Klantcase: Stimuleringsfonds Volkshuisvesting Nederlandse Gemeenten
- Blog
Hoe pak je je informatiebeveiliging aan als je met grote volumes uiterst persoonlijke data werkt? Hoe zorg je ervoor dat iedereen binnen je organisatie zich bewust wordt van de risico’s van cybercriminaliteit en vooral, welke uitdagingen zien we voor organisaties die veel persoonsgebonden informatie verwerken? We vroegen het Wim Dieke, Information Security Officer bij het Stimuleringsfonds Volkshuisvesting Nederlandse Gemeenten (SVn). In dit artikel deelt hij zijn diepgaande inzichten op informatiebeveiliging in een tijdperk waarin gegevens kwesties volop gedigitaliseerd zijn.
Geen moetje, wel een intrinsieke plicht
Het Stimuleringsfonds Volkshuisvesting Nederlandse Gemeenten (SVn) is een onafhankelijke stichting zonder winstoogmerk die particulieren helpt een financieel duwtje in de rug te geven. Denk aan starters op de woningmarkt of huiseigenaren die hun woning graag willen verduurzamen. Met tijdelijk renteloze en aflossingsvrije financieringen zorgen ze er in samenwerking met VVE’s en gemeenten voor dat starters op de markt wel een kans maken op een eigen woning. De filosofie van SVn hierachter is dat als je het ze nu tijdelijk financieel makkelijker maakt, er later meer stabiliteit is om de financiering terug te betalen.
Dat informatiebeveiliging binnen een organisatie die onder toezicht staat van de Nationale Nederlandse Bank en de Autoriteit Financiële Markten (AFM) als cruciaal wordt beschouwd, zal je vast niet verbazen. Toch ziet Wim Dieke, Information Security Officer bij SVn, het niet als een ‘moetje’. “Als je spreekt van een moetje, dan heb je het niet over intrinsieke motivatie. Wij bereiken een grote groep mensen die ons het vertrouwen schenken om met zeer persoonlijke en vaak gevoelige informatie om te gaan. Niet enkel wij, maar elke organisatie die omgaat met gevoelige data heeft een maatschappelijke verplichting om hier zeer bewust mee om te gaan.”
Information Security “APK”
Gelukkig krijgt Wim alle steun binnen de organisatie om voldoende tijd en middelen te investeren in de software en - informatiebeveiliging van SVn. Ondanks dat SVn een stichting is met een bescheiden aantal medewerkers op de loonlijst, staat informatiebeveiliging heel hoog op de agenda. Sterker, als Wim een initiatief oppert die in dienst staat van het verbeteren van de informatiebeveiliging, dan wordt hij daarin nooit geremd.
Zo is er een gedegen en gestructureerd continu security beleid waarbij zeer regelmatig de digitale assets gecontroleerd worden op eventuele kwetsbaarheden. “Natuurlijk leggen we niet alle kaarten op tafel, maar we kunnen alvast vertellen dat we volgens bewezen internationale richtlijnen en best practices te werk gaan. Zo herijken we continu ons beleid en cyber security en informatiebeveiligingsmaatregelen. Daarbij werken we volgens de PDCA-cyclus: Do, Plan, Check, Act. Noem het gerust onze InfoSec APK."
Pentesting als belangrijk controlemiddel
Een belangrijk middel om regelmatig de informatiebeveiliging te controleren is pentesten. SVn heeft al een aantal jaar terug beleidsmatig bepaald om vaak pentests te laten uitvoeren om de kwaliteit van het gebruikte digitale landschap te testen. Dit doen zij op vrijwel alles wat te maken heeft met IT-infrastructuur en data.
Ook, en misschien wel vooral, bij hun toeleveranciers van applicaties, wat vaak SaaS tools zijn. “Wij zijn niet argwanend, maar wel kritisch."Software ontwikkelen blijft een menselijke handeling. Een foutje maken is zo gebeurd." Daarom testen wij alle applicaties van onze externe leveranciers om de veiligheid hier intern te garanderen."
Als tip geeft Wim graag mee dat het slim is om regelmatig te wisselen van pentesting partner: “Zelf rouleren we tussen een vijftal externe partijen die regelmatig onze software en digitale assets testen. Hacksclusive is hier een van. We merken dat als je continu met eenzelfde partij werkt, je snel blinde vlekken creëert.” Naast dat je vermijdt dat zaken over het hoofd gezien worden, zijn de verschillende visies ook een meerwaarde. “Elke partij heeft een andere modus operandi en specialisme. Het is fijn om al die verschillende input te ontvangen. Zo krijgen we een compleet beeld van eventuele kwetsbaarheden.”
