Leen Spaans (Woonforte): Techniek moet het gewoon doen

Geplaatst door CorporatieMedia op
 

Woningcorporaties leunen steeds meer op automatisering en laten zich ondersteunen door ICT-systemen. Maar hoe zet je zo’n landschap op een optimale manier neer? En hoe houd je daarbij rekening met risico’s op het gebied van privacy en veiligheid zodat de continuïteit wordt geborgd? CorporatieGids Magazine sprak hierover met Leen Spaans, Senior Specialist I&A en Security Officer bij Woonforte.

De vraag wat een optimaal ICT-landschap bij woningcorporaties precies inhoudt, is volgens Leen een lastige om te beantwoorden. “Maar als je de vraag vanuit een technische invalshoek benadert, dan moet er in het landschap in ieder geval voldoende flexibiliteit zitten zodat het mee kan bewegen met de organisatie. Denk aan het opschalen en afschalen van de organisatie. Sowieso vind ik dat het landschap altijd moet aansluiten bij de bedrijfsvoering van de organisatie en daarnaast moet het kostenefficiënt zijn. Standaardisatie vind ik ook belangrijk. Geen exoten dus maar standaarden uit de markt. Dat maakt je als organisatie minder afhankelijk van een leverancier want als je niet tevreden bent, kun je je landschap oppakken en door een ander laten beheren. Uiteindelijk is ICT natuurlijk geen core business voor een corporatie. Dat is het bouwen en beheren van vastgoed en ICT moet dat ondersteunen.”

Continue ontwikkeling
“De ontwikkeling van dit landschap is een continu proces geweest in de afgelopen twintig, dertig jaar,” gaat Leen verder. “In het begin was het vooral het zelf in beheer hebben van allemaal losse onderdelen. Nu is dat geëvolueerd naar gekoppelde systemen die – grotendeels – in de cloud staan. Die beweging naar de cloud is trouwens heel sterk. Een andere belangrijke ontwikkeling is dat kantoorautomatisering nu ook in de cloud staat. Dat was voorheen niet zo. Je was al blij met een typemachine die wat intelligenter was. Ook hier zie je overigens een toenemende standaardisatie; vaak is de kantoorautomatisering op basis van Microsoft. Ook omdat er eigenlijk geen goed alternatief is. Een leuke bijkomstigheid is dat Microsoft de woningcorporaties als ‘goed doel’ ziet en daarom een speciale tarifering aanbiedt.”

Veiligheid en informatiebeveiliging
Over de rol van veiligheid en informatiebeveiliging binnen een optimaal ICT-landschap bij corporaties, zegt Leen: “Veiligheid en informatiebeveiliging spelen een cruciale rol bij corporaties. Zij hebben nu eenmaal veel, ook gevoelige, data van personen. Op dit moment zie je dat security officer en privacy officer nog vaak ‘extra’ rollen zijn van een medewerker, maar ook dat hoe langer hoe meer dit volwaardige functies worden. Corporaties investeren tegenwoordig veel in de privacy en veiligheid. Dat gebeurt bijvoorbeeld door het gebruiken van technische mogelijkheden als firewalls, maar er wordt ook geïnvesteerd in zaken als awarenesstrainingen. Een van onze trainingen houdt bijvoorbeeld in dat er ergens een USB-stick wordt neergelegd en dat je observeert wat ermee gebeurt. De kans is nog steeds aanwezig dat de stick door een medewerker in een PC of laptop wordt gestoken om te kijken wat er op staat. Criminelen kunnen daar op slinkse wijze misbruik van maken. Ook phishingmails, mystery guests en mystery callers vallen bij ons onder awarenesstrainingen. Bij een mystery guest onderzoeken we hoe ver deze in een gebouw kan doordringen. En bij een mystery caller analyseren we of het lukt om privacygevoelige informatie telefonisch te achterhalen.”

