Beveiliging is in de huidige digitale wereld niet alleen een prioriteit, maar een absolute noodzaak. Als softwarebedrijf dat oplossingen ontwikkelt voor woningcorporaties, is het beschermen van gevoelige gegevens van zowel onze organisatie als onze klanten essentieel. Cyberdreigingen worden steeds geavanceerder en frequenter, wat betekent dat we voortdurend moeten innoveren en onze systemen moeten versterken.
Binnen Itris ontwikkelen we security continu door. De basis hiervoor is uiteraard de bestaande certificering op dat gebied. Dit wordt gewaarborgd door:
Naast de jaarlijkse interne en externe audits die wij zelf uitvoeren om de certificering te vernieuwen, is Itris ook onderdeel van TSS. Binnen TSS is een Security Framework (SF) opgesteld met 51 controles, voornamelijk gericht op cybersecurity. Hier moeten alle Business Units aan voldoen. Het SF is gebaseerd op het gezaghebbende Amerikaanse NIST Cybersecurity Framework. Met compliance aan dit framework overstijgen we vaak de in Nederland geldende en aangenomen security frameworks.
Ieder kwartaal rapporteren wij de status ten opzichte van SF. TSS voert ook externe audits uit bij de business units ten opzichte van dit framework.
TSS voert elk kwartaal controles uit bij de verschillende business units (BU’s), met een team van Security Officers van Topicus/TSS. Periodiek kunnen BU’s door een extern ingehuurd bureau geaudit worden.
Het TSS SCF is scherper en uitgebreider dan bijvoorbeeld de ISO 27001. Met ISO 27001 certificering laat we zien dat we voldoen aan alle eisen rondom informatiebeveiliging. Echter willen wij (en TSS) altijd een stap verder en willen we met de eisen vanuit het TSS SCF altijd zorgen dat we net een stapje verder zijn.
Dit vereist soms aanpassingen vanuit onze kant bij nieuwe of uitgebreidere controles, en in sommige gevallen zelfs ingrijpende beleidswijzigingen. Een van de onderdelen is dus het vervangen van de malware protectie (ESET) naar Sophos (een geavanceerde XDR-oplossing). Doordat TSS ons scherp houdt willen wij voorop blijven lopen als het gaat om security en is dit vaste onderdeel in de nieuwsbrieven de manier om jullie hierover te informeren.
Samenwerking Stichting ViewPoint
Maar uiteraard zijn wij over dit onderwerp ook regelmatig in contact met de Stichting ViewPoint. Zij houden ons scherp op dit onderwerp en hebben recent door Fox-IT een assessment laten uitvoeren. Tijdens dit assessment heeft Fox-IT de mate van cyberweerbaarheid van Itris beoordeeld. In opdracht van Stichting ViewPoint heeft Fox-IT inzicht verkregen in de wijze waarop cybersecurity-onderwerpen binnen Itris zijn georganiseerd. De onderwerpen waren onderverdeeld in compliance onderwerpen en kwetsbaarheidsgebieden.
Fox-IT concludeerde dat de kennis, expertise en toewijding van verschillende individuen binnen Itris een belangrijke rol hebben gespeeld in het beperkte aantal geconstateerde bevindingen.
Belangrijkste aandachtspunt is deze kennis breder te delen en beter te borgen in de organisatie.
In september wordt het rapport besproken met de Stichting en Fox-IT. De aanbevelingen vanuit het rapport zijn voor ons zeer waardevol en nemen wij mee in de doorontwikkelingen.
Onze volgende stap met Sophos
Onlangs hebben we weer een belangrijke stap gezet in onze security-strategie door Sophos te implementeren, een geavanceerde XDR-oplossing. XDR staat voor Extended Detection and Response, wat simpel gezegd betekent dat het helpt om mogelijke bedreigingen snel te herkennen en te stoppen voordat ze schade kunnen aanrichten.
Wat doet Sophos?
Sophos fungeert als een bewaker voor onze computersystemen. Het scant continu ons netwerk en de apparaten die daarop zijn aangesloten, op zoek naar verdachte activiteiten. Als er iets verdachts wordt gedetecteerd, bijvoorbeeld een virus of een poging om in te breken, dan reageert Sophos meteen. Het stopt de bedreiging, informeert ons direct via de 24/7 NOC dienst die we afnemen, maakt rapporten voor ons zodat we weten wat er is gebeurd, en helpt ons om onze systemen nog beter te beveiligen in de toekomst.
Maar alleen technologie is niet genoeg om onze systemen volledig veilig te houden. De menselijke factor speelt een even grote rol. Dit betekent dat security awareness – het bewust zijn van mogelijke dreigingen en weten hoe je daarop moet reageren – net zo belangrijk is. We moeten ons allemaal bewust zijn van bijvoorbeeld de gevaren van phishing-e-mails, het gebruik van sterke wachtwoorden, en het veilig omgaan met gevoelige informatie.
Security blijft in beweging
Security is geen eenmalige taak, maar een continu proces. We blijven ons voortdurend ontwikkelen en aanpassen aan nieuwe dreigingen en technologische vooruitgang. Dit betekent dat we niet alleen investeren in tools zoals Sophos, maar ook in opleiding en bewustwording van onze medewerkers. Door continu te blijven leren en verbeteren, zorgen we ervoor dat we altijd een stap voor blijven op mogelijke bedreigingen. Zo houden we onze systemen en gegevens optimaal beschermd, nu en in de toekomst.
Zijn er nog leerpunten die jullie de corporaties mee willen geven?
Voor ons is het slechts bij een klein gedeelte van de corporaties inzichtelijk welke maatregelen corporaties zelf nemen en wat zij doen aan awareness. Wat wij wel zien (en dat is niet corporatie gebonden) is dat Awareness en het continue trainen hierop van heel groot belang is. Nagenoeg alle hacks waar wij over geïnformeerd zijn (de 8 WoCo’s in 2024, de hack bij Coen Hagedoorn en AddComm) zijn allemaal ‘gestart’ doordat er op een phising linkje is geklikt door een medewerker. In overleg met jullie (en onze security officer) zou ik graag een keer willen onderzoeken of er behoefte is aan een klantsessie waarbij wij iedereen meenemen in het belang van Awareness trainingen voor medewerkers en hoe we elkaar hierbij kunnen helpen.
Via deze nieuwsbrief zullen wij jullie vanaf nu iedere keer informeren over security en wat Itris allemaal voor stappen zet op dit gebied.