Checklist digitale veiligheid voor culturele organisaties

Zorg dat het duidelijk is welke persoon eindverantwoordelijkheid is voor de digitale veiligheid van de organisatie en zorg dat het onderwerp periodiek in de hoogste management laag wordt besproken.

In veel organisaties is het niet helder wie over het onderwerp gaat en zijn verschillende afdelingen ermee bezig. De afdeling ict voor de hard- en software, de afdeling financiën voor de digitale betalingen, de afdeling marketing voor de online ticketing en de afdeling collecties voor de gedigitaliseerde collectie. Allemaal hebben ze op hun eigen manier met digitale veiligheid te maken, maar niemand is eindverantwoordelijk. Het gevolg daarvan is dat het een onderwerp is dat niet regulier wordt besproken in het management.

Digitale veiligheid is een dynamisch onderwerp dat integraal onderdeel moet zijn van het bestaande risicomanagement in culturele organisaties. De risico’s moeten continu worden afgewogen en indien nodig worden weggenomen. In de digitale wereld gaan de ontwikkelingen razendsnel en wat gisteren nog voldoende veiligheid bood is vandaag achterhaald.

Neem alle processen door waarbij digitale toepassingen worden gebruikt en inventariseer welke processen belangrijk zijn voor de business continuïteit. Breng in kaart wat er gebeurt als iets misgaat en wat de gevolgen dan kunnen zijn. Op basis van deze inventarisatie maak je inzichtelijk wat de belangrijkste processen zijn, de ketenafhankelijkheden, en waar de risico’s zitten. Denk daarbij aan alle mogelijke processen, zoals de betalingen die de afdeling financiën doet, freelancers die op het netwerk kunnen werken en de afdeling collecties die digitale bestanden ter beschikking van derden stelt. Kijk ook goed naar de situaties waar je als organisatie samenwerkt met andere partijen zoals bij ticketing of recruitment, de zogenaamde ketenafhankelijkheden.

Zorg voor goede, ‘sterke’ wachtwoorden. Het lijkt zo simpel, maar deze basis-hygiëne gaat in de praktijk nog veel te vaak mis. Ga goed na welke medewerker bij welke bestanden kan en maak vitale onderdelen alleen toegankelijk voor de personen die er echt bij moeten kunnen.

Voeg met multifactorauthenticatie (MFA) een extra inlogvereiste toe aan het inloggen. Dit heet ook wel inloggen in twee stappen of tweestapsverificatie. Hiermee voorkom je misbruik van een account. Stel MFA op zoveel mogelijk plekken in, in ieder geval bij zakelijke e-mailaccounts en de belangrijke applicaties of systemen van de organisatie.

Software-updates bevatten vaak zowel verbeteringen voor de gebruiker als beveiligingsupdates. Voer je een update niet of later uit, dan kan de beveiliging kwetsbaar worden. Zo kan er bijvoorbeeld een beveiligingslek ontstaan. Kwaadwillenden zoeken actief naar manieren om binnen te dringen via zo'n lek.

Wacht daarom niet met het updaten van apparaten die met het internet verbonden zijn. Zet bij voorkeur ‘automatisch updaten’ aan. Denk hierbij niet alleen aan computers of smartphones, maar ook aan printers, een slimme deurbel, website, server en router.

Vergroot het bewustzijn van medewerkers over potentiële risico’s om voorzichtig gedrag te stimuleren. Zorg dat medewerkers alert blijven, bijvoorbeeld door het onderwerp regelmatig te bespreken en trainingen te geven over een onderwerp als het herkennen van phishing.

Zorg er ook voor dat accounts van oud-medewerkers tijdig worden afgesloten. Zo voorkom je dat een cyber crimineel via de achterdeur ongehinderd binnenkomt. Een antivirusprogramma of antivirussoftware die beschermt tegen internetvirussen en ‘malware’ is op veel apparaten inmiddels standaard aanwezig. Soms kun je ook zelf een antivirusproduct kiezen. Installeer een antivirusprogramma en zorg dat deze software up-to-date blijft. Doe dit op alle computers, telefoons en servers binnen het bedrijf. Zo loop je minder risico op schade door virussen en andere malware.

Installeer een antivirusprogramma en zorg dat deze software up-to-date blijft. Doe dit op alle computers, telefoons en servers binnen het bedrijf. Soms kun je ook zelf een antivirusproduct kiezen. Maak regulier een back-up van belangrijke bestanden.

Een reservekopie kan een laatste redmiddel zijn als een cyber crimineel het gemunt heeft op jouw bedrijf. Zorg daarom voor één of meerdere kopieën van je belangrijkste digitale gegevens. Kopieer de bestanden naar een externe harde schijf, koppel deze vervolgens los en berg deze op een veilige plaats op.

Door een cyberaanval is het mogelijk dat je geen toegang meer hebt tot informatiesystemen. Zorg er daarom voor dat de contactgegevens van de belangrijkste partijen uitgeprint klaarligt. Dat gaat van de interne collega’s tot externe partijen zoals je IT-dienstverlener. Bekijk een voorbeeld van zo'n bellijst. Heb je belangrijke klanten en (keten)partners? Zorg er dan ook voor dat jouw IT-dienstverlener bij hen geregistreerd staat als contactpersoon. Zorg dat er altijd een crisisplan is en actualiseer deze regelmatig.