CorporatieGids Magazine

MAART 2024 I 19 18 I CORPORATIEGIDS MAGAZINE wij als organisatie kunnen handelen en de gevolgen kunnen beperken. Er moet geen schaamte zijn omdat iemand heeft geklikt op een foute link, het kan immers iedereen gebeuren. Daarom werken we dit jaar aan de afronding van ons calamiteiten- en communicatieplan en de training van onze medewerkers.” Vergeten slot Richard licht de focus op de ‘zachte’ kant van informatie- beveiliging verder toe: “We kunnen als Woonservice Drenthe wel heel veel sloten op een deur doen en alarminstallaties installeren, als een medewerker vergeet de deur af te sluiten is een inbraak alsnog heel eenvoudig. Dat geldt ook voor informatiebeveiliging. We kunnen daarnaast alle deuren dichttimmeren, maar collega’s moeten ook hun werk kunnen blijven doen. Dat vraagt dat iedereen bewust is van wat ze doen. Dus niet inloggen in een restaurant via een openbaar netwerk, geen willekeurige USB-stick in de laptop stoppen, geen wachtwoorden laten slingeren en de computer afsluiten als ze weglopen. Dat is één van de grootste uitdagingen, want een foutje zit in een klein hoekje en kan enorme gevolgen hebben.” Calamiteitenplan Woonservice Drenthe legt momenteel de laatste hand aan haar calamiteitenplan, vertelt Richard: “Onderdeel daarvan was checken of dit plan voldoet aan wat we willen bereiken. We wisten vooraf dat er nog een aantal zaken ontbraken, maar door het doen van oefeningen kunnen we de plannen verder inrichten. We maken daarbij gebruik van de Cyber Resilience Games van Audittrail. Deze helpen inzicht te geven in waar je staat op de ladder van informatieveiligheid en cyber- weerbaarheid. Omdat wij al een plan hadden, konden we met de tabletop training beginnen en met de resultaten zijn we vervolgens aan de slag gegaan.” EHBO-koffer Enkele voorbeelden van geleerde lessen die snel te imple- menteren waren, zijn een WhatsApp-groep voor collega’s en een standaard agenda voor het geval dat je gehackt wordt. Richard: “We weten als organisatie nu beter wat we moeten doen in het geval van een cyberaanval. Het is onze taak de plannen fysiek én digitaal op orde te brengen en te houden. Een EHBO-koffer is daar onderdeel van. Daarin staan een aantal belangrijke gegevens die we nodig hebben als systemen het niet meer doen, zoals de adressen van onze panden en telefoonnummers van medewerkers. Deze koffer wordt uiteraard offline – en niet online - bewaard. Daarnaast willen we processen beter in kaart brengen en ons voorbereiden op eventuele uitval van systemen, zodat tijdens een crisis de werkzaamheden binnen de kritieke processen zoveel mogelijk doorgang kunnen vinden.” Crisisteam De stappen rondom cyberweerbaarheid hebben ook geleid tot de oprichting van een crisisteam. “Dit team neemt beslissingen en zorgt voor interne- en externe informatie- verstrekking. Het crisisteam wordt ondersteund door een ondersteuningsteam en moet ervoor zorgen dat in het geval van een aanval de schade zoveel mogelijk wordt beperkt en dat processen zo snel mogelijk weer kunnen worden opgestart.” Wees voorbereid Op de vraag welke tips Woonservice Drenthe collegacorporaties zou willen meegeven, zegt Richard: “Het belangrijkste is dat je je voorbereidt. Maak een plan en oefen deze regelmatig. Een aantal zaken kun je voorbereiden en dat scheelt tijd op het moment dat het zo ver is. Daarnaast is het belangrijk om met IT-leveranciers afspraken te maken over hoe zij systemen beveiligen. Dit moet je ook regelmatig testen. Daarnaast kun je essentiële werkdata op verschillende plekken zetten, zodat je niet bij een hack direct alles kwijt bent. Zorg er als laatste voor dat collega’s bewust worden gemaakt van de risico’s en dat ze het melden als er iets misgaat. Want het ergste is dat een collega denkt ‘ik zeg niets, want dan valt het misschien niet op’.” Plannen actueel houden Continue aandacht blijft voor de corporatie de komende jaren het devies, sluit Richard af: “We zullen periodiek een oefening inplannen om de plannen actueel te houden. Daarnaast hebben we een jaarplanning met onze collega’s om de awareness op peil te houden. Ook zullen we dit jaar één of meerdere phishingmails sturen om te kijken hoe én of er wordt gereageerd. Periodiek hebben we met onze leverancier afspraken om te bespreken wat zij doen om de systemen bereikbaar en veilig te houden. Het grootste gevaar blijft echter de mens. We zullen ons moeten blijven informeren hoe we ons zo goed mogelijk kunnen blijven beveiligen.” Foto’s: Agnes Bos