In het voorjaar van 2021 voerden Albert van Heugten en Jorrit van de Walle het sectoronderzoek naar informatiebeveiliging in de woningcorporatiesector uit. Inmiddels zijn de eerste resultaten binnen en is de analyse in volle gang. Tijd voor een tussenstand. Hier nemen we de resultaten van het onderzoek uit 2017 in mee.
Response
Aan het onderzoek hebben 73 deelnemers deelgenomen. Ten opzichte van de ongeveer 300 corporaties is dat een mooie score, ruim 24% van de corporaties is in het onderzoek vertegenwoordigd. Ten opzichte van 2017 zijn er minder deelnemers (2017: 79), maar daar staat tegenover dat er ook minder corporaties zijn. We hebben dezelfde procentuele vertegenwoordiging als in 2017. De response is uitstekend te noemen. Het onderzoek is 104 keer ingevuld, waarvan er , na schifting van de deels ingevulde onderzoeken, blijkt dat 73 functionarissen van 69 organisaties hebben deelgenomen aan het onderzoek. Dit betekent dat er van 4 organisaties meerdere deelnemers verwelkomd mochten worden! Onder de deelnemers dit jaar, zaten naast een vertegenwoordiging van IT managers en IT specialisten, ook een groot aantal (eind-)gebruikers. Maar liefst 32%! Het is goed voor de balans in de uitkomsten om ook het inzicht van deze eindgebruikers te hebben. Bij deze hartelijk dank aan alle deelnemers!
Trends en ontwikkelingen
De gedetailleerde analyse is nog onderhanden, maar er zijn al wel duidelijke trends en ontwikkelingen te zien. Het gemiddelde volwassenheidsniveau in de sector komt neer op het niveau 3,7. Dit is gemeten ten opzichte van de COBIT-standaard, die meet in niveaus van 1 tot en met 5. Het gemiddelde volwassenheidsniveau in de sector is dus 3,7 wat officieel niveau 3 is. Het laat wel zien dat de sector goed op weg is naar niveau 4. In 2017 scoorde de sector gemiddeld hetzelfde. Dit betekent dat de gemiddelde volwassenheid helaas niet is gestegen, maar inhoudelijk zijn er interessante verschillen zichtbaar.
Stijgers en dalers
Inhoudelijk scoren de onderwerpen fysieke beveiliging, beheer van bedrijfsmiddelen en logische toegangsbeveiliging hoog. Deze onderwerpen scoren het volwassenheidsniveau 4, of zelfs hoger. Deze hoog scorende onderwerpen staan overigens al jaren aan de top, ook in het onderzoek van 2017 scoorden zij hoog. Het zijn onderwerpen die men inmiddels onder de knie heeft en waar het belang nog steeds van wordt ingezien. Opvallend zijn twee nieuwkomers in de hoog scorende categorie: telewerken en informatiebeveiligingsbeleid. De hoge score voor telewerken is ongetwijfeld aangejaagd door de ontwikkelingen rondom Covid-19. De hoge score voor informatiebeveiligingsbeleid is eerder te vinden in de erkenning dat het beleid een essentieel onderdeel is van de governance rondom informatiebeveiliging. Ook de in de sector beschikbare formats, waaronder het BIC Building Blocks format, zullen bijgedragen hebben in de verhoogde score. Ter illustratie: in 2017 scoorde beleid nog 3.4, in 2021 is de score 4.1. Naast de hierboven genoemde onderwerpen, zijn ook de scores op de onderwerpen organiseren van informatiebeveiliging, cryptografie, naleving en privacy gestegen, zij het marginaal. Een overall gelijkblijvende score betekent natuurlijk ook dat de volwassenheid op een aantal onderdelen is gedaald. Dat is wel een bijzondere ontwikkeling. De grootste daler is ‘bring your own device’, deze scoorde in 2017 nog 3.3 en in 2021 een 2.5 op een schaal van 5.
Hoe verder
Zoals al eerder benoemd, onze analyse is nog maar net gestart. Zodra wij alles in beeld hebben kunnen wij conclusies trekken en aanbevelingen doen aan de sector. Onze finale rapportage bevat ook conclusies naar grootteklasse en over de verhouding kwaliteit van informatiebeveiliging en veiligheidsbewustzijn. Wij verwachten onze rapportage te presenteren in september. Uit het gelijk blijven van de stand van informatiebeveiliging ten opzichte van 2017 kunnen we al wel concluderen dat er op verschillende onderdelen nog werk aan de winkel is.
Jorrit van de Walle, CISA CISM CDPSE & Albert van Heugten MBI RI
Dit onderzoek wordt gesteund door CorpoNet – de netwerkorganisatie van IT-managers en medewerkers in de corporatiesector en Aedes - de vereniging van woningcorporaties.