CorporatieGids Magazine

SEPTEMBER 2021 I 27 26 I CORPORATIEGIDS MAGAZINE wachtwoorden en tweefactor authenticatie. We zijn ook aan het bekijken hoe we logging kunnen gebruiken ter preventie. Bijvoorbeeld door een signaal af te geven aan de I&A-afdeling wanneer iemand een workflow aanpast of een grote dataset uit het systeem downloadt.” Doelen hard maken Het lastige van de doelen – continuïteit, beschikbaarheid en betrouwbaarheid – is dat je ze niet ‘hard’ kunt maken. Frans: “Je kunt niet zeggen ‘als we dit doen, dan zijn we veilig’. Wat je wel kunt doen, is de ontwikkelingen volgen en kijken wat er nodig is voor de eigen organisatie. Wat je wel kunt meten, is wat je in je eigen organisatie afspreekt. Hebben we de oefeningen voor de medewerkers gehouden? Hebben we ons plan herzien en om certificaten gevraagd? Binnen Woongoed bepalen we jaarlijks de speerpunten en in de kwartaalrapportages aan het MT informeert de afdeling I&A over de voortgang en eventuele bijstellingen.” Zo sterk als de zwakste schakel Informatiebeveiliging is zo sterk als de zwakste schakel, gaat Frans verder. “Wanneer je de techniek niet op orde hebt en je de deur open hebt staan voor niet geautoriseerde gebruikers, dan is dat je zwakste schakel. Weten de medewerkers redelijk goed een mail te beoordelen maar heb je geen draaiboek liggen voor een eventuele calamiteit, dan is dat je zwakste schakel. De mens is dat dus niet per se. Het is echter wel zo dat er binnen een organisatie veel medewerkers zijn met een functie die een ander doel heeft dan informatiebeveiliging. We helpen mensen die zelf niet aan woonruimte kunnen komen aan een woning, begeleiden hen bij schulden en problemen, zorgen voor onderhoud en voor nette wijken. De uitdaging zit hem erin om medewerkers die van nature met andere dingen bezig zijn te laten ervaren wat de consequenties zijn van klikken op een foute link of het geven van persoonlijke informatie aan iemand met wie je dit niet mag delen.” Door gevaar van buitenaf noemt Frans het waarborgen van de continuïteit, beschikbaarheid en betrouwbaarheid van de Woongoed-systemen de grootste uitdaging. “Wanneer onze medewerkers niet meer bij de systemen kunnen omdat deze bijvoorbeeld gegijzeld zijn door ransomware of data in systemen zijn verwijderd door een hack, dan kunnen we onze processen niet meer uitvoeren en ons werk niet meer verrichten. Het is daarom essentieel om dit te voorkomen.” Drie pijlers Woongoed Middelburg richt haar informatiebeveiliging in op drie pijlers: mens, organisatie en techniek. “Mens beschrijft de medewerkers van Woongoed,” licht Frans toe. “Zij moeten zich bewust zijn van de gevolgen die hun handelingen kunnen hebben voor systemen. Jaarlijks zorgen we ervoor dat er een actie wordt georganiseerd zoals een phishing-actie, mystery guests die langskomen of medewerkers die worden gebeld met vragen om persoonlijke informatie te delen. Zo proberen we iedereen scherp te houden.” “De pijler organisatie gaat over de wijze waarop Woongoed Middelburg de informatiebeveiliging heeft georganiseerd. Dat betekent dat we een duidelijke crisisorganisatie met een draaiboek hebben klaarliggen. Hierin is geregeld welke functionaris bij welke calamiteit welke verantwoordelijkheden heeft. Minimaal één keer per jaar wordt dit bijgesteld en besproken door het management. Recent hebben we afgesproken dat we – net als bij de bedrijfshulpverlening – dit jaarlijks moeten gaan oefenen.” Technische maatregelen De laatste pijler techniek gaat over alle maatregelen die je technisch kunt nemen, vertelt Frans. “Welke eisen stel je aan de hosting-partijen en softwareleveranciers, zoals certificaten of verplichte pentests. Techniek gaat ook over de maatregelen die Woongoed zelf neemt. Denk aan toegangsbeveiliging tot het pand, autorisaties binnen de software, de complexiteit van Frans van der Ploeg (Woongoed Middelburg): Informatiebeveiliging is zo sterk als de zwakste schakel Bijna elke week lijkt het wel een keer langs te komen; een bericht over een grote hack of ransomware-aanval die een of meerdere bedrijven lam legt. Een gevaar dat zeker ook woningcorporaties kan treffen. Hoe bescherm je jezelf tegen criminelen en zorg je er tegelijkertijd voor dat processen werkbaar blijven? CorporatieGids Magazine sprak daarover met Frans van der Ploeg, medewerker I&A en contractbeheer bij Woongoed Middelburg.