CorporatieGids Magazine
57 ONAFHANKELIJK MAGAZINE OVER STRATEGIE, BEDRIJFSVOERING & ICT VOOR WONINGCORPORATIES NUMMER 1, 2019 56 WWW.CORPORATIEGIDS.NL gaan werken en de inrichting alsnog onveilig wordt. Ik ben ervan overtuigd dat bewustwording voor ‘veilig werken’ dan ook moeilijker is dan het technisch veilig maken van systemen.” Persoonlijk belang Bij zowel de nulmeting als de bewustwordingscampagne heeft Woonstede samengewerkt met Audittrail. “Samen met hen hebben wij de campagne uitgevoerd. Dit bestond uit een aantal onderdelen, zoals een bewustwordingscampagne van meerdere maanden, een e-learning training en een lezing door Maria Genova – auteur van ‘Komt een vrouw bij de hacker’. We proberen ook de link te leggen naar het persoonlijke belang voor een medewerker. De bewustwording is namelijk niet alleen van belang binnen je werk, maar ook privé.” Regiegroep informatiebeveiliging Samen met Audittrail heeft de corporatie ook een ‘regiegroep informatiebeveiliging’ (RGIB) opgericht. “Deze groep is een bewuste keuze om te zorgen dat we als organisatie samen- werken aan informatiebeveiliging. Het is niet een ‘feestje’ van de Privacy en Security Officer, maar een groep medewerkers vanuit de hele organisatie die vanuit hun functie of interesse een bijdrage leveren. Daar ligt een grote factor van de meerwaarde: informatie is van de gehele organisatie en daarmee is de hele organisatie hier verantwoordelijk voor. Door het oprichten van de RGIB borgen we deze verantwoor- delijkheid in de organisatie. De leden van de regiegroep zijn bijvoorbeeld ambassadeur voor informatiebeveiliging en signaleren wanneer er iets mis dreigt te gaan.” Volgende stappen Om de stappen te verankeren in procedures en richtlijnen maakt Woonstede gebruik van de Baseline Informatie- beveiliging Corporaties (BIC). “De BIC laat zien waar we naartoe moeten, en de nulmeting gaf een beeld van waar we momenteel staan. De resultaten hebben wij verwerkt in het BIC-framework – ontwikkeld door Audittrail – waaraan we ook de informatiebeveiligingsbevindingen van onze accountant en interne auditor hebben toegevoegd. Zo hebben we overzicht van alle activiteiten. Samen met de leden van de RGIB werkgroep zijn we de activiteiten nu aan het prioriteren. Dit leidt tot een jaar- en communicatieplan waarmee we de volgende stappen kunnen nemen. Uiteindelijk levert dit een PDCA-cyclus op en kunnen we aantonen dat we in control worden én blijven.” Need to know principe Goede informatiebeveiliging zorgt ook voor het borgen van de continuïteit van systemen en betrouwbare informatie- voorziening, legt Martijn uit. “Vanuit informatiebeveiliging hebben wij autorisaties opnieuw beoordeeld naar het ‘need to know’ principe. In andere woorden: alleen hetgeen je voor je werk nodig hebt, heb je inzage in. Ook het alleen opslaan van data die je écht nodig hebt voor het uitvoeren van je werk, zorgt ervoor dat het werk makkelijker wordt. Het veilig versturen van bestanden met privacygevoelige data is een vraag vanuit de organisatie en komt ook terug in het BIC: dat pakken wij nu als een van de eerste onderdelen aan. Daarnaast was het vastleggen van de beveiligingsincidenten niet goed geregeld en richten wij nu zo in dat we kunnen rapporteren, monitoren en evalueren op deze incidenten.” Inbedden in de organisatie Martijn sluit af door te stellen dat informatiebeveiliging steeds meer als continu proces wordt gezien. “En zo willen wij het ook inbedden in onze organisatie. Door dit continue proces wordt informatiebeveiliging stap voor stap naar een hoger volwassenheidsniveau gebracht.”
RkJQdWJsaXNoZXIy Mzg5Mzg=