“Software maken blijft mensenwerk en een foutje is zo gemaakt. Wij zijn niet argwanend, maar wel kritisch. Daarom pentesten we alle applicaties waar we mee werken die geleverd worden door leveranciers.”
Wim geeft ook graag gelijk een aantal belangrijke criteria mee die je helpen bij het kiezen van een geschikte pentesting partner. “Een hoog kennisniveau is natuurlijk zeer belangrijk, maar daarnaast kijken wij ook altijd naar hoe de output van de pentests aangeleverd worden. Het is voor ons cruciaal dat wij alle documentatie altijd goed terug kunnen vinden en uit kunnen lezen. Het is daarbij erg prettig om informatie meteen bij de bron te kunnen ontvangen, namelijk bij de ethical hacker. Zo ontvang je geen tweedehands informatie waar eventueel ruis overheen gaat.” Maar onderaan de streep komt het volgens Wim uiteindelijk nog altijd uit op buikgevoel: “Je moet het gevoel hebben dat je de partij kunt vertrouwen en dat je spart met iemand die echt over de nodige expertise beschikt."
De mens centraal
Wereldwijd is “12345” nog steeds het meest gebruikte wachtwoord. “Gelukkig niet bij ons”, grapt Wim. “Maar dat komt er niet zomaar. Je kunt wel alle digitale assets testen en beveiligen, uiteindelijk zijn de gebruikers ook een zeer kwetsbare schakel in de keten." Daarom investeert SVn tijd en energie in bewustzijn creëren over cybercriminaliteit en informatiebeveiliging bij hun medewerkers.
“Dit doen we met lezingen van gastsprekers, interne trainingen en proactief door phishing mails te simuleren”, vertelt Wim. "Het gaat ons er niet om dat iemand op de link klikt in de phising mail. Het gaat er vooral om dat we een trend zien in de hoeveelheid mensen die links aanklikken. Gelukkig zien we dat het percentage steeds lager wordt."
Cybersecurity maatregelen worden volgens Wim ook steeds makkelijker geaccepteerd door medewerkers. “Belangrijk daarbij is dat je niet belerend met het vingertje gaat zwaaien, maar goed uitlegt wat de risico’s zijn en waarom dergelijke maatregelen getroffen worden. Zo creëer je een veilige cultuur, niet enkel op cyber security vlak maar ook onderling tussen de collega’s.”
Steeds meer data en tools als uitdaging voor veel organisaties
Als we Wim vragen welke grote veranderingen er de komende 3 jaar impact zullen hebben op informatiebeveiliging binnen zijn organisatie en in het digitale landschap in Nederland, dan merkt hij op dat bewustzijn over cybercriminaliteit en dus ook maatregelen sterk toeneemt. “Vroeger was informatiebeveiliging enkel een kwestie voor de CISO’s en CTO’s binnen de organisatie. Nu merken we dat onze stakeholders zoals eindklanten, VVE’s en gemeenten proactief bij ons informeren wat er met de data gebeurt, hoe deze beveiligd is en hoe deze maatregelen getoetst worden”, merkt Wim op. “Dit komt omdat we ons steeds meer bewust zijn van hoe we omgaan met digitaal opgeslagen gegevens. Die digitalisering brengt helaas ook natuurlijk meer risico’s met zich mee.”
Daarnaast ziet Wim dat de digitale infrastructuur steeds complexer wordt. “Voorheen had je binnen een organisatie één centrale software tool waar je een soort fort omheen bouwt. Dat fort diende je dan maximaal te verdedigen. Nu gebruiken we veel meer externe tools, applicaties en bronnen. Dat brengt meer uitdaging met zich mee voor het beschermen van deze tools en het testen van de getroffen maatregelen.”
En als laatste zijn de razendsnelle ontwikkelingen op gebied van machine learning en AI ook Wim natuurlijk niet ontgaan. “Dataverwerking en analyse wordt slimmer, sneller en massaler. Dus dienen wij ook sneller data te kunnen beheren, maar ook veilig te stellen. Dat vormt zeker een pittige, maar leuke uitdaging. Niet enkel voor ons, maar voor alle organisaties die veel met data werken.”
Download onze
pentest whitepaper
Leer alles over pentesten in onze whitepaper Pentest Deepdive en krijg 6 tips om de scope van jouw pentest te bepalen.