'Gedragsverandering essentieel voor goede beveiliging informatie en privacy'

Geplaatst door CorporatieMedia op
 

Met de introductie begin dit jaar van de meldplicht Datalekken is informatiebeveiliging bij woningcorporaties hoger op de agenda komen te staan. In de praktijk ziet Martin van der Voort, Security Officer bij NEH Shared Services, ook dat er steeds meer aandacht voor informatiebeveiliging komt en dat er tegelijk nog voldoende ruimte is voor groei. Een gesprek over het belang van degelijke informatiebeveiliging bij woningcorporaties.

"Jaarlijks publiceert het Nationaal Cyber Security Centrum het Cyber Securitybeeld Nederland (CSBN)," begint Martin. "Gekeken naar hun laatste rapport zijn de grootste uitdagingen voor bijna elke organisatie hetzelfde: phishing en cryptoware (ransomware)."

Schade
Volgens de Security Officer van NEH vormt phishing - het vissen naar inloggegevens van andere gebruikers - hierbij het grootste probleem. "Dit is momenteel de meest voorkomende manier om digitaal in te breken. Daarnaast bevatten phishing mails, volgens onderzoek, in 93 procent van de gevallen ransomware. Wanneer dit gerichte aanvallen zijn en de aanvaller probeert een specifiek persoon te bereiken, dan zijn deze voor gebruikers nauwelijks te herkennen. Met een geslaagde campagne kunnen aanvallers toegang krijgen tot interne netwerken en de daarin opgeslagen informatie."

"Het niet goed beveiligen van informatie kan vervolgens leiden tot klantverlies, imagoverlies en financiële schade. De Autoriteit Persoonsgegevens kan daarnaast vanaf 1 januari 2016 corporaties een boete opleggen wanneer zij de Wet bescherming persoonsgegevens overtreden, tot een bedrag van maximaal 820.000 euro."

Niveau
Ondanks de risico’s en hoge boetes merkt Martin dat het niveau van informatiebeveiliging in de praktijk vaak onvoldoende is. "Er is bij corporaties vaak onvoldoende aandacht voor informatiebeveiliging wat resulteert in dat er geen informatiebeveiligingsproces is gedefinieerd. Wanneer er wel een beleid is, dan komt het nog vaak voor dat deze onvoldoende geborgd is. Er is in dat geval niemand verantwoordelijk gemaakt, waardoor het vooral een papieren oefening blijft."

"De prioriteit van woningcorporaties ligt bij hun core business en maatschappelijke taak: het verhuren en onderhouden van vastgoed. Het beveiligen van data wordt hierbij vaak over het hoofd gezien. Het omarmen en integreren van informatiebeveiliging binnen de bedrijfsprocessen draagt echter juist bij aan het goed kunnen uitvoeren van deze maatschappelijke taak. Daarbij kunnen corporaties hun huurders de garantie geven dat hun vertrouwelijke gegevens zo goed mogelijk worden beschermd."

Volwassenheid
De afgelopen maanden is het informatiebeveiligingsniveau wel toegenomen, stelt Martin vast. "Corporaties zijn veelal volwassener geworden en dat komt mede door de meldplicht datalekken die sinds 1 januari 2016 actief is. De boetebevoegdheid van de Autoriteit Persoonsgegevens en het mogelijk financieel risico voor de corporatie, heeft ervoor gezorgd dat er meer aandacht is vanuit de directies."

De bescherming van privacy is in verschillende wetten en verdragen geregeld. De belangrijke wetten op dit gebied zijn de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming.

"Hoewel privacybescherming iets is wat nu door de wetgever wordt voorgeschreven hadden organisaties eigenlijk vanuit hun eigen verantwoordelijkheid al veel langer, veel meer moeten doen om persoonsgegevens van hun klanten adequaat te beschermen. Corporaties, en eigenlijk alle type organisaties in Nederland, zijn nu bezig met een inhaalslag. Het uitgangspunt van corporaties zou moeten zijn dat ze met gegevens van klanten omgaan, zoals ze ook willen dat anderen hun gegevens beveiligen. Informatiebeveiliging is te lang een ondergeschoven kindje geweest."

Mens als zwakke schakel
Wanneer corporaties stappen willen maken op het gebied van informatiebeveiliging, is volgens Martin de meeste winst te behalen op het 'menselijk' vlak. "De mens is de belangrijkste en tegelijkertijd ook de zwakste schakel in de beveiligingsketen. Ongeveer zeventig procent van de incidenten op het gebied van informatiebeveiliging wordt door menselijke fouten veroorzaakt. Er wordt teveel vertrouwd op techniek - men denkt dat daar de risico's liggen - en zijn zich niet bewust van de gevolgen."

"Beveiligingsincidenten ontstaan veelal vanuit het gedrag van medewerkers en hun ingesleten gewoontes. Zo worden er bijvoorbeeld teveel gegevens geregistreerd, deze data wordt te lang bewaard en daarnaast te makkelijk gedeeld met anderen. Wij adviseren corporaties een 'informatiebeveiliging bewustwordingscampagne' uit te voeren. Het is belangrijk dat corporaties bewustzijn creëren om zo de kans op beveiligingsincidenten te verkleinen. En het trainen van medewerkers helpt om gedrag te veranderen.”

"NEH is een samenwerking gestart met een zeer ervaren security awareness opleider om het beveiligingsbewustzijn bij corporaties te verhogen. Het volgen van een security awareness training helpt eindgebruikers om gevaren te herkennen, waardoor de dreiging van bijvoorbeeld phishing mails en ransomware aanzienlijk verlaagd kan worden."

Analyse
NEH kan corporaties dus helpen beter om te gaan met informatiebeveiliging, legt Martin uit. "Naast het verzorgen van trainingen doen wij bijvoorbeeld ook onderzoek naar de impact van nieuwe wet- en regelgeving en het invoeren van noodzakelijke maatregelen. Daarbij worden onder andere bedrijfsprocessen doorgelicht waarbinnen persoonsgegevens verwerkt worden, zoals het verhuurmutatieproces. Hierbinnen analyseren we welke persoonsgegevens een corporatie verwerkt, op basis van welke grondslag en welke interne en externe partijen hier toegang tot hebben. Aan de hand van deze bevindingen helpen we bij het uitvoeren van de noodzakelijke beheersmaatregelen op basis van de ISO27002."

Gedragsverandering
"Informatiebeveiliging en privacybescherming zou een blijvend punt op de agenda moeten worden," sluit Martin af. "De directeur-bestuurder is eindverantwoordelijk voor de informatie beveiliging en privacybescherming van de woningcorporatie. Hij of zij moet er dan ook voor zorgen dat de verantwoordelijkheden en bevoegdheden voor rollen, die relevant zijn voor informatiebeveiliging en privacybescherming, worden toegekend en gecommuniceerd."

“Bij NEH verwachten we dat het management van woningcorporaties de komende tijd meer aandacht zal besteden aan het proces rondom informatiebeveiliging en privacy. In eerste instantie onder druk van de wetgeving, en hopelijk in de toekomst als een integraal onderdeel binnen de bedrijfsvoering."

Bron: Johan van den Beld | CorporatieMedia - 16 augustus 2016