Hack bij collegacorporaties
“De trainingen in het bewust omgaan met dit soort risico’s hebben een flinke impuls gekregen door een grote hack bij acht collegacorporaties twee jaar geleden,” legt Leen uit. “Daardoor kwam er ook op bestuurlijk niveau een grotere bewustwording van de risico’s die corporaties – en niet alleen grote bedrijven – lopen op het gebied van security. Je kijkt dus als corporatie op het gebied van veiligheid continu naar: ‘Waar staan we?’. Om dit te kunnen bepalen zetten we onder andere ethische hackers en penetratietesten in. Ethische hackers krijgen dan de opdracht van ons om te kijken hoever zij kunnen doordringen in onze systemen.”

Data veiligheidsrisico’s meten
“Cijfers die bijgehouden worden in het kader van veiligheid zullen per corporatie verschillen,” zegt Leen. “Je kunt meten hoeveel cyberaanvallen er zijn geweest of hoeveel besmette mails je firewall moet tegenhouden. Maar je kunt ook de awareness bij de medewerkers meten. Denk aan een phishingmail waarvan je er honderd stuurt naar medewerkers. Als er dan twintig keer op een link in die mail wordt geklikt en tien medewerkers gegevens invullen en drie medewerkers zelfs hun wachtwoord invoeren, dan kun je dat vergelijken met de normeringen die de corporatie daarvoor heeft en actie ondernemen.”

Einde van lokale systemen
De cloud speelt een grote rol in het huidige ICT-landschap. Leen: “Tegenwoordig staat vrijwel alles hierin en wordt de technische infrastructuur eigenlijk vooral gevormd door diezelfde cloud. Dat vraagt heel veel van je internetverbindingen. Het liefst wil je ook twee providers waarvan de verbindingen op twee verschillende plekken het pand binnenkomen en verlaten. Daarmee borg je de continuïteit van je bedrijf voor de situatie dat er een verbinding niet werkt. De cloud is onmisbaar voor ons want al onze grote systemen zitten er al in. Over drie jaar zullen er nauwelijks nog lokale systemen zijn. De coronapandemie heeft er overigens mede voor gezorgd dat de ontwikkelingen op dit gebied razendsnel zijn verlopen. Opeens moesten we allemaal thuis en online werken. De cloud heeft dat mede mogelijk gemaakt.”

Techniek moet het gewoon doen
Volgens Leen zie je binnen corporaties hoe langer hoe meer de opvatting dat techniek het gewoon moet doen. “Onze medewerkers zijn dan meer met de toepassing zelf bezig dan met de techniek die er achter zit. Woonforte heeft de techniek voor een groot deel uitbesteed; in ons geval aan Mostware. Zij moeten onze technische omgeving onder controle hebben en houden en spelen dus een belangrijke rol in ons ICT-landschap. Doordat we dit hebben uitbesteed, zijn wij als corporatie veel minder kwetsbaar als er iemand wegvalt. Dat is dus goed voor onze continuïteit. En nogmaals, ICT is geen core business voor ons. Dat moet het gewoon doen.”

Ook corporaties moeten meer samenwerken
“Ook bij betere samenwerking tussen corporaties onderling zijn nog voordelen te behalen. Dat is ook één van de uitgangspunten van CorpoNet, het netwerk van IT-medewerkers van woningcorporaties. Als een van de oprichters vind ik dat je kennis op verschillende terreinen moet delen. Denk aan security, architectuur en digitalisering. Alle corporaties doen ongeveer hetzelfde en het zijn geen concurrenten. Dus waarom zou je die kennis niet delen? Als ik met vragen zit, kan ik die aan de leden stellen en krijg ik onafhankelijke en ongekleurde antwoorden. Dat is waardevol.”

Uitdagingen
Vooruitkijkend naar belangrijke ontwikkelingen in de komende jaren, besluit Leen: “De komende jaren willen we ons met Woonforte vooral richten op twee ontwikkelingen binnen de IT. We zetten sterk in op RPA, robotsoftware om repetitieve handelingen te automatiseren. En daarnaast volgen we de ontwikkelingen op het gebied van kunstmatige intelligentie, zoals ChatGPT. We zien dat soort zaken niet als bedreiging. De technieken staan dan deels nog wel in de kinderschoenen, maar we verwachten er veel van.”

Bron: CorporatieGids Magazine, Foto: Piet Jacobson