CorporatieGids Magazine

SEPTEMBER 2021 I 25 24 I CORPORATIEGIDS MAGAZINE Foto’s: Bas Duijs Conformeren “Woonzorg verwacht van leveranciers dat zij zich confor- meren aan de standaarden van Microsoft,” licht Folkert toe. “Dat heeft onder andere als voordeel dat het koppelen van nieuwe pakketten relatief makkelijk is. Een ander voordeel is dat wij voor het beheer van onze systemen makkelijk zouden kunnen overstappen naar een andere partij als wij niet tevreden zouden zijn.” Landelijk Dat Woonzorg landelijk werkt vanaf zo’n 500 locaties stelt ook eisen aan de systemen. “Iedere bewonersconsulent op alle locaties heeft een smartphone en een laptop met 4G-kaart met toegang tot de cloud,” legt Folkert uit. “Dat is met de moderne pakketten makkelijker te beheren dan met zelf- gebouwde systemen. En als we nieuwe functionaliteiten willen testen, is het bij wijze van spreken het vinkje ‘op ja zetten’ om dit te doen. Veel makkelijker dan bij zelfbouw.” IT geen kerntaak “Woonzorg beschouwt IT niet als een kerntaak en wil dit zoveel mogelijk uitbesteden,” zegt Folkert. “Ook omdat leveranciers deze taken vaak beter kunnen uitvoeren vanwege ervaring, kennis en techniek. En de beschikbare budgetten bij de leveranciers zijn groot als het gaat om beveiliging van systemen en data. Het is hun corebusiness en daar maken wij op een slimme manier gebruik van.” Baseline Informatiebeveiliging Overheid Binnen Woonzorg houdt Folkert zich bezig met het herschrijven van het informatiebeveiligingsbeleid. Over waarom dit gebeurt op basis van de Baseline Informatiebeveiliging Overheid in plaats van de Baseline voor woningcorporaties, zegt hij: “Het verschil is kleiner dan het misschien lijkt, beide zijn namelijk gebaseerd op dezelfde ISO-norm. Verder werken wij dus landelijk en hebben wij samenwerkingsverbanden met 170 gemeenten. Het is dan handig om dezelfde uitgangspunten toe te passen als die de gemeenten hanteren.” Zwakste schakel “Bij Woonzorg willen wij in control blijven als het gaat om het verwerken van gegevens op de juiste plek en juiste manier,” vervolgt Folkert. “En dat ook op een veilige manier doen. De ervaring is dat de mens vaak de zwakste schakel is. Daarom doen wij er veel aan om gebruikers bewust te maken van mogelijke gevaren. En gebruiken we ook Data Loss Prevention-software. Wanneer een medewerker bijvoorbeeld een databestand wil mailen, dan controleert deze software of daardoor een mogelijk datalek ontstaat.” In control “Om in control te blijven, hebben we het beleid hieromtrent geformaliseerd. Het eerdergenoemde informatiebeveiligings- beleid herijken we iedere drie jaar. Daarnaast hebben we een jaarlijkse plancyclus en onderzoeken we jaarlijks een aantal keer de mogelijke kwetsbaarheden in onze systemen. Daarnaast zijn we op dit moment bezig met een ISO 27001- certificering. Als we dat bereikt hebben, kunnen we objectief aantonen dat we in control zijn en blijven.” Regisseur De voorbereiding op het ISO-certificeringstraject is in volle gang, licht Folkert toe. “Daarbij worden we ondersteund door Audittrail, waarmee we eerder ook al hebben samengewerkt in het traject rond de AVG. Dat beviel dermate goed dat we hun ondersteuning gevraagd hebben in de voorbereiding van onze ISO-certificering. Dus, waar staan we nu en wat moet er gedaan worden om in aanmerking te komen voor de certificering. Met dit certificaat wordt het makkelijker om de door ons gewenste rol van regisseur op I&A-gebied naar ons toe te trekken. Wij besteden dan zoveel mogelijk IT-activiteiten uit, maar behouden wel de regie. En leveran- ciers weten door de ISO-normen welke werkwijze ze van ons kunnen verwachten en wat wij van hen verwachten.” Geen IT-feestje “We hebben voor dit project de steun van onze Raad van Toezicht en ook zijn formele opdracht om de ISO-certificering te verkrijgen. Dat is voor ons als IT’ers belangrijk want informatiebeveiliging is absoluut geen IT-feestje. De verantwoordelijkheid daarvoor ligt bij de lijnmanagers en het hoger management. Vooral de lijnmanagers moeten zich ervan bewust worden dat zij eigenlijk de eigenaren zijn van de systemen die hun medewerkers gebruiken en dat zij daar ook verantwoordelijk voor zijn. Informatiebeveiliging is dus eigenlijk een feest waarvoor iedereen – niemand uitgesloten – van harte is uitgenodigd.” Informatiebeveiliging is een feest waarvoor iedereen van harte is uitgenodigd.