BIC (Baseline Informatiebeveiliging Corporaties): richtlijnen voor woningcorporaties

In 2016 werd de Baseline Informatiebeveiliging Corporaties (BIC) gelanceerd. Hiermee krijgen woningcorporaties richtlijnen om datalekken te voorkomen en hun informatiebeveiliging te verbeteren. Naast deze richtlijnen is het noodzaak om vanaf 25 mei 2018 te voldoen aan de GDPR-wetgeving. In deze blog bekijken we het belang van BIC en hoe woningcorporaties stappen kunnen zetten richting compliance aan GDPR.

 Wat is Baseline Informatiebeveiliging Corporaties?

De gevoelige persoonsgegevens waar woningcorporaties mee werken zijn voor cybercriminelen erg interessant. De lancering van BIC komt tegemoet aan een vraag die leeft bij veel woningcorporaties: Welk niveau moet mijn informatiebeveiliging hebben? BIC is een pakket randvoorwaarden speciaal voor woningcorporaties, net zoals BIG dat is voor gemeenten en NEN 7510 voor de zorg. Het bevat richtlijnen en maatregelen die alle aspecten van informatiebeveiliging beschrijven: Van afgeschreven apparatuur en toegang tot persoonsgegevens, tot de fysieke toegang tot het kantoor en de serverruimte. BIC beschrijft waar de informatiebeveiliging minimaal aan moet voldoen. Woningcorporaties kunnen hun informatiebeveiliging vergelijken en hebben een richting waar ze naartoe kunnen werken.

Informatiebeveiliging: Een zorg van iedereen

Vaak wordt informatiebeveiliging gezien als een feestje van de ICT-afdeling. Maar draai het eens om: als ICT zelf mocht kiezen, dan waren er geen wachtwoorden of ondersteuning nodig. Het is juist vanuit de business dat er wordt gekozen om te voldoen aan wetgeving, om hackers buiten de deur te houden en om gevoelige informatie af te schermen. Elke afdeling heeft te maken met de risico’s van een slechte informatiebeveiliging en daarom is het ook een zorg van iedereen.

Een IT-afdeling heeft alle tools beschikbaar om de informatiebeveiliging helemaal dicht te timmeren. Maar zijn er voor noodhulp gegevens nodig van de huurders van een woning, dan wil je niet dat hulpverleners eerst door alle stappen van multi-factor authenticatie heen moeten voor er de juiste actie ondernomen kan worden. Welke weg je als organisatie kiest en hoe je zaken wilt doen, is vooral een beslissing van de organisatie. Bewaar je de aanvraag van een niet toegewezen huuraanvraag? Mogen medewerkers ook thuiswerken? BIC beschrijft waar de informatiebeveiliging minimaal aan moet voldoen.

De IT-afdeling heeft de verantwoordelijkheid om technische mogelijkheden aan te dragen, de juiste vragen te helpen stellen en inzichten te bieden. Onder andere door de aanstaande GDPR is informatiebeveiliging veel in het nieuws. Voldoe je als woningcorporatie echter aan de BIC (of aan de ISO 27001 normering voor informatiebeveiliging), dan voldoe je al bijna volledig aan de GDPR.

Grip krijgen op informatiebeveiliging

Met de awareness van informatiebeveiliging en de rol van BIC, is de volgende vraag: Hoe komen we daar? Welke tools zijn beschikbaar? Graag belicht ik een eerste cruciale stap.

Toets je informatiebeveiliging
Breng in kaart wat de status van informatiebeveiliging momenteel is op basis van gegevens uit de IT-omgeving. Het scannen en inventariseren van alle endpoints, configuraties, rechten en rollen. Het herkennen van persoonsgegevens zoals een kopie van het identiteitsbewijs en het controleren op malware-infecties. Allemaal zaken waarmee je snel en effectief je de status van informatiebeveiliging kunt toetsen. Stel een roadmap op basis van werkelijke gegevens uit uw IT-omgeving en zet de eerste stappen.

Om bovenstaande eerste stap te zetten heeft QS solutions CSAT (Cyber Security Assessment Tool) ontwikkeld. Hiermee toets je snel en effectief je IT-omgeving. Zo zie je welke IT-investeringen verstandig zijn en welke risico’s er nog moeten worden geadresseerd.

Aan de slag met informatiebeveiliging

De techniek is er. Net als de noodzaak, omdat een serieuze datalek niet alleen reputatieschade oplevert, maar er met de GDPR ook boetes tot € 20 miljoen of 4 procent van de omzet kunnen worden uitgedeeld. De kans dat dit direct gebeurt is klein, maar wacht niet tot de eerste valt. Wees voorbereid en werk stapsgewijs richting compliance. De bal ligt bij de business. Omdat bij elke zakelijke beslissing er ook gekeken moet worden naar de gevolgen voor de informatiebeveiliging. Verder lezen over hoe je de eerste stap kunt zetten met CSAT? Lees dat in mijn volgende blog!