Richard Hemme (Woonservice Drenthe): Cyberweerbaar zijn vraagt om continue aandacht van de hele organisatie

Geplaatst door CorporatieMedia op
 

De afgelopen jaren is cybercriminaliteit steeds geavanceerder geworden. De corporatiesector staat dan ook voor grote uitdagingen als het gaat om informatiebeveiliging. Hoe kun je als organisatie proactief inspelen op het gevaar? Hoe kun je ervoor zorgen dat de bedrijfscontinuïteit zoveel mogelijk gewaarborgd is in geval van een cyberincident? Wat is daarbij het belang van continue aandacht voor de ‘zachte’ kant van informatiebeveiliging en hoe houd je dit thema warm? CorporatieGids.nl sprak erover met Richard Hemme, Manager Bedrijfsvoering bij Woonservice Drenthe: “Je kunt heel veel sloten op een deur zetten, maar als je deze vergeet af te sluiten is een inbraak alsnog heel eenvoudig.”

Cybercriminaliteit is iets wat je volgens Richard steeds vaker terugziet, ook in de corporatiesector: “De afgelopen jaren zijn verschillende collegacorporaties gehackt, met alle gevolgen van dien. Voor ons als organisatie is de grote uitdaging zorgen dat onze kroonjuwelen – onze data – beveiligd zijn, collega’s bewust zijn en dat wij in het geval van een hack snel kunnen herstellen. De laatste jaren is informatisering een steeds belangrijker item geworden. Tegelijkertijd worden criminelen slimmer en zijn de manieren waarop ze binnenkomen steeds innovatiever. Neem bijvoorbeeld een phishingmail die je een aantal jaar geleden makkelijk kon herkennen aan spelfouten en nu niet meer van een echte mail te onderscheiden is. Continue aandacht is dus essentieel.”

Awareness verbeteren
Een belangrijk onderdeel van cyberweerbaar zijn is het verbeteren van de awareness van collega’s. “Dat houdt niet alleen in dat ze bewust zijn van de gevaren en daarop acteren, maar ook dat ze gevaar of een eventuele klik op een phishingmail melden. Want hoe sneller iets gemeld wordt, hoe sneller wij als organisatie kunnen handelen en de gevolgen kunnen beperken. Er moet geen schaamte zijn omdat iemand heeft geklikt op een foute link, het kan immers iedereen gebeuren. Daarom werken we dit jaar aan de afronding van ons calamiteiten- en communicatieplan en de training van onze medewerkers.”

Vergeten slot
Richard licht de focus op de ‘zachte’ kant van informatiebeveiliging verder toe: “We kunnen als Woonservice Drenthe wel heel veel sloten op een deur doen en alarminstallaties installeren, als een medewerker vergeet de deur af te sluiten is een inbraak alsnog heel eenvoudig. Dat geldt ook voor informatiebeveiliging. We kunnen daarnaast alle deuren dichttimmeren, maar collega’s moeten ook hun werk kunnen blijven doen. Dat vraagt dat iedereen bewust is van wat ze doen. Dus niet inloggen in een restaurant via een openbaar netwerk, geen willekeurige USB-stick in de laptop stoppen, geen wachtwoorden laten slingeren en de computer afsluiten als ze weglopen. Dat is één van de grootste uitdagingen, want een foutje zit in een klein hoekje en kan enorme gevolgen hebben.”

Calamiteitenplan
Woonservice Drenthe legt momenteel de laatste hand aan haar calamiteitenplan, vertelt Richard: “Onderdeel daarvan was checken of dit plan voldoet aan wat we willen bereiken. We wisten vooraf dat er nog een aantal zaken ontbraken, maar door het doen van oefeningen kunnen we de plannen verder inrichten. We maken daarbij gebruik van de Cyber Resilience Games van Audittrail. Deze helpen inzicht te geven in waar je staat op de ladder van informatieveiligheid en cyberweerbaarheid. Omdat wij al een plan hadden, konden we met de tabletop training beginnen en met de resultaten zijn we vervolgens aan de slag gegaan.”

EHBO-koffer
Enkele voorbeelden van geleerde lessen die snel te implementeren waren, zijn een WhatsApp-groep voor collega’s en een standaard agenda voor het geval dat je gehackt wordt. Richard: “We weten als organisatie nu beter wat we moeten doen in het geval van een cyberaanval. Het is onze taak de plannen fysiek én digitaal op orde te brengen en te houden. Een EHBO-koffer is daar onderdeel van. Daarin staan een aantal belangrijke gegevens die we nodig hebben als systemen het niet meer doen, zoals de adressen van onze panden en telefoonnummers van medewerkers. Deze koffer wordt uiteraard offline – en niet online - bewaard. Daarnaast willen we processen beter in kaart brengen en ons voorbereiden op eventuele uitval van systemen, zodat tijdens een crisis de werkzaamheden binnen de kritieke processen zoveel mogelijk doorgang kunnen vinden.”

Crisisteam
De stappen rondom cyberweerbaarheid hebben ook geleid tot de oprichting van een crisisteam. “Dit team neemt beslissingen en zorgt voor interne- en externe informatieverstrekking. Het crisisteam wordt ondersteund door een ondersteuningsteam en moet ervoor zorgen dat in het geval van een aanval de schade zoveel mogelijk wordt beperkt en dat processen zo snel mogelijk weer kunnen worden opgestart.”

Wees voorbereid
Op de vraag welke tips Woonservice Drenthe collegacorporaties zou willen meegeven, zegt Richard: “Het belangrijkste is dat je je voorbereidt. Maak een plan en oefen deze regelmatig. Een aantal zaken kun je voorbereiden en dat scheelt tijd op het moment dat het zo ver is. Daarnaast is het belangrijk om met IT-leveranciers afspraken te maken over hoe zij systemen beveiligen. Dit moet je ook regelmatig testen. Daarnaast kun je essentiële werkdata op verschillende plekken zetten, zodat je niet bij een hack direct alles kwijt bent. Zorg er als laatste voor dat collega’s bewust worden gemaakt van de risico’s en dat ze het melden als er iets misgaat. Want het ergste is dat een collega denkt ‘ik zeg niets, want dan valt het misschien niet op’.”

Plannen actueel houden
Continue aandacht blijft voor de corporatie de komende jaren het devies, sluit Richard af: “We zullen periodiek een oefening inplannen om de plannen actueel te houden. Daarnaast hebben we een jaarplanning met onze collega’s om de awareness op peil te houden. Ook zullen we dit jaar één of meerdere phishingmails sturen om te kijken hoe én of er wordt gereageerd. Periodiek hebben we met onze leverancier afspraken om te bespreken wat zij doen om de systemen bereikbaar en veilig te houden. Het grootste gevaar blijft echter de mens. We zullen ons moeten blijven informeren hoe we ons zo goed mogelijk kunnen blijven beveiligen.”

Bron: CorporatieGids Magazine, Foto: Agnes Bos