CorporatieGids Magazine

NOVEMBER 2023 I 29 28 I CORPORATIEGIDS MAGAZINE te loggen. Wat ik echter wel heel goed vond, was dat binnen vijf minuten iemand aan mijn bureau stond die vertelde een mailtje te hebben ontvangen die geen zuivere koffie was. Als ik toen direct een mail had gestuurd en collega’s had gewaarschuwd hier niet op te klikken, hadden we veel minder collega’s gehad die hiervoor waren gevallen. Het gaat daarom niet alleen erom of je voor een aanval valt, maar ook hoe je reageert en rapporteert aan de organisatie.” Focus op leveranciers De grootste les voor Dudok Wonen is dat er meer de focus moet worden gelegd op leveranciers. “Zorg er bijvoorbeeld voor dat je heldere afspraken maakt over hoe zij veilig zijn, je SLA’s opstelt en deze ieder jaar herijkt. Wij hebben – nieuwe en bestaande leveranciers – gevraagd om aan te tonen welke maatregelen ze nemen omtrent informatie- beveiliging en privacy. Hebben ze backups, doen ze regelmatig een restore-test, zijn backups afgesloten van de rest van de organisatie en zijn ze ISO-gecertificeerd? Daar zijn we nu veel strikter op.” Wisselwerking “Daarnaast was het hebben van een intranet waarin updates werden bijgehouden een enorme meerwaarde. Updates werden geplaatst om collega’s op de hoogte te houden van de laatste ontwikkelingen en ze konden hier ook op reageren. Die wisselwerking tussen medewerkers en de security officer is erg waardevol, omdat je zo beter de vragen van de werkvloer beantwoordt. Daarnaast was het gebruik van PRISM om in contact te komen met experts uit de sector erg nuttig. Door de community kregen we snel antwoord op vragen, waardoor we sneller goede beslissingen konden nemen.” Budget Ook binnen Dudok Wonen wordt het onderwerp security nog weer serieuzer aangepakt. Bart: “We hebben nu een apart budget dat puur voor informatiebeveiliging is. Voorheen was dit onderdeel van informatiemanagement, maar dan loop je het gevaar dat – wanneer het rustig lijkt – hierop bezuinigd wordt. Het gereserveerde budget stelt ons in staat het onderwerp beter warm te houden en meer technische maatregelen in te bouwen. Denk aan het toevoegen van MFA-beveiliging of conditional access. Dit gebeurt op basis van het zero trust- principe en betekent dat onbekende devices of inlogpogingen vanuit een hoog risico land nooit toegang krijgen tot onze systemen. Samen met Audittrail zetten we informatie- beveiliging en privacy neer met de Baseline Informatie- beveiliging Corporaties (BIC) als framework. Zo maken we complexe maatregelen en beleid behapbaar. Dat is van on- schatbare waarde om een complex thema als deze overzichtelijk te houden. Komend jaar willen we daarnaast actieve monitoring toevoegen. Hierbij is het wel continu zoeken naar de balans tussen een werkbare organisatie en een veilige bedrijfsvoering.” Foto’s: Theo Scholten