Studio CorpoNet in actie

KennisBite #19 | 19 januari 2021
Pentesten, BIC en ISO27001/2
Sprekers: Jan Stevens (Woonwaarts) en Marc Koek (HackDefense)

Met een heuse leader, gevolgd door een welkomstwoord van de nog ietwat zenuwachtige Henk Korevaar opende we op 19 januari het KennisBite-seizoen van 2021.
De bite behandelde het onderwerp pentesten. Hiervoor kregen we eerst uitleg van Marc Koek over wat een pentest eigenlijk is. Een penetratietest onderscheid zich vooral van de (goedkopere) variant scan (op kwetsbaarheden) vanwege het mensenwerk. Er wordt dus echt geprobeerd om, zoals een hacker met kwade zin ook zou kunnen doen, van buitenaf in uw systeem te komen. Een zoektocht naar beveiligingslekken met als doel deze op te lossen. De bevindingen worden dan ook gedeeld, in de zogenaamde verbeter-voorstellen. Het is uiteraard aan de organisatie om het voorstel(len) al dan niet op te volgen. Dit is vaak een kosten/baten weging. Hiermee is dus ook gezegd dat een pentest geen formele audit of certificatie is.

Na deze uitleg neemt Jan Stevens het woord en trapt direct af met de vraag of het voor woningcorporaties geen goed idee is om samen zo’n pentest te doen. Jan doelt overigens op een scan, namelijk: Vulnerability & Risk Assessment (VRA). Qua organiseren is het niet zo heel erg ingewikkeld om zo’n samenwerking tot stand te brengen. Verzamel de organisaties die met eenzelfde partner werken (op gebied van website / huurdersportaal en ICT) plan samen zo’n moment en maak afspraken met de uitvoerende partij.
Daarna kun je makkelijk resultaten en de opgedane kennis met elkaar delen. Wij zijn voor!

De BIC gecombineerd met ISO 27001/27002 (de BIC is gebaseerd op deze ISO) is het volgende onderwerp waar Jan aandacht aan besteed. Hij vertelt dat vrij snel na het uitkomen van de BIC (april 2016) Woonwaarts hiermee aan de slag is gegaan. Vorig jaar deed Woonwaarts een assessment BIC – ISO 27001/27002, waar veel overeenkomst tussen beide standaarden vastgesteld kon worden. De rapportage hiervan werd gedeeld met MT/bestuur en RvC en Jan merkte daarbij dat de BIC niet zo bekend was maar wél de ISO 27001/27002. Waardoor er vanuit genoemde organen meer interesse is en de betrokkenheid enorm is toegenomen. En als je het hebt over informatiebeveiliging kan betrokkenheid binnen de organisatie niet groot genoeg zijn.
Jan vraagt zich dan ook af of dit iets is waarover we met elkaar moeten nadenken? In deze zin: een gezamenlijk onderzoek naar BIC en ISO 27001/27002. Woonwaarts heeft dit in ieder geval voor zichzelf als een jaarlijks terugkerend item op de agenda gezet.

Dan snijdt Jan het onderwerp een CMF voor ISMS aan. Oftewel een Control Management Framework voor het Information Security Management System. Want alle rapportages, verplichtingen en wat moet je doen op welk moment omtrent informatiebeveiliging, dienen natuurlijk ook gemanaged te worden (behoefte aan een smiley … smile!). Jan neemt aan dat hij ook hierbij niet de enige zoekende is. We hebben inmiddels in de gaten dat Jan een fervent voorstander van kennis delen is. En laten we wel zijn, dat brengt ons ook verder. Vragen als ‘Wat gebruik jij hiervoor en welke ervaring heb je ermee?’ (noem het een ‘kijkje in de keuken’) helpen ons. Zeker als je over en weer afwegingen en inzichten deelt, kunnen we beter geïnformeerd een besluit nemen. Dus wederom roept hij de deelnemers van deze KennisBite op zich met elkaar in verbinding te stellen en mee te denken over zo’n CMF. Jan noemt tijdens deze bite een paar opties: Audittrail-Mavim, de partij CompLions en MexonInControl. Waarbij aangetekend dat dit overzicht niet volledig is. Jan heeft gewoon een paar bekende partijen genoemd.

Tijd voor de vragen
De eerste vraag is van Marc den Hartog (KleurrijkWonen) hij vraagt of één keer per jaar scannen voldoende is. Jan bevestigt dat, want zo legt hij uit “Als het goed is verandert het niet elke maand of drie maanden schokkend.” Bovendien zorgt het jaarlijks terugkomen van deze test voor herkenbaarheid bij het MT, bestuur en RvC
Leen Spaans (werkzaam bij Woonforte, bestuurslid van CorpoNet en nog altijd nauw betrokken bij de SIG BIC) reageert ook op deze vraag. Hij vertelt dat er bij Woonforte iedere maand een kwetsbaarhedentest wordt uitgevoerd. Iets wat Leen zeker van toegevoegde waarde acht. Twee keer per jaar doen ze bij Woonforte een pentest. Steeds op verschillende gebieden, er wordt hiervoor eerst een doel geformuleerd. Nu bijvoorbeeld met het nieuwe huurdersportaal, een andere keer ligt het mailsysteem onder de loep. Leen herinnert zich het eerste rapport nog goed, daar stonden best wat kritische noten in. Hij legt dat uit zo’n rapport een leermoment is, géén afrekenmoment.
Leen maakt gebruik van de gelegenheid om de samenwerking, zoals door Jan op diverse items voorgesteld, een zeer warm hart toe te dragen. En dat snappen we als grondlegger van het huidige CorpoNet (destijds door o.a. Leen en Henk gestart vanuit NetwIT, met juist het samenwerken en kennis delen als doel).

Uit de vragen blijkt dat we in ieder geval gedurende deze bite de behoefte hebben om met elkaar te zoeken naar antwoorden, bijvoorbeeld op vragen Welke verantwoordelijkheid ligt waar? Is ISAE3402 een bruikbaar (hulp)middel? Mag je verwachten van je leverancier dat ze een ISAE3402 verklaring hebben? Kun je je SAAS leverancier verplichten een jaarlijkse pentest te tonen?
Gedachtes, vragen en kennis delen; soms is de beschikbare tijd hiervoor in de KennisBites te kort. Vanuit CorpoNet willen we benadrukken dat we altijd willen meedenken en zoeken naar manieren om hier invulling aan te geven. Laat het ons vooral weten via info@corponet.nl

Concreet vraagt Jan dit: De nadrukkelijke oproep aan alle corporaties die of Unified als ICT partner hebben of Kubion als partner voor huurdersportaal/website.
Jan Stevens is werkzaam als adviseur ICT bij Woonwaarts in Nijmegen. Je kunt hem bereiken via jan.stevens@woonwaarts.nl