Modulair bouwen is inmiddels wel bekend bij woningcorporaties. Maar modulair informatiebeveiliging in elkaar zetten, is iets nieuws. Hoe klik je de beveiliging van de organisatie met ‘bouwblokjes’ aan elkaar? CorporatieGids Magazine ging daarover in gesprek met Tineke de Vries, business adviseur Informatisering en Digitalisering én Security Officer bij Vidomes uit Delft: “Door de bouwblokken beschik je over de onderdelen en de begeleiding, waardoor je er direct mee aan de slag kunt.”
Informatiebeveiliging wordt weleens als droge kost gezien, maar niet door Tineke. “Ik krijg zelf enorm veel energie van belangrijke zaken die dor en droog lijken maar wel enorm belangrijk zijn om op te pakken en praktisch toepasbaar te maken. Daarbij gaat informatiebeveiliging verder dan het treffen van technische maatregelen zoals firewalls. Juist de praktische kant waar wij als mensen bij betrokken zijn, verdient veel aandacht.”
Evenwicht
Bij goede informatiebeveiliging is het volgens Tineke zaak dat medewerkers ‘gewoon’ hun werk kunnen blijven doen, zonder dat derden binnendringen en informatie kunnen ontvreemden. “Dat betekent dat je continu zoekt naar een gezond evenwicht. Waar loop je risico en welke passende beheersmaatregel hoort daarbij? Zo kun je de fysieke toegang van je pand voorzien van een pasje, waardoor de kans aanzienlijk verkleind wordt dat vreemden zomaar naar binnen lopen. Aan de softwarekant betekent dit bijvoorbeeld het afdwingen van tijdige updates, en collega’s zo min mogelijk vrijheid geven dit zelf te doen.”
Hapklare brokken
Omdat de juiste keuzes maken niet altijd even makkelijk is, heeft Tineke samengewerkt aan de realisatie van de BIC Building Blocks (BBB). “De naam zegt het al; dit zijn behapbare elementen die regelgeving praktisch en overzichtelijk maken voor woningcorporaties. Per blok krijgen woningcorporaties een overzicht wat de BIC – de Baseline Informatiebeveiliging Corporaties – voorschrijft. Ondersteunende documenten zoals sjablonen, voorbeelden, uitwerkingen en best practices helpen hen daarbij op weg, van theorie naar praktische toepassing.”
BIC werkbaar maken
“Bij de realisatie van de BIC Building Blocks hebben we samengewerkt met CorpoNet en Audittrail,” gaat Tineke verder. “Toen zij de handen ineen sloegen om de BIC-implementatie te vereenvoudigen, werd ik direct enthousiast. De BIC is immers een prachtig product maar ik worstelde met de implementatie ervan. Door te kijken hoe je dit werkbaar kunt maken voor de organisatie, vergroten we het effect en profijt. De expertise en inzet van Suzanne van Middelkoop en Aletta Hoogeveen van Audittrail waren hierbij enorm belangrijk. Als lid van de werkgroep dacht ik mee over wat er in een whitepaper aan de orde moest komen en welke formats prettig werkten. Ervaringen van leden zijn hierin meegenomen.”
IKEA-pakket
“Hoewel de BBB hapklare brokken biedt voor woningcorporaties, moet je wel goed kauwen en kun je het niet zomaar doorslikken,” vertelt Tineke. Ze trekt een vergelijking met een IKEA-bouwpakket. “Door de bouwblokken beschik je over de onderdelen en de begeleiding, waardoor je er direct mee aan de slag kunt. Maar het vraagt zeker de nodige inspanning en afstemming binnen je eigen organisatie. Daar ligt voor mij de meerwaarde van de bouwblokken; het is zo gemaakt dat je er direct mee aan de slag kunt.”
