CorpoNet en Audittrail: Corporaties betere handvatten geven voor informatiebeveiliging met de BBB

Met de Baseline Informatiebeveiliging Corporaties (BIC) hebben woningcorporaties de afgelopen jaren een handvat gehad om informatiebeveiliging vorm te geven binnen de organisatie. Desondanks komen CorpoNet en Audittrail binnenkort met een aanvulling: BIC Building Blocks (BBB). Hoe helpen deze bouwblokken informatiebeveiliging beter neer te zetten? CorporatieGids.nl vroeg het aan Albert van Heugten van CorpoNet en Aletta Hoogeveen van Audittrail (afbeelding rechts).

Het implementeren van de Baseline Informatiebeveiliging Corporaties bleek in de praktijk vaak lastiger te zijn dan gedacht voor woningcorporaties, begint Albert: “Uit rondvraag bij corporaties bleek dat het implementeren van de 114 maatregelen vaak lastig te realiseren is. De BIC wordt als abstract gezien en richtlijnen kunnen maar lastig vertaald worden naar een implementatie. Corporaties vroegen om voorbeelden, richtlijnen en een stappenplan. Met de BBB geven wij daar gehoor aan.”

Behapbaar stappenplan

“De BBB is een stappenplan met behapbare elementen die de regelgeving praktisch en overzichtelijk maakt voor woningcorporaties,” legt Aletta uit. “Dit gebeurt middels een set ondersteunende documenten die corporaties helpen bij de praktische implementatie van de BIC, bestaande uit whitepapers, sjablonen en best practices. Dit verschilt met de originele BIC waarbij mensen soms overspoeld werden door een veelvoud van aspecten die er toe doen. De zes ‘bouwblokken’ van de BBB maken complexe materie bereikbaar waarbij de kennisdeling op basis van best practices ervoor zorgt dat de materie herkenning geeft.”

Beleid en Strategie

De zes bouwblokken in de BBB zijn: Beleid en Strategie, Risico’s en Impact, Implementeren en Bijsturen, Controle en Audit, Bewustzijn en Incidenten en Calamiteiten. Op de vraag wat elk blok precies inhoudt, vertelt Aletta: “Beleid en Strategie wordt door veel corporaties ervaren als een grote uitdaging. Daarom dat we juist hier beginnen. In de basis houdt dit blok in: ‘wie moet wat doen, en waarom’. Het kader van de strategie toont waarom bepaalde keuzes gemaakt zijn en de beoogde route. De strategie wordt uitgewerkt in beleid, wat leidt tot bepaalde maatregelen. Ook wordt hier duidelijk wie ergens verantwoordelijk voor is en wie wat uitvoert. Dit ligt voor een groot deel in handen van de Information Security Officer. Als tastbare handvatten leveren we hiervoor een whitepaper, een sjabloon van een informatiebeveiligingsbeleid en het rolprofiel van een ISO. Hier kan de corporatie vervolgens zelf mee aan de slag.”

Risico’s en Impact

“Vanuit de strategie is het altijd goed om de maatregelen rondom informatiebeveiliging op basis van risico’s te treffen,” gaat Albert verder. “Dat klinkt logisch; waar immers geen risico is, is een maatregel per definitie overbodig. Maatregelen kosten tijd en geld, vergen onderhoud en maken het werk lastiger. Je wilt deze dus alleen nemen wanneer het nodig is. Het in kaart brengen en categoriseren van risico’s doen wij in het blok Risico’s en Impact. Een risicoanalyse is immers belangrijk voor een goede strategie en adequaat beleid. Hier leveren wij als handvatten een whitepaper, een gecombineerde risicoanalyse, een best practice en een sjabloon voor het uitvoeren van de classificatie van informatie op basis van de CORA-standaard.”

Implementeren en Bijsturen

In het derde blok worden de aanwijzingen gegeven om de benodigde maatregelen te implementeren binnen de organisatie. Albert: “Door een inventarisatie uit te voeren kom je erachter wat er allemaal al is gedaan en wat nog moet worden uitgevoerd. Misschien is er al meer aan informatiebeveiliging gedaan dan in eerste instantie werd gedacht. Dekt de huidige set alle risico’s af, of zijn hier nog aanpassingen gewenst? In dit derde blok schenken we aandacht aan de verschillende typen maatregelen, geven we een top twaalf aandachtspunten en worden handvatten gegeven hoe de ambities en keuzes samengevat kunnen worden in een plan. Hiervoor stellen wij een whitepaper, een quickscan informatiebeveiliging en een sjabloon voor een informatiebeveiligingsplan beschikbaar.”

