CorporatieGids Magazine

NOVEMBER 2021 I 15 14 I CORPORATIEGIDS MAGAZINE “Ik denk dat we een stuk professioneler zijn geworden. Als ik kijk naar informatiebeveiliging hebben wij onszelf getraind door het inzetten van ethische hackers, trainingen voor medewerkers, gamification en aandacht geschonken aan het herkennen van phishingmails. De organisatie is daardoor een stuk alerter. Daarnaast hebben we ook technische stappen gezet, bijvoorbeeld een applicatie die binnenkomende malware uit e-mails filtert en in quarantaine zet met hierachter een Security Operating Centre (SOC)-organisatie die ons proactief ondersteunt om dreigingen te detecteren en hierop passende beveiligingsmaatregelen te treffen. Op het gebied van privacy hebben we ook stappen gezet, bijvoorbeeld met een nieuwe inrichting van SharePoint, het opschonen van ons DMS en het anonimiseren van data.” Assessment Om te kijken waar Wooncompagnie na alle aanpassingen staat, wil de corporatie binnenkort een nieuwe assessment op de AVG laten uitvoeren. “We hebben als organisatie afgesproken periodiek – dus één keer per twee of drie jaar – een assessment uit te voeren om te kijken waar we staan. Hierbij willen we juist samenwerken met een externe partij. We merken dat het intern er niet altijd van komt, en een paar vreemde ogen zien ook dingen die je zelf niet zou zien. Dat houdt je een spiegel voor zodat je ziet waar je jezelf kunt verbeteren. Daarom gaan we eind dit jaar of begin volgend jaar hiermee aan de slag met Audittrail. Zij weten hoe dit moet en hebben een bewezen aanpak waardoor we zeker zijn dat we resultaten ook in acties gaan omzetten.” De hele organisatie Tijdens het assessment is het belangrijk dat naar de hele Wooncompagnie-organisatie wordt gekeken, gaat Rene verder. “We willen interviews inplannen met medewerkers vanuit heel Wooncompagnie. Dus verschillende afdelingen, maar ook mensen uit het management en van de werkvloer. Op die manier zorgen we voor een breed en representatief beeld van de organisatie, zodat we onszelf de komende jaren gericht kunnen verbeteren.” Processen niet ‘hinderen’ Twee jaar geleden vertelde Rene dat informatiebeveiliging als een lust én last gezien wordt. “En dat is eigenlijk nog steeds zo. De lust is dat je alerter bent op DDOS-aanvallen, hack- pogingen en beter kunt anticiperen op gevaren. Aan de andere kant heeft het wel invloed op de dagelijkse praktijk. In een ideale wereld zou het niet nodig moeten zijn en hoeft infor- matiebeveiliging processen niet te ‘hinderen’, maar het is wel de werkelijkheid. Daarbij willen we informatiebeveiliging zo min mogelijk tot last maken door mensen er niet mee te overladen. Natuurlijk moet je aandacht besteden aan bijvoorbeeld cybercriminaliteit zodat medewerkers alert zijn, maar je moet ze niet overvoeren. Naar die balans zijn we continu op zoek.” Nauwer samenwerken “Naast het assessment zijn er verschillende andere ontwikke- lingen waar we de komende periode op willen inspelen,” blikt Rene vooruit. “Zo gaan we – intern en extern – steeds meer gegevens en documenten met elkaar beveiligd delen. Denk aan een beveiligde verbinding met een accountant, verantwoording bij de belastingdienst of het creëren van gezamenlijke mappen in bijvoorbeeld SharePoint. Met de inrichting van die veilige online werkomgeving zijn we bezig, waarbij ook partijen buiten Wooncompagnie betrokken worden. Door daarbij gebruik te maken van bijvoorbeeld two factor authentication of aanvullende wachtwoorden kunnen we documenten goed beveiligen, en kunnen ze ook niet fysiek rondslingeren.” Keerzijde “De keerzijde van deze nauwere samenwerking is dat we steeds meer gebruik gaan maken van de cloud. We loggen in bij andere partijen, en zij soms ook op onze systemen. Grip houden op wie digitaal toegang heeft tot jouw organisatie wordt daarom steeds belangrijker en lastiger. Dat op een goede manier invullen – bijvoorbeeld door toegang te linken aan een zakelijk e-mailadres die niet meer werkt zodra iemand uit dienst treedt – willen we zorgen dat informatiebeveiliging en privacy zo min mogelijk onze processen hinderen, en onze gegevens tegelijkertijd te allen tijde veilig zijn.” Natuurlijk moet je aandacht besteden aan bijvoorbeeld cybercriminaliteit zodat medewerkers alert zijn, maar je moet ze niet overvoeren. Foto’s: Gerda Horneman