Bewustwording creëren
Binnen de best practices is er ruimte voor maatwerk. “Iedere organisatie kent zijn eigen afwegingen en kwetsbaarheden. Daarom blijft het invullen van formats zoals classificatie van informatie en de inrichting van de beheerorganisatie maatwerk. En dat heeft een positief effect. Door hier intern over te praten, creëer je namelijk tegelijk bewustwording.”
Gezond achterdochtig
Het creëren van bewustwording blijft volgens Tineke een essentieel onderdeel van informatiebeveiliging. “Mensen zijn en blijven de zwakste schakel. Natuurlijk is het belangrijk om systemen te updaten, virusscanners te installeren en pentesten uit te voeren. Maar aandacht blijven besteden aan de bewustwording van onze medewerkers is de sleutel. Zeker in deze tijd waarin werk en privé steeds meer verweven lijken te zijn, neemt de druk toe en controleren we vaak nog snel even onze mail of WhatsApp op ongebruikelijke momenten. En daarnaast verandert het gevaar continu; waar je voorheen extra alert moest zijn op verdachte bijlages in mailtjes, zijn dat inmiddels phishingberichten geworden. Maar ook via de SMS, WhatsApp of telefoon kun je makkelijk slachtoffer worden van misbruik. Ik vermoed dat dit in beweging blijft, en wij alert en gezond achterdochtig moeten zijn.”
Groter phishinggevaar
“Het gevaar van phishingberichten blijkt daarnaast tijdens de coronacrisis ook toe te nemen. Onderzoek van Audittrail laat zien dat bij phishingtesten medewerkers ongeveer een derde vaker op gevaarlijke links in e-mail klikken of inloggegevens op nepsites achterlaten. Daar is wel een verklaring voor. Mensen waarschuwen elkaar op kantoor sneller door over het bureau te vragen of de ander ook een vreemde e-mail heeft ontvangen, of sturen iets sneller door naar de IT-afdeling. Omdat er nu ook meer mailverkeer plaatsvindt, glipt een fout bericht er sneller doorheen.”
Herhaling en actualiteit
Ook Vidomes bleek uit een onlangs gehouden nulmeting nog niet consequent te zijn. Tineke: “Dat zou eigenlijk wel het nieuwe normaal moeten worden, omdat dit niet alleen van belang is op je werk maar ook voor thuis. Daarom werken we bij bewustwordingssessies graag met herkenbare situaties waar je ook privé je voordeel mee kunt doen. De kracht zit hierbij in de herhaling en de actualiteit. Eenzelfde boodschap kun je immers op verschillende manieren brengen. Daarbij is het een uitdaging om datgene te kiezen dat aansluit bij de belevingswereld van mijn collega’s.”
Digitaliseringsboost
Het noodgedwongen thuiswerken van de afgelopen maanden heeft volgens Tineke een boost gegeven aan het verder digitaliseren van de organisatie. “Vidomes had thuiswerken al ingeregeld waardoor het voor veel medewerkers niet meer nieuw was. Maar iedereen moest hierin ook zoeken naar evenwicht. Door ze daarin te ondersteunen met een e-cursus Veilig Thuiswerken, hebben we collega’s bijvoorbeeld geholpen de instelling van hun wifi te controleren zodat ze beter beveiligd zijn.”
Nieuwe normaal
“Daarnaast zullen bepaalde kwetsbaarheden door het nieuwe normaal verschuiven. Waar wij elkaar op kantoor scherp houden, zullen wij nu thuis alerter moeten zijn en bij twijfel melding moeten maken. Tegelijkertijd ontstaan er nieuwe behoeften, zoals videobellen met grote groepen, samen brainstormen of online trainingen verzorgen. Er is het nodige beschikbaar, maar hoe kom je er als gebruiker achter om verantwoord om te gaan met de beveiliging van je data? Het blijven zoeken naar een evenwicht tussen veiligheid en het werkbaar houden van processen, blijft daarom centraal staan.”
Bron: CorporatieGids Magazine, Foto: Piet Jacobson