Woningcorporaties voeren BIC in

Bij Northwave werken we hard aan het veiliger maken van organisaties in de Benelux. Daarnaast help ik als IT- en Security consultant ook woningcorporaties bij vraagstukken op dit terrein. Generiek beschouwd, staan woningcorporaties nog in de kinderschoenen op het gebied van Informatiebeveiliging. Maar dat kan in hun voordeel zijn.

Onvolwassen

Inmiddels heb ik al heel wat woningcorporaties van binnen gezien. Ik vind het prettige organisaties met maatschappelijk belangrijk werk en daarom kom ik er graag. Ik heb zowel kleine als grote corporaties mogen begeleiden bij security vraagstukken. En wat me telkens ook weer verbaast, is hoezeer daar informatiebeveiliging nog een ondergeschoven kindje is. En dat terwijl het algemene verantwoordelijkheidsbesef vaak groot is. Net als de opvatting van de maatschappelijke taak die corporaties hebben.

Risico’s zijn reëel

Bij Northwave zien we dagelijks in de praktijk hoe het lekken van persoonsgegevens leidt tot identiteitsfraude en andere vormen van cybercriminaliteit. Bestuurders worden met de nieuwe privacywetgeving daarvoor nog nadrukkelijker persoonlijk aansprakelijk. Er leeft echter in de corporatiewereld nog maar weinig besef hoe kwetsbaar de sector werkelijk is. Corporaties beschikken over zeer waardevolle persoonsgegevens van miljoenen burgers. Wist u dat een record met complete persoonsgegevens zomaar tientallen euro’s waard kan zijn voor een cybercrimineel? U kunt dus uitrekenen wat het een hacker oplevert om uw database te hacken. Het is daarom zeer voorstelbaar dat corporaties nadrukkelijk in de belangstelling staan van georganiseerde cybercriminelen. Ik vrees dat het een kwestie van tijd is voordat het eerste echt grote incident zich in de sector voordoet. De werkelijke vraag is dus niet ‘Wat’ beschermen we, maar ‘Waarom’ we dat doen. Ineens wordt de waarde van informatiebeveiliging tastbaar. We kunnen slimme antwoorden verzinnen en voelen de motivatie om een werkende aanpak te formuleren.

Response-ability

Woningcorporaties zijn de afgelopen jaren druk bezig met het digitaliseren van werkprocessen via internetportalen. Daarnaast is er een grote beweging naar de cloud te zien. Juist omdat er veel druk op de financiële huishouding staat wordt er gekozen voor kosten-efficiënte outsourcing van bijvoorbeeld ICT. De verantwoordelijkheid voor informatieveiligheid laat zich echter niet uitbesteden. Juist dan is een eigen visie en regie van vitaal belang. Omdat cyberincidenten nooit helemaal te voorkomen zijn, is het wezenlijk om niet alleen op (het) beleid of techniek (van uw provider) te vertrouwen. Ga er vooral van uit dat de beveiliging faalt!

Het gaat namelijk om wat je daadwerkelijk doet als je een keer een echt incident doormaakt. Een lek via een medewerker, een hack van een criminele bende of een malware-gijzeling. Dat vraagt om scherpte van je functionaris gegevensbescherming of je Security Officer. Maar ook om een capabele securitypartner op een breder terrein dan firewalls alleen. Een partij die je onafhankelijk bijstaat in je regiefunctie ten opzichte van je ICT afdeling of Cloud Services Provider.

Gelukkig is vorige week is de Baseline Informatiebeveiliging voor Corporaties (BIC) gelanceerd. Hoewel wat mij betreft 15 jaar te laat, ben ik erg blij met dit initiatief. Deze basis helpt organisaties namelijk op integrale wijze informatiebeveiliging aan te gaan. De BIC is voor corporaties een prima leidraad voor het in de praktijk brengen van de Internationale standaard voor Informatiebeveiliging. Het kan, met wat aanpassingen, tevens dienen als Securitybeleid. In de BIC worden specifieke corporatieprocessen verwerkt. Maar ook voor corporaties waarschijnlijk irrelevante zaken uit de standaard verwijderd. Ook wordt hier en daar ‘corporatie jargon’ gehanteerd, want dat is makkelijker ;-).

Verantwoordelijkheid nemen.

Het BIC is een mooie leidraad om je in eerste instantie voldoende te beveiligen op wat je nu weet. Hiermee kan je laten zien dat je controle hebt over je informatie zolang je deze goed aanvult met een verbetercyclus, voldoende en afgestemde professionele Monitoring, Detection, Logging en Incident Response services. Daadwerkelijk ‘weerbaar’ zijn noemen ze dat in organisaties die dit al jaren eerder deden. Het enige verschil is dat dit tegenwoordig bereikbaar is voor iedereen als je weet waar je het kunt halen.

Northwave helpt Woningcorporaties

Voor allen die het BIC nog slimmer willen invoeren; Voor hen die van een stap achterlopen naar twee stappen vooruit willen gaan, tegen gelijke investeringen: Bel Northwave voor afspraak met mij. U bent van harte welkom om een kijkje te nemen in ons Security Operations Center en vrijblijvend over de BIC van gedachten te wisselen.

Steven Dondorp.

Een vraag? Vraag het ons!

Stuur ons een e-mail of bel meteen met + 31 30 303 1240 en vraag naar ons client services team.

0 + 4 = ?

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.