Informatiebeveiliging moet processen zo min mogelijk hinderen

Informatiebeveiliging moet processen zo min mogelijk hinderen

Door bijna twee jaar thuiswerken zijn de uitdagingen voor corporaties op het gebied van privacy en informatiebeveiliging flink veranderd. Want alert zijn op gevaren achter je keukentafel is écht anders dan wanneer je met z’n allen op kantoor zit. Hoe kom je erachter waar je als organisatie gevaar loopt en waar je de bescherming kunt verbeteren? CorporatieGids Magazine sprak erover met Rene Mackenbach, Controller bij Wooncompagnie.Rene MackenbachRene Mackenbach | Wooncompagnie

Twee jaar geleden – kort nadat de AVG van kracht werd – spraken wij voor het eerst met Rene. Toen vertelde hij over het bewust maken én houden van de organisatie. Op de vraag of dat anno 2021 nog steeds een grote uitdaging is voor Wooncompagnie, knikt hij instemmend: “Toen we twee jaar geleden keken waar we stonden qua informatiebeveiliging en privacy, was de AVG nog een hot item. Maar inmiddels zie je dat mensen hun ‘oude gewoonten’ weer oppakken en foutjes erin sluipen. Ook een jaar thuiswerken helpt niet mee. Dan blijft het zaak hier alert op te zijn. Dat reken ik mijzelf ook aan; de AVG is best taaie kost en het is continu de vraag hoe je dit tastbaar maakt en levendig houdt.”

Professionaliseringsslag

Op de vraag wat er precies veranderd is qua informatiebeveiliging en privacy bij de corporatie uit Hoorn, vertelt Rene: “Ik denk dat we een stuk professioneler zijn geworden. Als ik kijk naar informatiebeveiliging hebben wij onszelf getraind door het inzetten van ethische hackers, trainingen voor medewerkers, gamification en aandacht geschonken aan het herkennen van phishingmails. De organisatie is daardoor een stuk alerter. Daarnaast hebben we ook technische stappen gezet, bijvoorbeeld een applicatie die binnenkomende malware uit e-mails filtert en in quarantaine zet met hierachter een Security Operating Centre (SOC)-organisatie die ons proactief ondersteunt om dreigingen te detecteren en hierop passende beveiligingsmaatregelen te treffen. Op het gebied van privacy hebben we ook stappen gezet, bijvoorbeeld met een nieuwe inrichting van SharePoint, het opschonen van ons DMS en het anonimiseren van data.”

Assessment

Om te kijken waar Wooncompagnie na alle aanpassingen staat, wil de corporatie binnenkort een nieuwe assessment op de AVG laten uitvoeren. “We hebben als organisatie afgesproken periodiek – dus één keer per twee of drie jaar – een assessment uit te voeren om te kijken waar we staan. Hierbij willen we juist samenwerken met een externe partij. We merken dat het intern er niet altijd van komt, en een paar vreemde ogen zien ook dingen die je zelf niet zou zien. Dat houdt je een spiegel voor zodat je ziet waar je jezelf kunt verbeteren. Daarom gaan we eind dit jaar of begin volgend jaar hiermee aan de slag met Audittrail. Zij weten hoe dit moet en hebben een bewezen aanpak waardoor we zeker zijn dat we resultaten ook in acties gaan omzetten.”

De hele organisatie

Tijdens het assessment is het belangrijk dat naar de hele Wooncompagnie-organisatie wordt gekeken, gaat Rene verder. “We willen interviews inplannen met medewerkers vanuit heel Wooncompagnie. Dus verschillende afdelingen, maar ook mensen uit het management en van de werkvloer. Op die manier zorgen we voor een breed en representatief beeld van de organisatie, zodat we onszelf de komende jaren gericht kunnen verbeteren.”

Processen niet ‘hinderen’

Twee jaar geleden vertelde Rene dat informatiebeveiliging als een lust én last gezien wordt. “En dat is eigenlijk nog steeds zo. De lust is dat je alerter bent op DDOS-aanvallen, hackpogingen en beter kunt anticiperen op gevaren. Aan de andere kant heeft het wel invloed op de dagelijkse praktijk. In een ideale wereld zou het niet nodig moeten zijn en hoeft informatiebeveiliging processen niet te ‘hinderen’, maar het is wel de werkelijkheid. Daarbij willen we informatiebeveiliging zo min mogelijk tot last maken door mensen er niet mee te overladen. Natuurlijk moet je aandacht besteden aan bijvoorbeeld cybercriminaliteit zodat medewerkers alert zijn, maar je moet ze niet overvoeren. Naar die balans zijn we continu op zoek.”

Nauwer samenwerken

“Naast het assessment zijn er verschillende andere ontwikkelingen waar we de komende periode op willen inspelen,” blikt Rene vooruit. “Zo gaan we – intern en extern – steeds meer gegevens en documenten met elkaar beveiligd delen. Denk aan een beveiligde verbinding met een accountant, verantwoording bij de belastingdienst of het creëren van gezamenlijke mappen in bijvoorbeeld SharePoint. Met de inrichting van die veilige online werkomgeving zijn we bezig, waarbij ook partijen buiten Wooncompagnie betrokken worden. Door daarbij gebruik te maken van bijvoorbeeld two factor authentication of aanvullende wachtwoorden kunnen we documenten goed beveiligen, en kunnen ze ook niet fysiek rondslingeren.”

Keerzijde

“De keerzijde van deze nauwere samenwerking is dat we steeds meer gebruik gaan maken van de cloud. We loggen in bij andere partijen, en zij soms ook op onze systemen. Grip houden op wie digitaal toegang heeft tot jouw organisatie wordt daarom steeds belangrijker en lastiger. Dat op een goede manier invullen – bijvoorbeeld door toegang te linken aan een zakelijk e-mailadres die niet meer werkt zodra iemand uit dienst treedt – willen we zorgen dat informatiebeveiliging en privacy zo min mogelijk onze processen hinderen, en onze gegevens tegelijkertijd te allen tijde veilig zijn.”

Bron: CorporatieGids Magazine, Foto: Gerda Horneman

Reactie plaatsen