Woningcorporaties hebben de laatste jaren enorme stappen gezet als het gaat om digitalisering, automatisering en de stap naar de cloud. Daarbij heeft security niet altijd de aandacht en invulling gekregen die noodzakelijk is. Zonde, zeggen CISO Jay Schouten (foto links) en Accountmanager Dennis van Leeuwen (foto rechts) van PQR: “Als corporatie moet je invulling geven aan de continuïteit en governance doelstellingen, daarbij hoort ook een strategische security-aanpak.”
Corporaties willen veilig hun data opslaan en de privacy van hun huurders borgen. Ook is de vertaalslag van beleid naar de operatie volgens Dennis voor veel organisaties een uitdaging: “De stappen die gemaakt zijn rondom digitalisering of cloudgebruik en het borgen van de securityimpact, vinden veel corporaties lastig. Hiervoor moeten traditionele security-concepten omgevormd worden naar een strategische aanpak die de dynamiek van IT volgt.”
Ad hoc-gedreven security
Jay: “De coronapandemie is een goed voorbeeld van ad hoc-gedreven security. Om continuïteit te bieden, werd de stap naar thuiswerken snel gemaakt. Nu blijkt die techniek echter een kwetsbaarheid te zijn. Dergelijke bottlenecks zijn te voorkomen door een eigen visie te hebben over waar je heen wilt zodat je niet achter de feiten aanloopt. Zo neem je het mee in iedere laag van de organisatie. Dit, in plaats van moeten reageren wanneer een dreiging zich voordoet, zoals een collegacorporatie die wordt gehackt of een pandemie die dwingt thuiswerken snel te omarmen.”
Schaalvoordeel is niet per se veilig
Op de vraag hoe goed woningcorporaties beschermd zijn tegen cybercriminelen, vertelt Dennis: “Wat je ziet is dat outsourcing vaak gedreven wordt door kenmerken als schaalbaarheid, prijs en kwaliteitsgaranties. Innovatie op security is onderbelicht en juist naar de toekomst kijkend steeds belangrijker. Daarnaast leidt schaalvoordeel bij het delen van technische resources niet gelijk tot een veilige IT-omgeving. De kwetsbaarheid bij de één kan een hack tot gevolg hebben bij de ander. Dat is een punt van zorg.”
Geen after thought
Om te komen tot goede informatiebeveiliging zijn volgens Dennis de volgende twee factoren belangrijk: “Er moet een goede top-down vertaling gemaakt worden van beleid naar praktijkgerichte uitgangspunten. Aansluitend moeten deze uitgangspunten meegenomen worden in de designfase van de te ontwikkelen infrastructuur. In andere woorden; een inrichting van cybersecurity op strategisch, tactisch én operationeel vlak. Allereerst moet security – en gelukkig gebeurt dat steeds vaker – als een essentieel onderdeel worden gezien door het management. Met dat draagvlak neem je het mee in evaluaties en al bij de voorbereiding van projecten. Zo wordt het geen after thought, maar een deliverable van je IT-landschap en processen.”
Vertaalslag
“Daarnaast heb je iemand nodig in het senior management die de visie en doelstellingen kan vertalen naar securitybeleid,” vervolgt Jay. “Dit beleid moet vervolgens vertaald worden naar het operationele vlak. Vaak is hier een technisch iemand verantwoordelijk voor, maar dan kunnen zaken achterblijven. Dat leidt tot oplossingen die niet synchroon lopen met de business, wat processen stroperiger én minder veilig maakt. Door een CISO of Senior Security Officer aan te stellen, weet je zeker dat je iemand hebt die kennis van zaken heeft en wiens taak het is de securitydoelen te vertalen naar concrete handvatten. Door die vertaalslag kun je security iets van de hele organisatie maken en borg je als woningcorporatie kwaliteit op deze thema’s.”
Security stap voor stap inrichten
“PQR kan woningcorporaties helpen bij het stap voor stap inrichten van de security-aanpak”, legt Dennis uit. “We bedienen veel organisaties in de semi-Overheids-sector, maar ook tal van commerciële dienstverleners. Hier hanteren wij een gestructureerde aanpak. Deze begint bij een assessment om te kijken waar de organisatie staat en wat al is ingericht. Op basis daarvan ontwikkelen we een Security Improvement Plan en maken we inzichtelijk hoe en waar ze moeten verbeteren om hun ambities waar te maken. Met onze expertise op IT en security gaan wij hen daarbij begeleiden, zodat woningcorporaties een voorsprong krijgen die bijdraagt aan hun continuïteit, productiviteit en doelen.”
Zero trust
“Securityuitdagingen voor woningcorporaties gaan de komende jaren alleen maar toenemen”, gaat Jay verder: “Je ziet dat steeds meer corporaties de stap naar de cloud maken, en de komende jaren zal outsourcing alleen maar verder toenemen. Dat werkt aan de ene kant kostenbesparend, maar het brengt ook nieuwe uitdagingen met zich mee. Het is aan corporaties om hun due diligence te doen en regie te houden op security. Het omarmen van een Zero-Trust model – een model waarin je niemand vertrouwt, toegankelijkheid strikt beperkt en het aanvalsoppervlak zo klein mogelijk maakt – kan daarin uitkomst bieden. Dat klinkt paranoïde maar is bewezen succesvol tegen cybercriminelen. Hier geven we binnenkort een aantal korte webinars over. Met die mind-set, kunnen corporaties de kwaliteit van informatiebeveiliging steeds beter borgen en hun IT-ambities waarmaken.”
Bron: CorporatieMedia, Foto: PQR
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
