Sjoerd Feenstra (Staedion): Maak informatiebeveiliging onderdeel van het continu verbeteren van je organisatie

Geplaatst door CorporatieMedia op
 

Informatiebeveiliging wordt door de corporatiesector steeds serieuzer genomen. Logisch ook na de grote hackaanval op acht corporaties begin vorig jaar en verschillende individuele hacks bij collegacorporaties. Waar komt het grootste gevaar voor de sector vandaan en hoe bescherm je jezelf hiertegen? CorporatieGids.nl sprak erover met Sjoerd Feenstra, Manager Bedrijfsvoering & IT bij Staedion: “Je schrikt als je ziet hoe makkelijk een hacker soms kan binnenkomen.”

Cybersecurity is voor Staedion momenteel een heel belangrijk onderwerp, begint Sjoerd het gesprek: “De grootste uitdagingen hierin zijn wat ons betreft de menselijke factor en het gevaar van ransomware. We zien de laatste jaren om ons heen verschillende corporaties die slachtoffer zijn geworden van ransomware, met Woonkracht10 als recent voorbeeld. Daaruit blijkt dat ook organisaties zonder winstoogmerk, met een maatschappelijk doel, geraakt worden door dit soort criminelen. Ik werk zelf al vele jaren in functies waarbij security een belangrijke rol speelt en weet dus hoe nietsontziend deze hackers kunnen werken, maar het blijft schokkend om te zien hoe het gaat. Ik weet dat ook Staedion slachtoffer kan worden want honderd procent veilig ben je nooit. Tegelijkertijd proberen we er alles aan te doen om onze data en IT-omgevingen veilig te houden.”

Controle
Goede informatiebeveiliging is een combinatie van veel factoren, vat Sjoerd samen. “Het vraagt om goede, betrouwbare systemen en netwerken, het vraagt om up-to-date patchmanagement, het vraagt om medewerkers die zich bewust zijn van de risico’s en hiernaar handelen, het vraagt om goede backups en herstelmogelijkheden en het vraagt om goede contracten met leveranciers. Het is vervolgens onze taak als Staedion om controle te houden op al die aspecten.”

It takes a thief
Om die controle te borgen en informatiebeveiliging warm te houden in de organisatie, werkt Staedion onder andere samen met Pentests.nl. Sjoerd: “Ik zou bijna zeggen: ‘it takes a thief to catch a thief’. Wat je uiteindelijk wilt is dat hackers niet de boel kunnen overnemen. Wat Pentests.nl doet, is denken en acteren als een hacker en proberen de boel over te nemen door digitaal in te breken. Zo worden kwetsbaarheden blootgelegd en kunnen wij deze structureel aanpakken. Ik merk dat mijn systeembeheerders het heel waardevol vinden om te leren hoe hackers onze organisatie kunnen binnenkomen. Hierdoor begrijpen ze beter hoe kwaadwillenden te werk gaan en kunnen ze beter inzien hoe wij dit kunnen voorkomen. Daarnaast heeft Pentests.nl ons ook geholpen met de implementatie van een beter wachtwoordbeleid, waardoor we stappen maken naar steeds veiliger werken.”

Truckjes en slimmigheden
Sjoerd geeft toe dat hij schrikt als je ziet hoe makkelijk het soms is voor hackers om binnen te komen. “Je ziet bijvoorbeeld hoe ze met een paar truckjes en slimmigheden rechten verzamelen om een applicatie te betreden. Vervolgens kunnen ze door gebruik te maken van kleine onvolkomenheden in onze inrichting enorm veel rechten verkrijgen. Door pentesten uit te voeren, zagen wij bijvoorbeeld dat men via kwetsbaarheden in applicaties binnen konden komen, maar dat die applicaties helemaal niet in onze overzichten stonden. Die werden dus ook niet geüpdatet. Dat konden we daarna dus gelijk aanpakken.”

“Een andere geleerde les is dat we erachter kwamen dat veel medewerkers iets met het woord ‘Staedion’ in hun wachtwoord gebruikten. Dat geeft natuurlijk blijk van veel betrokkenheid bij de organisatie, maar het maakt het voor criminelen wel makkelijker om binnen te komen. Door dat inzicht konden we ook direct vervolgmaatregelen nemen.”

Kern
Hoewel Staedion een woningcorporatie is, voorziet Sjoerd geen andere gevaren dan bij organisaties in andere branches: “We hebben net als andere sectoren te maken met cyberdreigingen en moeten daarnaar handelen. Dat betekent in de kern ervoor zorgen dat je logische maatregelen neemt, een securityfundament creëert, experts laat meekijken met wat je doet en weet wat je moet doen als je te maken krijgt met een aanval.”

Onderdeel van de PDCA-cyclus
En dat is iets waar je als organisatie continu mee bezig bent, sluit Sjoerd af: “Informatiebeveiliging is niet iets wat je één keer inregelt en vervolgens af hebt. Het is een kwaliteitsaspect van je bedrijfsvoering en zo moet je er ook mee omgaan. Wij maken het onderdeel van de PDCA-cyclus om te proberen het zo continu te verbeteren en blijven te bij met ontwikkelingen. Daarnaast willen wij blijven investeren in goede maatregelen en de opleiding van collega’s. We zien hele interessante ontwikkelingen in de markt die ons kunnen helpen de bedreigingen goed te monitoren en aan te pakken waar nodig. Om zo de gegevens en data van onze huurders en medewerkers veilig te houden.”

Bron: CorporatieMedia, Foto: Staedion