CorporatieGids Magazine

NOVEMBER 2024 I 27 26 I CORPORATIEGIDS MAGAZINE Cultuur van bewustwording Goede informatiebeveiliging vereist een robuuste infra- structuur en gedegen processen, gaat Remco verder: “Hierbij moet je niet alleen denken aan technische maatregelen zoals firewalls en antivirussoftware, maar ook aan beleidsmatige en organisatorische aspecten. Het is belangrijk een cultuur van bewustwording te creëren binnen de hele organisatie, zodat elke medewerker begrijpt hoe informatierisico’s kunnen worden beheerd en geminimaliseerd.” Compliant en in control De eerdergenoemde CMF-oplossing moet Weller daarbij helpen meer compliant te zijn en in control te komen. Hans: “In oktober hebben we de implementatie hiervan afgerond en start het gebruik. Goede informatiebeveiliging draait uiteindelijk om continue monitoring en verbetering. Het implementeren van een managementsysteem, zoals het CMF van Audittrail, kan daarbij enorm helpen. Dit biedt ons een gestructureerde aanpak voor het waarborgen van informatiebeveiliging en helpt de nodige compliancy en controle te behouden.” Awareness Dit betekent ook dat het thema informatiebeveiliging warm gehouden moet worden binnen de organisatie. “Vanuit Weller wordt cybersecurityawareness daarom ook ingericht als een continu proces,” gaat Remco verder. “Door de boodschap te herhalen blijven medewerkers alert. Daarnaast volgen ontwikkelingen en dreigingen elkaar in rap tempo op. De context is dus aan verandering onderhevig. Structurele aandacht en continue scholing onder medewerkers is dan ook essentieel om de medewerkers mee te nemen in deze veranderingen. Het doel van een awarenessprogramma is om alle medewerkers van een organisatie bewust te maken van mogelijke dreigingen en uiteindelijk digitaal veilig te laten handelen. Met een awarenesstool leiden wij werknemers op een laagdrempelige en volledig geautomatiseerde manier op met een combinatie van gepersonaliseerde simulaties en micro-trainingssessies om securityawareness te verbeteren.” Voorbereiding Het streven naar ‘in control’ zijn is volgens Remco een continu proces: “Dit betekent dat je niet alleen moet reageren op incidenten, maar ook proactief risico’s moet identificeren en mitigeren. Door middel van regelmatige audits, trainingen en updates van het beveiligingsbeleid, zorgen we ervoor dat we zo goed mogelijk voorbereid zijn op de nieuwste dreigingen en uitdagingen.” Nieuwe uitdagingen Die uitdagingen komen uit verschillende hoeken, sluit Hans het gesprek af: “Denk bijvoorbeeld aan de opkomst van kunstmatige intelligentie, dat een transformerende impact heeft op het veld van cybersecurity. AI maakt cyberdreigingen steeds geavanceerder en complexer, maar tegelijkertijd biedt AI nieuwe en krachtige middelen om deze dreigingen te identificeren. Maar ook de manier waarop IT-landschappen zijn gebouwd vraagt aandacht. Steeds meer corporaties maken veel gebruik van het Microsoft-ecosysteem. Hoe zijn de maatregelen daar ingericht en zijn die systemen Too big to fail? Die vragen vereisen ook in de toekomst blijvende aandacht.” “Vanwege de vele incidenten wereldwijd én in Nederland, is het belang van informatiebeveiliging nu breed erkend binnen de hele organisatie,” begint Hans het gesprek. “Waar dit eerst alleen de verantwoordelijkheid was van de ICT-afdeling, draagt nu elk team hier actief aan bij. Als Weller zijn we dan ook bezig met een continu verbeterprogramma als het gaat om cybersecurity.” Digitale zorgplicht Als woningcorporatie heb je namelijk een digitale zorgplicht, legt Remco uit: “Naast de zorgplicht op grond van de verwerking van persoonsgegevens, de AVG, heeft ieder bedrijf ook zorg- plichten op het gebied van cybersecurity. Deze kan in gevaar komen door beveiligingsincidenten. De zorgplichten op het gebied van cybersecurity zijn erop gericht om het risico van deze incidenten te verkleinen en – mocht het toch mis gaan – de gevolgen zoveel mogelijk te beperken. Wij doen dat onder andere door de BIC (Baseline Informatiebeveiliging Corporaties) te volgen, dat een totaalpakket biedt aan richtlijnen en maat- regelen om tot een adequate informatiebeveiliging te komen.” Beleid en toetsingskader Op de vraag wat voor de Limburgse corporatie belangrijke uitdagingen zijn als het gaat om informatiebeveiliging, noemt Hans het verder verstevigen van die digitale zorgplicht: “We willen ons bestuur en toezicht het comfort bieden dat Weller aantoonbaar werk maakt van haar digitale zorgplicht. In 2019 zijn we gestart met de invoering van het modern workplace-concept van Microsoft en tegelijkertijd zijn we begonnen met de invoering van het zero trust-beveiligings- beleid. Ook willen we informatieveiligheid en privacy beter binnen bestuurlijke kaders borgen. Enkele stappen zijn hiervoor al gezet, zoals het neerzetten van beleid en een toetsingskader voor toezicht en bestuur. We zijn nu bezig dit onder te brengen in een managementsysteem: de CMF-oplossing van Audittrail.” “Een andere uitdaging is het borgen van informatiebeveiliging in de cloud. Weller is bezig haar oplossingen in het Microsoft- ecosysteem onder te brengen. We zijn nu aan het onderzoeken hoe wij onze bestaande SOC/SIEM-dienst hierop moeten gaan aanpassen.” Toekomstvast Het doel van informatiebeveiligingsbeleid is volgens Hans het bieden van een beleidskader waarmee Weller kan zorgen voor een consistente en uitgebalanceerde set aan beveiligings- maatregelen: “Het strategische normenkader is zodanig abstract dat de normen zoveel mogelijk onafhankelijk zijn van de daadwerkelijke organisatorische en technische inrichting van Weller, en daarmee dus ook toekomstvast. Een wijziging in de organisatie hoeft daarom niet direct te leiden tot aanpassing van dit normenkader. Het tactische normenkader is een concretisering van de normen uit het strategische kader naar standaarden en richtlijnen. Deze zijn opgenomen in het informatiebeveiligingsplan.” Foto’s: Bjorn Frins