Vandaag heeft CorporatieMedia een artikel gepubliceerd over IT security bij woningcorporaties. Het stuk is tot stand gekomen door een interview dat CorporatieGids onlangs deed met Jay Schouten en Dennis van Leeuwen van PQR.
Woningcorporaties hebben de laatste jaren enorme stappen gezet als het gaat om digitalisering, automatisering en de stap naar de cloud. Daarbij heeft security niet altijd de aandacht en invulling gekregen die noodzakelijk is. Zonde, zeggen CISO Jay Schouten en Accountmanager Dennis van Leeuwen van PQR: “Als corporatie moet je invulling geven aan de continuïteit en governance doelstellingen, daarbij hoort ook een strategische security-aanpak.” Corporaties willen veilig hun data opslaan en de privacy van hun huurders borgen. Ook is de vertaalslag van beleid naar de operatie volgens Dennis voor veel organisaties een uitdaging: “De stappen die gemaakt zijn rondom digitalisering of cloudgebruik en het borgen van de securityimpact, vinden veel corporaties lastig. Hiervoor moeten traditionele security-concepten omgevormd worden naar een strategische aanpak die de dynamiek van IT volgt.”
Ad hoc-gedreven security
Jay: “De coronapandemie is een goed voorbeeld van ad hoc-gedreven security. Om continuïteit te bieden, werd de stap naar thuiswerken snel gemaakt. Nu blijkt die techniek echter een kwetsbaarheid te zijn. Dergelijke bottlenecks zijn te voorkomen door een eigen visie te hebben over waar je heen wilt zodat je niet achter de feiten aanloopt. Zo neem je het mee in iedere laag van de organisatie. Dit, in plaats van moeten reageren wanneer een dreiging zich voordoet, zoals een collegacorporatie die wordt gehackt of een pandemie die dwingt thuiswerken snel te omarmen.”
Schaalvoordeel is niet per se veilig
Op de vraag hoe goed woningcorporaties beschermd zijn tegen cybercriminelen, vertelt Dennis: “Wat je ziet is dat outsourcing vaak gedreven wordt door kenmerken als schaalbaarheid, prijs en kwaliteitsgaranties. Innovatie op security is onderbelicht en juist naar de toekomst kijkend steeds belangrijker. Daarnaast leidt schaalvoordeel bij het delen van technische resources niet gelijk tot een veilige IT-omgeving. De kwetsbaarheid bij de één kan een hack tot gevolg hebben bij de ander. Dat is een punt van zorg.”
“Daarnaast heb je iemand nodig in het senior management die de visie en doelstellingen kan vertalen naar securitybeleid,” – Jay Schouten
Geen after thought
Om te komen tot goede informatiebeveiliging zijn volgens Dennis de volgende twee factoren belangrijk: “Er moet een goede top-down vertaling gemaakt worden van beleid naar praktijkgerichte uitgangspunten. Aansluitend moeten deze uitgangspunten meegenomen worden in de designfase van de te ontwikkelen infrastructuur. In andere woorden; een inrichting van cybersecurity op strategisch, tactisch én operationeel vlak. Allereerst moet security – en gelukkig gebeurt dat steeds vaker – als een essentieel onderdeel worden gezien door het management. Met dat draagvlak neem je het mee in evaluaties en al bij de voorbereiding van projecten. Zo wordt het geen after thought, maar een deliverable van je IT-landschap en processen.”
Geïnteresseerd?
Lees hier het volledige artikel. Hier kunt u meer lezen over de security-diensten van PQR. Woningcorporaties en PQR, daarover leest u hier meer.