CorporatieGids Magazine

JUNI 2020 I 59 58 I CORPORATIEGIDS MAGAZINE Informatiebeveiliging wordt weleens als droge kost gezien, maar niet door Tineke. “Ik krijg zelf enorm veel energie van belangrijke zaken die dor en droog lijken maar wel enorm belangrijk zijn om op te pakken en praktisch toepasbaar te maken. Daarbij gaat informatiebeveiliging verder dan het treffen van technische maatregelen zoals firewalls. Juist de praktische kant waar wij als mensen bij betrokken zijn, verdient veel aandacht.” Evenwicht Bij goede informatiebeveiliging is het volgens Tineke zaak dat medewerkers ‘gewoon’ hun werk kunnen blijven doen, zonder dat derden binnendringen en informatie kunnen ontvreemden. “Dat betekent dat je continu zoekt naar een gezond evenwicht. Waar loop je risico en welke passende beheersmaatregel hoort daarbij? Zo kun je de fysieke toegang van je pand voorzien van een pasje, waardoor de kans aan- zienlijk verkleind wordt dat vreemden zomaar naar binnen lopen. Aan de softwarekant betekent dit bijvoorbeeld het afdwingen van tijdige updates, en collega’s zo min mogelijk vrijheid geven dit zelf te doen.” Hapklare brokken Omdat de juiste keuzes maken niet altijd even makkelijk is, heeft Tineke samengewerkt aan de realisatie van de BIC Building Blocks (BBB). “De naam zegt het al; dit zijn behapbare Modulair bouwen is inmiddels wel bekend bij woningcorporaties. Maar modulair informatiebeveiliging in elkaar zetten, is iets nieuws. Hoe klik je de beveiliging van de organisatie met ‘bouwblokjes’ aan elkaar? CorporatieGids Magazine ging daarover in gesprek met Tineke de Vries, business adviseur Informatisering en Digitalisering én Security Officer bij Vidomes uit Delft: “Door de bouwblokken beschik je over de onderdelen en de begeleiding, waardoor je er direct mee aan de slag kunt.” Tineke de Vries (Vidomes): Gezond achterdochtig blijven elementen die regelgeving praktisch en overzichtelijk maken voor woningcorporaties. Per blok krijgen woningcorporaties een overzicht wat de BIC – de Baseline Informatiebeveiliging Corporaties – voorschrijft. Ondersteunende documenten zoals sjablonen, voorbeelden, uitwerkingen en best practices helpen hen daarbij op weg, van theorie naar praktische toepassing.” BIC werkbaar maken “Bij de realisatie van de BIC Building Blocks hebben we samen- gewerkt met CorpoNet en Audittrail,” gaat Tineke verder. “Toen zij de handen ineen sloegen om de BIC-implementatie te vereenvoudigen, werd ik direct enthousiast. De BIC is immers een prachtig product maar ik worstelde met de implementatie ervan. Door te kijken hoe je dit werkbaar kunt maken voor de organisatie, vergroten we het effect en profijt. De expertise en inzet van Suzanne van Middelkoop en Aletta Hoogeveen van Audittrail waren hierbij enorm belangrijk. Als lid van de werkgroep dacht ik mee over wat er in een whitepaper aan de orde moest komen en welke formats prettig werkten. Ervaringen van leden zijn hierin meegenomen.” IKEA-pakket “Hoewel de BBB hapklare brokken biedt voor woning- corporaties, moet je wel goed kauwen en kun je het niet zomaar doorslikken,” vertelt Tineke. Ze trekt een vergelijking met een IKEA-bouwpakket. “Door de bouwblokken beschik je over de onderdelen en de begeleiding, waardoor je er direct mee aan de slag kunt. Maar het vraagt zeker de nodige inspanning en afstemming binnen je eigen organisatie. Daar ligt voor mij de meerwaarde van de bouwblokken; het is zo gemaakt dat je er direct mee aan de slag kunt.” Bewustwording creëren Binnen de best practices is er ruimte voor maatwerk. “Iedere organisatie kent zijn eigen afwegingen en kwetsbaar- heden. Daarom blijft het invullen van formats zoals classificatie van informatie en de inrichting van de beheerorganisatie maatwerk. En dat heeft een positief effect. Door hier intern over te praten, creëer je namelijk tegelijk bewustwording.” Gezond achterdochtig Het creëren van bewustwording blijft volgens Tineke een essentieel onderdeel van informatiebeveiliging. “Mensen zijn en blijven de zwakste schakel. Natuurlijk is het belangrijk om systemen te updaten, virusscanners te installeren en pentesten uit te voeren. Maar aandacht blijven besteden aan de bewustwording van onze medewerkers is de sleutel. Zeker in deze tijd waarin werk en privé steeds meer verweven lijken te zijn, neemt de druk toe en controleren we vaak nog snel even onze mail of WhatsApp op ongebruikelijke momenten. En daarnaast verandert het gevaar continu; waar je voorheen extra alert moest zijn op verdachte bijlages in mailtjes, zijn dat inmiddels phishingberichten geworden. Maar ook via de SMS, WhatsApp of telefoon kun je makkelijk slachtoffer worden van misbruik. Ik vermoed dat dit in beweging blijft, en wij alert en gezond achterdochtig moeten zijn.” Groter phishinggevaar “Het gevaar van phishingberichten blijkt daarnaast tijdens de coronacrisis ook toe te nemen. Onderzoek van Audittrail laat zien dat bij phishingtesten medewerkers ongeveer een derde vaker op gevaarlijke links in e-mail klikken of inlog- gegevens op nepsites achterlaten. Daar is wel een verklaring “De BBB biedt hapklare brokken, maar je moet wel goed kauwen.”