven lam legt. Een gevaar dat zeker ook woningcorporaties kan treffen. Hoe bescherm je jezelf tegen criminelen en zorg je er tegelijkertijd voor dat processen werkbaar blijven? CorporatieGids Magazine sprak daarover met Frans van der Ploeg, medewerker I&A en contractbeheer bij Woongoed Middelburg.
Door gevaar van buitenaf noemt Frans het waarborgen van de continuïteit, beschikbaarheid en betrouwbaarheid van de Woongoed-systemen de grootste uitdaging. “Wanneer onze medewerkers niet meer bij de systemen kunnen omdat deze bijvoorbeeld gegijzeld zijn door ransomware of data in systemen zijn verwijderd door een hack, dan kunnen we onze processen niet meer uitvoeren en ons werk niet meer verrichten. Het is daarom essentieel om dit te voorkomen.”
Drie pijlers
Woongoed Middelburg richt haar informatiebeveiliging in op drie pijlers: mens, organisatie en techniek. “Mens beschrijft de medewerkers van Woongoed,” licht Frans toe. “Zij moeten zich bewust zijn van de gevolgen die hun handelingen kunnen hebben voor systemen. Jaarlijks zorgen we ervoor dat er een actie wordt georganiseerd zoals een phishing-actie, mystery guests die langskomen of medewerkers die worden gebeld met vragen om persoonlijke informatie te delen. Zo proberen we iedereen scherp te houden.”
“De pijler organisatie gaat over de wijze waarop Woongoed Middelburg de informatiebeveiliging heeft georganiseerd. Dat betekent dat we een duidelijke crisisorganisatie met een draaiboek hebben klaarliggen. Hierin is geregeld welke functionaris bij welke calamiteit welke verantwoordelijkheden heeft. Minimaal één keer per jaar wordt dit bijgesteld en besproken door het management. Recent hebben we afgesproken dat we – net als bij de bedrijfshulpverlening – dit jaarlijks moeten gaan oefenen.”
Technische maatregelen
De laatste pijler techniek gaat over alle maatregelen die je technisch kunt nemen, vertelt Frans. “Welke eisen stel je aan de hosting-partijen en softwareleveranciers, zoals certificaten of verplichte pentests. Techniek gaat ook over de maatregelen die Woongoed zelf neemt. Denk aan toegangsbeveiliging tot het pand, autorisaties binnen de software, de complexiteit van wachtwoorden en tweefactor authenticatie. We zijn ook aan het bekijken hoe we logging kunnen gebruiken ter preventie. Bijvoorbeeld door een signaal af te geven aan de I&A-afdeling wanneer iemand een workflow aanpast of een grote dataset uit het systeem downloadt.”
Doelen hard maken
Het lastige van de doelen – continuïteit, beschikbaarheid en betrouwbaarheid – is dat je ze niet ‘hard’ kunt maken. Frans: “Je kunt niet zeggen ‘als we dit doen, dan zijn we veilig’. Wat je wel kunt doen, is de ontwikkelingen volgen en kijken wat er nodig is voor de eigen organisatie. Wat je wel kunt meten, is wat je in je eigen organisatie afspreekt. Hebben we de oefeningen voor de medewerkers gehouden? Hebben we ons plan herzien en om certificaten gevraagd? Binnen Woongoed bepalen we jaarlijks de speerpunten en in de kwartaalrapportages aan het MT informeert de afdeling I&A over de voortgang en eventuele bijstellingen.”
Zo sterk als de zwakste schakel
Informatiebeveiliging is zo sterk als de zwakste schakel, gaat Frans verder. “Wanneer je de techniek niet op orde hebt en je de deur open hebt staan voor niet geautoriseerde gebruikers, dan is dat je zwakste schakel. Weten de medewerkers redelijk goed een mail te beoordelen maar heb je geen draaiboek liggen voor een eventuele calamiteit, dan is dat je zwakste schakel. De mens is dat dus niet per se. Het is echter wel zo dat er binnen een organisatie veel medewerkers zijn met een functie die een ander doel heeft dan informatiebeveiliging. We helpen mensen die zelf niet aan woonruimte kunnen komen aan een woning, begeleiden hen bij schulden en problemen, zorgen voor onderhoud en voor nette wijken. De uitdaging zit hem erin om medewerkers die van nature met andere dingen bezig zijn te laten ervaren wat de consequenties zijn van klikken op een foute link of het geven van persoonlijke informatie aan iemand met wie je dit niet mag delen.”
Mag ik dit delen?
Om het gevaar van dat laatste te verminderen, is Woongoed Middelburg aan de slag gegaan met de ‘Mag ik dit delen?’-tool. “We zagen aan de hand van social engineering, de bespreking van voorbeelden en de vragen die dat oproept, dat het voor medewerkers lastig is om te bedenken of bepaalde informatie gedeeld mag worden. Natuurlijk begrijpt een verhuurmedewerker dat informatie over overlast niet gedeeld mag worden. Maar voor een medewerker sociaal beheer wordt dit al lastiger in overleggen met externe partners. We zijn daarom de samenwerking aangegaan met VVA-Innovatisering om samen een applicatie te ontwikkelen waarmee we in een paar muisklikken dit voor medewerkers duidelijk kunnen maken. Nu hebben medewerkers beter inzicht in wat gedeeld kan worden en kunnen ze via de applicatie vragen stellen aan de I&A-afdeling en opmerkingen maken. Binnenkort willen we ook aan de slag met een ‘Mag ik dit vragen’-tool om medewerkers meer duidelijkheid te geven over wat ze wel en niet mogen vragen aan huurders.”
Adviseursrol
Op de vraag hoe Frans informatiebeveiliging de komende jaren ziet veranderen, vertelt hij: “Als ik kijk naar Woongoed intern zie ik een ontwikkeling waarbij het thema een verantwoordelijkheid van het MT is geworden. De afdeling I&A is daarbij meer in een adviseursrol terechtgekomen. Binnen Zeeland werken we veel samen als corporaties, zoals een gezamenlijk ERP-systeem, CRM en telefonie. Het is een logische ontwikkeling om informatiebeveiliging ook samen op te pakken.”
Continuïteit garanderen
“Extern zie je dat vitale infrastructuur steeds meer wordt aangevallen door hackers,” sluit Frans af. “Hierdoor ligt internet of telefonie bijvoorbeeld uit de lucht. Ik denk dat dit alleen maar zal toenemen, en daar moeten we op inspelen. Daarnaast zie je een verschuiving; naast het hacken van een individuele organisatie komt het steeds vaker voor dat software wordt gehackt waar veel partijen gebruik van maken. Denk aan de recente Kaseya-hack. Er is al langere tijd een verschuiving aan de gang van het hacken om informatie buit te maken naar het hacken van systemen om data terug te verkopen. Ook hier zullen we plannen voor moeten maken en zorgen dat ons datahuis beter beveiligd is dan die van de buren. We zijn daarom onder andere bezig met een continuïteitsplan waarmee we kunnen garanderen dat – in geval van calamiteit – onze noodzakelijke dienstverlening kan blijven doorgaan.”
Bron: CorporatieGids Magazine, Foto: Linda Hemmes
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
