Checklist digitale veiligheid voor culturele organisaties

Zorg dat het duidelijk is wie eindverantwoordelijkheid is voor de digitale veiligheid van de organisatie en zorg dat het onderwerp periodiek door het management wordt besproken.

Digitale veiligheid is een dynamisch onderwerp dat integraal onderdeel moet zijn van het bestaande risicomanagement in culturele organisaties. De risico’s moeten continu worden afgewogen en indien nodig worden weggenomen. Meer uitleg over integrale veiligheid, vind je bij de Rijksdienst voor Cultureel Erfgoed.

Neem alle processen door waarbij digitale toepassingen worden gebruikt en inventariseer welke processen belangrijk zijn voor de business continuïteit en waar de digitale risico’s zitten. Breng in kaart wat er gebeurt als iets misgaat en wat de gevolgen dan kunnen zijn. Denk daarbij aan alle mogelijke processen, zoals bijvoorbeeld de betalingen die de afdeling financiën doet. Kijk ook goed naar de situaties waar je als organisatie samenwerkt met andere partijen, de zogenaamde ketenafhankelijkheden.

Zorg voor goede, ‘sterke’ wachtwoorden. Kijk voor tips voor een sterk wachtwoord op de website van digital trust center, van de overheid. Ga goed na welke medewerker bij welke bestanden kan en maak vitale onderdelen alleen toegankelijk voor de personen die er echt bij moeten kunnen.

Voeg met multifactorauthenticatie (MFA) een extra inlogvereiste toe aan het inloggen. Dit heet ook wel inloggen in twee stappen of tweestapsverificatie.

Software-updates bevatten vaak zowel verbeteringen voor de gebruiker als beveiligingsupdates. Voer je een update niet of later uit, dan kan de beveiliging kwetsbaar worden.

Wacht daarom niet met het updaten van apparaten die met het internet verbonden zijn. Zet bij voorkeur ‘automatisch updaten’ aan. Denk hierbij niet alleen aan computers of smartphones, maar ook aan printers, een slimme deurbel, website, server en router.

Stimuleer voorzichtig gedrag. Zorg dat medewerkers alert blijven, bijvoorbeeld door het onderwerp regelmatig te bespreken en trainingen te geven over een onderwerp als het herkennen van phishing.

Werk je in de cloud? Let dan op, dit betekent niet dat er automatisch een back-up van je gegevens wordt gemaakt en vaak wordt ook de cloud meegenomen bij een ransomware aanval. Zorg er ook voor dat accounts van oud-medewerkers tijdig worden afgesloten. Meer informatie over cyberbewustwording vind je o.a. bij het digital trust center van de overheid.

Installeer een antivirusprogramma en zorg dat deze software up-to-date blijft. Doe dit op alle computers, telefoons en servers binnen het bedrijf. Soms kun je ook zelf een antivirusproduct kiezen. Maak regulier een back-up van belangrijke bestanden.

Een reservekopie kan een laatste redmiddel zijn als een cyber crimineel het gemunt heeft op jouw bedrijf. Zorg daarom voor één of meerdere kopieën van je belangrijkste digitale gegevens. Kopieer de bestanden naar een externe harde schijf, koppel deze vervolgens los en berg deze op een veilige plaats op.

Door een cyberaanval is het mogelijk dat je geen toegang meer hebt tot informatiesystemen. Zorg er daarom voor dat de contactgegevens van de belangrijkste partijen geprint klaarligt. Bekijk een voorbeeld van zo'n bellijst. Heb je belangrijke klanten en (keten)partners? Zorg dat er altijd een crisisplan is en actualiseer deze regelmatig.