Controle en Audit

“Door regelmatig controles en audits uit te voeren, houdt te organisatie de gegevens en persoonsgegevens passend beveiligd,” vertelt Aletta over het vierde bouwblok. “Naast het minimaliseren van de risico’s blijft de corporatie in control en voldoet ze aan de plicht vanuit de AVG en overige wet- en regelgeving. Hierbij worden een whitepaper en een auditplanning voor informatiebeveiliging geleverd.”

Bewustzijn

In het vijfde bouwblok van de BBB wordt aandacht besteed aan het bewustzijn van de corporatie. Aletta: “Het beveiligen van informatie is voor een deel technisch en organisatorisch in te regelen, maar valt of staat met het gedrag van medewerkers. Daarom is het van groot belang om medewerkers bewust om te laten gaan met de informatie die zij dagelijks gebruiken. Elke corporatie heeft andere regels en daarom is het belangrijk dat deze helder worden uitgelegd, zodat medewerkers informatieveilig kunnen werken. Dat is geen eenmalige opdracht, maar een programma dat geregeld de aandacht verdient. Een communicatieplan hoeft niet ingewikkeld te zijn en er zijn veel middelen – zoals games of gadgets – die het plan kunnen ondersteunen en kleuren. Als handvatten worden een whitepaper, een voorbeeld van een communicatieplan en een overzicht van awarenessproducten geleverd.”

Incidenten en Calamiteiten

Als laatste wordt er gefocust op informatiebeveiligingsincidenten en calamiteiten. “Iedere corporatie krijgt vroeger of later hiermee te maken,” vertelt Albert. “Zijn daarbij persoonsgegevens in het spel, dan kan dit ook een datalek betekenen. Procedures helpen de bedrijfsvoering weer snel op gang te krijgen, problemen te herkennen en datalekken tijdig te melden. Communicatie is hier van groot belang: weten medewerkers de incidenten te herkennen én te melden bij het juiste loket? En is er voldoende aandacht besteed aan incidentmanagement bij de grote calamiteiten? Om dit in te richten stellen we opnieuw een whitepaper en een voorbeeld incidentprocedure beschikbaar.”

Collega-corporaties

De zes bouwblokken van de BBB zijn opgesteld in samenwerking met verschillende woningcorporaties. Albert: “Naast CorpoNet ben ik bijvoorbeeld actief bij Wonen Zuid, maar ook andere collega-corporaties als Woonwaarts, De Key en Vidomes deelden met ons hun best practices. Daarnaast hebben andere organisaties input geleverd in de vorm van sjablonen en voorbeelden. Zo kregen wij van De Woonplaats bijvoorbeeld een onderdeel van hun awarenessprogramma en Kennemer Wonen deelde hun incidentenproces. Al deze voorbeelden zijn terug te vinden op www.bicbuildingblocks.nl onder best practices.”

Windstrekensessies

Om de nieuwe handvatten wereldkundig te maken, organiseren CorpoNet en Audittrail binnenkort enkele windstrekensessies. “Nog niet alle corporaties zijn bekend met de BIC of hebben hun informatiebeveiliging nog niet op orde,” licht Aletta toe. “Met de windstrekensessies willen we hen meenemen in de mogelijkheden van de BBB. Hoe kun je best practices toepassen, en hoe ga je om met de beschikbare sjablonen? Op deze manier kunnen corporaties aan de slag met informatiebeveiliging, hun risico’s herkennen en zo in control komen. De eerste sessie staat gepland voor 9 december in Tilburg. Meer informatie vinden en aanmelden kan via onze website.” “Na de windstrekensessies komt de BBB onder het beheer van CorpoNet,” sluit Albert af. “Wij zullen ervoor zorgen dat de sjablonen beschikbaar blijven en pakken ook de onderhoudsverplichting op. Hierbij blijven we samenwerken met Audittrail doordat zij ondersteuning blijven bieden voor vragen en uitleg over de verschillende onderdelen. Corporaties die best practices willen delen met de rest van de sector, nodigen wij van harte uit om hun verhalen en voorbeelden te blijven sturen.”   

Dit artikel verscheen eerder op de website van CorporatieMedia.

De eerste BIC Building Blocks Windstrekensessie is inmiddels geweest. Lees het verslag hier