Woningcorporaties zijn continu op zoek naar mogelijkheden om hun systemen en gegevens veilig te houden. Criminele activiteiten als phishing en ransomware-aanvallen komen echter steeds vaker voor. Hoe lang kun je het als corporatie volhouden om in je eigen veiligheid te voorzien? Zijn er geen andere mogelijkheden om dit voor elkaar te krijgen? CorporatieGids Magazine ging erover in gesprek met Rino Kalker, Regisseur ICT beheer en informatiebeveiliging bij Volkshuisvesting Arnhem.
“Informatie en informatiesystemen zijn belangrijk voor de bedrijfsvoering van Volkshuisvesting,” opent Rino het gesprek. “Door de toenemende digitalisering is het zorgvuldig omgaan met gegevens van huurders, medewerkers en organisaties voor ons van groot belang. Zij die een relatie hebben met Volkshuisvesting, gaan ervan uit dat wij op een zorgvuldige en vertrouwelijke manier omgaan met hun gegevens. Een betrouwbare informatiehuishouding is essentieel voor onze dienstverlening. Het waarborgen van privacy en vertrouwelijkheid van informatie en het voorkomen van fraude maakt het treffen van beveiligingsmaatregelen noodzakelijk. Hierbij zoeken we met name naar een werkbare balans tussen gebruikersgemak en toch veilig werken, en niet een aanpak waarbij het inperken van mogelijkheden de boventoon voert. We realiseren ons echter wel dat honderd procent beveiliging nooit lukt.”
Organisatie en doelen
“Informatiebeveiliging is binnen Volkshuisvesting een onderdeel van het risicomanagement,” legt Rino uit. “Informatiebeveiliging verschuift steeds meer naar gegevensbeveiliging, waarbij techniek slechts een onderdeel is. Bewust en verantwoord gedrag van medewerkers vormt daarbij een essentieel onderdeel. Uitgangspunt voor onze informatiebeveiliging is de BIC, de baseline informatiebeveiliging woningcorporaties. Het voldoen aan de vereisten van de BIC scoren wij in een volwassenheidsheidsmatrix. Van niveau 0, geen maatregelen, tot niveau 5, best practice. Volkshuisvesting streeft naar een minimum volwassenheidsniveau van 4.”
IT-systemen en veiligheid
Goede IT-systemen zijn nodig om een veilige corporatie te kunnen zijn. Maar wat houdt dat in voor Volkshuisvesting? Rino: “IT-systemen moeten zodanig zijn ingericht, dat je daarop kunt vertrouwen. Ook moeten IT-systemen goed worden beheerd zodat zij altijd up-to-date zijn. Daarnaast zijn goed opgeleide IT-specialisten van belang. Systemen kunnen heel veel, maar zonder de juiste mensen om deze systemen te beheren red je het niet. Wij hebben daarom in het recente verleden besloten om onze volledige IT uit te besteden aan NEH. Het is voor een organisatie als Volkshuisvesting door alle snelle ontwikkelingen niet meer te doen om deze systemen zelf te beheren. NEH kan dat wel. Op beveiligingsgebied voegen zij bovendien steeds meer producten toe aan hun dienstverlening. En ze maken gebruik van de nieuwe mogelijkheden die Microsoft biedt, zoals numbermatching in de Authenticator waardoor onze tweefactorauthenticatie een stuk degelijker wordt. De combinatie van tools en specialisten tilt de bewaking van onze ‘binnen- en buitengrenzen’ naar een hoger niveau.”
Gevaren en maatregelen
“Phishingberichten zijn helaas bijna dagelijkse kost en ransomware-aanvallen hebben ook organisaties in de corporatiesector en haar leveranciers getroffen,” gaat Rino verder. “Voor ons alle reden om hier als organisatie veel aandacht aan te besteden. Wij willen klaar zijn om de gevolgen van een eventuele ransomware-aanval te beperken. Maatregelen die wij onder andere hebben getroffen, zijn een off-site back-up en een SOC/SIEM-dienst. En ook de bescherming van huurdersgegevens staat hoog op de agenda. Volgens de wetgeving moet je daar zeer zorgvuldig mee omgaan, maar je wilt als dienstverlener natuurlijk ook het vertrouwen van je klanten niet schaden.”
Beveiliging en mensen
Over wat de huurders en medewerkers van de genomen maatregelen merken, zegt Rino: “Oplettende huurders zullen merken dat wij de beveiliging serieus nemen, zonder dat zij daar direct last van zullen hebben. Zij zullen ervaren dat hun gegevens niet zonder de nodige legitimatie verkrijgbaar zijn en dat onze portalen een goede beveiliging kennen. Maar ook als zij ons kantoor bezoeken, merken zij dat beveiliging bij Volkshuisvesting vanzelfsprekend is. Onze medewerkers daarentegen merken meer van ons streven naar een goede beveiliging. Enkele maatregelen die wij recent getroffen hebben, zijn een verandering van VPN-verbinding, beperktere rechten op de laptops, tweefactorauthenticatie en een streng wachtwoordenbeleid. Dit voelen zij direct. Evenals acties zoals phishingtests die wij periodiek uitvoeren of publicaties op ons Intranet.”
Zwakste schakel beveiliging
Hoe weet je als corporatie nu zeker dat je een veilige corporatie bent? Rino: “Wij weten dat wij veel tijd en effort stoppen in het beveiligen van onze organisatie. Gelijktijdig weten wij dat beveiliging zo sterk is als de zwakste schakel. En de zwakste schakel is en blijft de mens. Daarom blijven wij tijd stoppen in het bewustmaken van de medewerkers van de mogelijke risico’s die zij, en Volkshuisvesting dus ook, lopen. Tegelijkertijd wil Volkshuisvesting bevorderen dat medewerkers zich vrij voelen om incidenten en mogelijke incidenten te melden. Zo kunnen wij in de toekomst ook het hoofd blijven bieden aan alle veiligheidsuitdagingen.”
Bron: CorporatieGids Magazine, Foto: Theo Scholten
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.