Security is in de digitale wereld van vandaag niet alleen een prioriteit, maar een noodzaak. Voor ons als softwarebedrijf dat oplossingen ontwikkelt voor woningcorporaties, is het beschermen van gevoelige gegevens van zowel onze organisatie als die van onze klanten essentieel. Cyberdreigingen worden steeds geavanceerder en frequenter, wat betekent dat we voortdurend moeten innoveren en onze systemen moeten versterken.
Binnen NCCW ontwikkelen we security continu door. De basis hiervoor is uiteraard de bestaande certificering op dat gebied. Dit wordt gewaarborgd door:
- ISO20000: Kwaliteitssysteem voor IT-serviceproviders.
- ISO27001: Informatiebeveiliging.
- ISAE3402: Accountantsverklaring m.b.t. de dienstverlening en informatiebeveiliging die NCCW biedt.
Naast de jaarlijkse interne en externe audits die wij zelf uitvoeren om de certificering te vernieuwen, is NCCW ook onderdeel van TSS. Binnen TSS is een Security Framework (SF) opgesteld met 51 controles, voornamelijk gericht op cybersecurity. Hier moeten alle Business Units aan voldoen. Het SF is gebaseerd op het gezaghebbende Amerikaanse NIST Cybersecurity Framework. Met compliance aan dit framework overstijgen we vaak de in Nederland geldende en aangenomen security frameworks. Ieder kwartaal rapporteren wij de status ten opzichte van SF. TSS voert ook externe audits uit bij de business units ten opzichte van dit framework.
Het TSS SCF is scherper en uitgebreider dan bijvoorbeeld de ISO 27001. Met ISO 27001 certificering laten we zien dat we voldoen aan alle eisen rondom informatiebeveiliging. Echter willen wij (en TSS) met de eisen vanuit het TSS SCF altijd zorgen dat we net een stapje verder zijn.
Dit vergt soms bij nieuwe of uitgebreidere controls aanpassingen vanuit onze kant en soms ook rigoureuze wijzigingen in ons beleid. Een van de onderdelen is dus het vervangen van de malware protectie (ESET) naar Sophos (een geavanceerde XDR-oplossing). Doordat TSS ons scherp houdt willen wij voorop blijven lopen als het gaat om security en is dit vaste onderdeel in de nieuwsbrieven de manier om jullie hierover te informeren.
Onze volgende stap met Sophos
Onlangs hebben we weer een belangrijke stap gezet in onze security-strategie door Sophos te implementeren, een geavanceerde XDR-oplossing. XDR staat voor Extended Detection and Response, wat simpel gezegd betekent dat het helpt om mogelijke bedreigingen snel te herkennen en te stoppen voordat ze schade kunnen aanrichten.
Wat doet Sophos?
Sophos werkt als een soort bewaker voor onze computersystemen. Het scant continu ons netwerk en de apparaten die daarop zijn aangesloten, op zoek naar verdachte activiteiten. Als er iets verdachts wordt gedetecteerd, bijvoorbeeld een virus of een poging om in te breken, dan reageert Sophos meteen. Het stopt de bedreiging, informeert ons direct via de 24/7 NOC-dienst die we afnemen, maakt rapporten voor ons zodat we weten wat er is gebeurd, en helpt ons om onze systemen nog beter te beveiligen in de toekomst.
Maar alleen technologie is niet genoeg om onze systemen volledig veilig te houden. De menselijke factor speelt een even grote rol. Dit betekent dat security awareness – het bewust zijn van mogelijke dreigingen en weten hoe je daarop moet reageren – net zo belangrijk is. We moeten ons allemaal bewust zijn van bijvoorbeeld de gevaren van phishing-e-mails, het gebruik van sterke wachtwoorden, en het veilig omgaan met gevoelige informatie.
Security blijft in beweging
Security is geen eenmalige taak, maar een continu proces. We blijven ons voortdurend ontwikkelen en aanpassen aan nieuwe dreigingen en technologische vooruitgang. Dit betekent dat we niet alleen investeren in tools zoals Sophos, maar ook in opleiding en bewustwording van onze medewerkers. Door continu te blijven leren en verbeteren, zorgen we ervoor dat we altijd een stap voor blijven op mogelijke bedreigingen. Zo houden we onze systemen en gegevens optimaal beschermd, nu en in de toekomst.
