Woningcorporaties presenteren BIC (Baseline Informatiebeveiliging Corporaties)

In navolging van het rijk en de gemeenten is er binnenkort ook voor de woningcorporatiebranche een baseline voor informatiebeveiliging (BIC). Het initiatief voor de ontwikkeling van deze BIC kwam vanuit enkele NetwIT-leden. Inmiddels zijn de werkzaamheden zover gevorderd dat op 5 april de officiële presentatie kan plaatsvinden.

016-017-1NetwIT is een vereniging van en voor IT-verantwoordelijken die werkzaam zijn bij een woningcorporatie. De BIC-werkgroep bestaat uit leden van acht woningcorporaties die bij NetwIT zijn aangesloten. Een van de initiatiefnemers is Joop Schoppers, teamleider ICT, Facilitair en Inkoop bij woningcorporatie De Woonplaats in Enschede. Schoppers wijst naar de baselines BIR en BIG bij het Rijk en de Gemeenten. ‘Samen met een aantal collega’s van andere corporaties kwam ik tot de conclusie dat een dergelijke baseline ook voor corporaties nuttig zou zijn. Het lag voor de hand om hiervoor Netwit te benaderen, omdat deze club al eerder initiatieven ontplooide op het gebied van referentiearchitecturen (zoals CORA en VERA) en digitale gegevensuitwisseling. Na overleg met het bestuur van NetwIT is er een werkgroep (een SIG, Special Interest Group) ingesteld. De deelnemende corporaties waren bereid het voortouw te nemen en er tijd en energie in te steken.’ 

Doelstelling

Doelstelling van de werkgroep is te komen tot een baseline die specifiek gemaakt is voor de woningcorporaties. Daarbij is de verwachting dat 80 tot 90 procent van de in te kleuren domeinen binnen de ISO-norm vergelijkbaar is met wat belangrijk is voor gemeenten, rijk of waterschappen. Schoppers: ‘Wij willen onze BIC specifiek en herkenbaar maken voor woningcorporaties door branche-specifieke bedreigingen te identificeren en deze vervolgens te voorzien van daarbij behorende specifieke mitigerende maatregelen. Voor de langere termijn hebben we als doelstelling onderlinge vergelijkingen mogelijk te maken en eventueel een benchmark op te stellen. Daarmee hebben we eerder al goede ervaringen opgedaan in de vorm van de jaarlijkse benchmark van IT-kosten (wTCO). Daarbij is uiteraard sprake van benchlearning, iets wat voor de BIC ook zou gelden.’ 

Werkwijze

Schoppers legt uit op welke wijze de werkgroep te werk is gegaan. ‘We zijn gestart met een risico-mitigatie workshop. Aan de hand van 75 algemeen bekende risico’s is nagedacht over de relevantie van elk risico voor een woningcorporatie. Ook zijn eventuele specifieke risico’s voor de eigen branche bekeken. Daarna hebben we de BIG bekeken, aangepast en geactualiseerd. Inmiddels is er de ISO27001, versie 2013. Deze vervangt de versie van 2005, waar de BIG nog op gebaseerd is.

Vervolgens hebben we per domein de tekst en de maatregelen aangepast om de herkenbaarheid voor woningcorporaties zo groot mogelijk te maken en de geïdentificeerde risico’s zo goed mogelijk te reduceren.’

De BIR stamt uit 2010 en wordt momenteel geactualiseerd. Ervaringen vanuit het rijk en ook ervaringen bij gemeenten (de BIG acceptatie verloopt moeizaam, daarvoor is een visitatiecommissie vanuit de VNG ingezet) deden de leden van de werkgroep besluiten te kiezen voor een pragmatische aanpak. Schoppers: ‘Per domein hebben we keuzes gemaakt in de mate van detaillering waarmee we iets voorschrijven. Auditors noemen dat deze aanpak Principle Based ten opzichte van Risk Based. Sommige zaken lenen zich niet voor een gedetailleerd voorschrijven van het hoe, maar meer voor het wat, afhankelijk van de karakteristiek van domein of onderwerp. We willen niet tot op het laagste detailniveau zaken voorschrijven. Laat een baseline zijn waarvoor hij is bedoeld: een veilig vertrekpunt waarbij in de basis de zaken geregeld zijn en waarbij een corporatie zich kan concentreren op de uitzonderingen die meer aandacht en specifieke maatregelen behoeven.’ 

Verspreiding en acceptatie

Bij NetwIT zijn ongeveer 140 corporaties aangesloten, samen goed voor ongeveer 80% van het totaal aantal woningen in bezit van corporaties. Gelet op de (technologische) ontwikkelingen en het ontsluiten van de bedrijfssystemen door middel van zogenaamde huurdersportalen, staat informatiebeveiliging hoog op de agenda bij de woningcorporaties. De BIC zal eveneens worden gedeeld met de leveranciers van woningcorporaties, in het bijzonder met leveranciers van software en/of cloud oplossingen. Woningcorporaties zullen naar verwachting in de Inkoopvoorwaarden opnemen dat leveranciers zich dienen te conformeren aan de BIC.

De officiële presentatie van de BIC zal plaatsvinden op 5 april ’s middags, aansluitend aan de (besloten) Algemene Ledenvergadering van NetwIT. De presentatie is toegankelijk voor alle belangstellenden.

Voor meer informatie: info@netwit.nl. Zie ook www.netwit.nl.

2 Responses to Woningcorporaties presenteren BIC (Baseline Informatiebeveiliging Corporaties)

  1. Frans Wessels schreef:

    HEEEEL slecht initiatief. Er is de ISO27001 die OOK voor woningcorporaties bruikbaar is, zelfs voor de groenteboer (niet denigrerend bedoelt).
    Waarom deze actie, doet met denken aan de 7510 die eigenlijk ook de ISO27001 was (2005 versie) en nu na HEEEL lang nadenken vrijwel de nieuwe ISO27001 gaat worden.

  2. Arie Hartog schreef:

    Uitstekend initiatief. Wij zullen de BIC opnemen in het ISMS Control Framework van key2control naast de reeds bestaande normenkaders als BIG/NEN7510/ISO27001.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.