Informatiebeveiliging en privacy zijn een 'must have' voor iedere woningcorporatie. Dat zegt Jorrit van de Walle, directeur en eigenaar van audit- en adviesbureau Audittrail uit Leiderdorp. De organisaties zijn volgens hem namelijk een enorm interessant doelwit voor hackers: "Een woningcorporatie kan hen 300.000 euro per dag opleveren."
Audittrail komt binnenkomt met het 100% Security Update Pakket. Hiermee wordt de informatie rondom beveiliging bij een woningcorporatie stapsgewijs verbeterd. Jorrit: "Dit pakket richt zich vooral op de planning- en uitvoerfase van de Deming-cirkel (Plan, Do, Check, Act). Wij kijken naar risico's en sturen bij op de punten waar stappen gemaakt kunnen worden."
100% Security Update Pakket
Jorrit vertelt dat corporaties met het Security Update Pakket vijf stappen doorlopen: "We beginnen altijd met een nulmeting. Hiermee kijken wij naar wat de huidige stand van zaken is bij een corporatie. Dit betreft zowel de digitale als menselijke en fysieke beveiliging. Daarna kijken wij intensief naar het beleid en de plannen van de organisatie, met de vraag of deze wel goed genoeg zijn."
"Vervolgens geven wij ons oordeel over het beleid in een bewustzijnssessie. Dit kun je het beste zien als een interactieve workshop met meerdere sprekers, waaronder de Nederlandse schrijfster Maria Genova. Omdat de gehele organisatie hierbij aanwezig is, krijgt de corporatie een interne focus op informatiebeveiliging en identiteitsfraude."
"Als laatste komen wij met een stappenplan," gaat Jorrit verder. "Hiermee kan een woningcorporatie zichzelf stap voor stap verbeteren. Daarnaast maken wij ook infographics voor de medewerkers, waarin op een toegankelijke manier staat wat beter kan en wat de do's en don'ts zijn."
Compleet en efficient
Voor woningcorporaties is volgens de eigenaar van Audittrail vooral de compleetheid van het pakket erg aantrekkelijk: "Niet alleen krijgen organisaties meer inzicht en overzicht over hun beveiliging, ze krijgen ook een stappenpakket waarmee ze risico's kunnen wegwerken."
"Ook is het 100% Security Update Pakket erg efficient. De woningcorporaties worden niet zwaar belast qua tijd, en ook qua kosten valt het product heel erg mee. Vergelijkbare pakketten bij andere adviesbureaus kosten ongeveer het dubbele."
Interessant doelwit
Maar waarom is informatiebeveiliging zo belangrijk voor woningcorporaties? Volgens Jorrit komt dit vooral door de enorme hoeveelheid persoonlijke gegevens bij een organisatie: "Niet alleen NAW-gegevens, maar ook inkomens- en incassodata zijn zeer privacygevoelige informatie. Dit mag niet per ongeluk openbaar worden gemaakt door bijvoorbeeld een fout van een medewerker."
"Daarnaast is een woningcorporatie door deze hoeveelheid informatie een interessant doelwit voor een hacker. Deze kan voor een goede identiteit - waarvoor alle gegevens bij een corporatie bekend zijn - zestig dollar krijgen. Een gemiddelde corporatie heeft ongeveer tienduizend klanten, dan kan een hacker al snel 600.000 dollar verdienen. Het hacken zelf duurt slechts één of twee dagen, waardoor een woningcorporatie al snel erg interessant voor hen wordt."
Weinig tot geen afdoende beleid
Veel woningcorporaties zijn volgens Audittrail erg goed in het fysiek beveiligen van hun gegevens. "Vooral op de klassieke onderwerpen scoren ze een voldoende," aldus Jorrit. "Panden en materialen zitten op slot, de keuzes rondom het personeel zijn vaak goed en persoonlijke gegevens op bijvoorbeeld een computer worden beveiligd door middel van een wachtwoord."
"Toch blijkt uit onderzoek én onze eigen ervaring dat er weinig tot geen afdoende beleid is, waardoor security vaak alleen een ICT-zaak is. Het melden van incidenten en het vastleggen daarvan is vaak slecht geregeld, net als de screening van nieuw personeel. Ook het innemen van rechten en spullen hapert af en toe. Dit zijn punten waar een corporatie stappen kan maken."
Minder focus op ICT
Jorrit gaat een stapje verder door te zeggen dat zeventig procent van alle incidenten veroorzaakt wordt door menselijk nalaten: "Werknemers klikken op een verkeerde link of geven gegevens van klanten via de telefoon door. Of ze stoppen een besmette USB-stick in hun computer of raken documenten kwijt in de trein. Vaak geven ICT-middelen de mogelijkheden om maatregelen te treffen, maar is het de mens die bewuster moet handelen. De mens heeft daardoor een grote faalfactor."
"Wij focussen ons in het 100% Security Update Pakket dan ook op de eerdergenoemde punten waar een corporatie zichzelf kan verbeteren," gaat de eigenaar van Audittrail verder. "Veel corporaties moeten op een andere wijze gaan handelen om stappen te maken qua beveiliging. Minder focus op ICT en meer kijken vanuit een business oogpunt is essentieel. Corporaties moeten zich afvragen waar ze risico's lopen en hoe ze die te lijf gaan."
Beste bescherming
Volgens Jorrit is dit dan ook dé manier waarop een corporatie het beste beschermd kan worden: "Je doet dit met een pragmatische aanpak die de hele organisatie bestrijkt, en een basis heeft in risico-analyse en beheersing. Iets dat het 100% Security Update Pakket omvat. Een continue focus op risico's zorgt er niet alleen voor dat deze snel opvallen, maar ook dat niet meer valide maatregelen snel geschrapt kunnen worden. Op deze manier hou je het werkbaar, maar toch veilig."
Bron: Johan van den Beld | CorporatieMedia - 13 mei 2015
Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2015 te bekijken.
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
