CorporatieGids Magazine

55 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 1, 2019 54 WWW.CORPORATIEGIDS.NL Martijn Hoving (Woonstede): Managementsteun voorwaardelijk voor informatiebeveiliging ‘Informatiebeveiliging naar een hoger volwassenheidsniveau brengen’. Met dat doel voor ogen wil Woonstede uit Ede haar organisatie beter beveiligen. Wat houdt het echter in om volwassen te zijn rondom informatiebeveiliging, en hoe richt je je organisatie daarvoor in? CorporatieGids Magazine sprak met Martijn Hoving , Informatieadviseur bij de Gelderse corporatie. N aast informatieadviseur is Martijn ook als Security Officer actief bij Woonstede. “In deze rol functioneer ik namens het management als zelfstandig adviseur op het gebied van informatiebeveiliging,” legt hij uit. “Hierbij richt ik mij vooral op de naleving van informatiebeveiliging in de operationele processen. De toegevoegde waarde zit hem in de kennis van de organisatie en afdelingen, en de vertaalslag die moet worden gemaakt van algemene informatiebeveiligingsnormen naar de specifieke bedrijfssituatie.” Logische uitbreiding De rol als Security Officer ziet Martijn als een logische uitbreiding van zijn functie als informatieadviseur. “In die laatstgenoemde positie ben ik vooral bezig om informatie- systemen goed aan te laten sluiten op onze bedrijfsvoering. Dan moet je denken aan bijvoorbeeld het selecteren, implementeren en inrichten van systemen. Hierdoor heb je een goed overzicht van de processen van Woonstede en het complete applicatielandschap. Door de rol als Security Officer voeg je hier informatiebeveiliging aan toe, wat een logische volgende stap is.” Hoger volwassenheidsniveau Met als doel om informatiebeveiliging naar een hoger volwassenheidsniveau te brengen, voerde Woonstede afge- lopen jaar een nulmeting en phishingtest uit. “De nulmeting was vooral bedoeld om te bepalen in hoeverre we voldoen aan de AVG en BIC (Baseline Informatiebeveiliging Corporaties). Op basis hiervan kunnen we bepalen waar nog aandacht aan moet worden besteed. De phishingtest was onderdeel van onze bewustwordingscampagne onder medewerkers.” Continu aandachtspunt “Uit de nulmeting bleek onder andere dat we veel zaken al goed geregeld hebben,” vertelt Martijn. “De stappen die we nog moeten nemen gaan hoofdzakelijk om het daadwerkelijk opnemen van genomen maatregelen, procedures en richt- lijnen in ons beleid. Daar zijn we nu volop mee bezig. Ook rond de AVG hebben wij nu de basis op orde, hoewel dit wel een continu aandachtspunt blijft. We zijn nu bijvoorbeeld de implementatie van nieuwe KCC-software aan het voor- bereiden, en hiervoor voeren we onder andere een DPIA uit om de privacy impact te bepalen. Zo zullen er altijd ontwikkelingen zijn waarbij we aandacht voor de AVG en privacy moeten hebben.” Steun van het management “Een van de belangrijkste pijlers van informatiebeveiliging is de steun van het management,” legt Martijn uit op de vraag wat volgens hem de essentie is van goede informatie- beveiliging. “Het management moet het beleid vaststellen, dragen en uitdragen naar de rest van de organisatie. Niet omdat het moet van derden, maar vanuit een oprechte motivatie. Deze steun vormt het fundament en uit zich in het ondersteunen van beslissingen, het dragen en uitdragen van maatregelen, het beschikbaar stellen van financiële middelen, voorbeeldgedrag en het stimuleren van het beveiligings- bewustzijn.” “Ook moet de organisatie informatiebeveiliging zien als een doorlopend proces en niet als project. Een valkuil is het concentreren van de aandacht op enkel de IT-aspecten van informatiebeveiliging of op het vertrouwelijkheidsaspect van digitale informatie. Het gaat echt om informatiebeveiliging in de meest brede zin van het woord. De maatregelen die daarbij getroffen worden, moeten passen bij de organisatie en afgestemd zijn op de risico´s die er zijn voor de bedrijfs- voering. Er zal dus een goed inzicht moeten zijn in de bedrijfsvoering, de diverse informatiestromen en de impact van dreigingen. Een adequate beveiliging van informatie is dan ook maatwerk.” Menselijke aspecten Na de nulmeting en phishingtest besloot Woonstede aandacht te geven aan menselijke aspecten als het opslaan en bewaren van gevoelige informatie. “Maar ook andere menselijke aspecten zijn meegenomen, zoals hoe herken je een phishing- mail of hoe weet je wie je aan de telefoon hebt en stel je de juiste controlevragen. Er is het afgelopen jaar veel aandacht geweest voor het geheel van bewustwording én bewust blijven. Nu is het zaak deze stappen ook te verankeren in onze procedures en richtlijnen.” Onbewuste handelingen Martijn noemt de zwakste schakel bij informatiebeveiliging de mens: “Door bewuste, maar vooral door onbewuste handelingen. Techniek kan hierbij goed ondersteunen door ervoor te zorgen dat de kans op fouten geminimaliseerd wordt. Het lastige met deze technische maatregelen is dat deze vaak op gespannen voet met gebruikersgemak staan. Je wilt niet dat de techniek zo onvriendelijk wordt dat mensen er omheen Foto’s: Mariska Klok