De stappen naar een cyberveilige organisatie - het Korzo-Traject

Cybersecurity staat bij veel cultuurinstellingen nog niet boven aan de prioriteitenlijst. Tegelijkertijd worden organisaties in de cultuursector steeds afhankelijker van digitale systemen: van kaartverkoop tot CRM, van financiële administratie tot productieplanning. Het Haagse podium en makershuis Korzo besloot in 2021 het roer om te gooien en structureel te investeren in cyberveiligheid. Wat begon als een praktische noodzaak tijdens corona, groeide uit tot een organisatiebrede verandering. Hoe ontstond die keuze, hoe zag het traject eruit en wat kunnen andere organisaties hiervan leren?

10 minuten10 feb `26

Van thuiswerken naar een stabiele digitale infrastructuur 

Toen Benno Vogt in 2021 begon bij het Haagse podium en makershuis Korzo, veranderde de manier van werken net ingrijpend. Door corona moest iedereen ineens thuiswerken. Dat legde meteen een zwakke plek bloot in de IT-voorzieningen van de organisatie. ‘Tijdens de coronaperiode veranderde de werksituatie drastisch: voorheen werkte iedereen op vaste computers op kantoor, maar nu moest iedereen plotseling thuiswerken. Het bleek al snel dat daar de techniek niet op was ingericht: medewerkers moesten op hun eigen laptops werken en de VPN-verbinding liet ons continu in de steek.’ 

Vogt kreeg naast zijn financiële taken ook IT in zijn portefeuille. Al snel werd duidelijk dat thuiswerken niet tijdelijk was. Daarom besloot Korzo hulp van buitenaf in te schakelen. Een externe partij bracht orde aan in de IT-infrastructuur en de mappenstructuur. 

Cyberveiligheid vraagt ook om beleid en duidelijke afspraken 

Toen de technische basis op orde was, keek Korzo verder dan alleen systemen. Het podiumhuis ging ook aan de slag met beleid en afspraken. Dat was nodig, vertelt Vogt: ‘Subsidieverstrekkers stellen, door middel van accountantscontroles, steeds strengere eisen aan organisaties, onder meer op het gebied van veiligheid. Daaraan moeten ook wij als relatief kleine culturele organisatie, waarvoor dit niet de core business is, voldoen.’ 

Ook daarvoor riep Korzo externe hulp in. In enkele workshopdagen brachten ze alle te doorlopen processen in kaart. Daarbij keken ze ook naar de risico’s, zoals brand, inbraak en het niet correct afsluiten van het pand. ‘We checkten bijvoorbeeld wie allemaal toegang heeft tot welke ruimtes. Daarop besloten we over te gaan op elektronische sleutels.’ 

Daarnaast maakte Korzo een compleet overzicht van alle digitale tools die nodig zijn om het werk te kunnen doen, zoals systemen voor facturatie, het reserveren van ruimtes, online betalingen en het plannen van personeel. Deze tools worden getoetst aan strenge normen. Korzo controleert dit regelmatig. Dat geldt ook voor alle fysieke leveranciers waarmee het theater samenwerkt. 

Het resultaat is een levend overzicht. Daarin staat wat al goed geregeld is en welke acties nog nodig zijn. Dat is belangrijk, want het certificaat dat Korzo inmiddels heeft behaald, is twee jaar geldig. Daarom vindt er periodiek een externe audit plaats.  

Benno Vogt - Korzo

‘Subsidieverstrekkers stellen, door middel van accountantscontroles, steeds strengere eisen aan organisaties, onder meer op het gebied van veiligheid. Daaraan moeten ook wij als relatief kleine culturele organisatie, waarvoor dit niet de core business is, voldoen.’ 

Benno Vogt - Korzo

Cyberveilig werken begint bij medewerkers 

Cyberveiligheid gaat niet alleen om techniek, maar vooral om mensen. ‘Van toegangsrechten voor bestanden tot procedures opstellen voor wanneer iemand uit dienst gaat: je kunt het zo gek niet bedenken. Om al ons personeel hierin mee te nemen, hebben we een handboek opgesteld voor startende medewerkers. Daarnaast moet iedereen die bij ons begint een cyberawareness-training volgen, zodat meteen duidelijk is hoe serieus we dit nemen. Om iedereen scherp te houden, laten we dit onderwerp terugkomen tijdens een maandelijks koffierondje met het hele team. Ook moet iedereen periodieke trainingen blijven volgen. Verder heeft iedereen handige tools tot zijn beschikking, zoals een wachtwoordmanager. Daar maak ik handige filmpjes bij om iedereen bij de hand te nemen.’ 
 

Collega’s meenemen in verandering met het ADKAR-model 

Cyberveilig worden valt of staat met de betrokkenheid van medewerkers. Daarvoor kun je het ADKAR-model (Awareness, Desire, Knowledge, Ability, Reinforcement) gebruiken. Dat model kent de volgende stappen: 

  • Awareness: uitleggen waarom cyberveiligheid belangrijk is. 
  • Desire: medewerkers betrekken bij de benodigde verbeteringen en ze laten zien dat maatregelen hen beschermen. 
  • Knowledge: trainingen organiseren over phishing, wachtwoordbeheer en veilig werken. 
  • Ability: tools gebruiksvriendelijk maken zodat veilig werken ook makkelijk is. 
  • Reinforcement: herhaling van trainingen, periodieke checks en laagdrempelig overleg over wat goed gaat en beter kan. 

Een hack van de creditcard

Dat aandacht voor cyberveiligheid blijvend nodig is, blijkt uit kleine incidenten. Zo werd de Korzo-creditcard recent gehackt en circuleerden er phishingmails. ‘Het is belangrijk op zo’n moment open tegen elkaar te zijn over wat er is misgegaan: we kunnen zulke zaken nu eenmaal niet helemaal voorkomen. Het is zelfs mij gebeurd: toen ik hier net werkte, kreeg ik ook zo’n vervalste mail van de directeur met het verzoek om duizenden euro’s over te maken.’  

Het Korzo-traject in de praktijk

Het traject van Korzo om te komen tot een cyberveilige organisatie bestond uit meerdere fasen: 

  1. Inventarisatie en risicoanalyse. Alle systemen, datastromen en gebruikersrechten werden in kaart gebracht. Hierdoor werd inzichtelijk waar kwetsbaarheden zaten. 
  2. Prioriteiten bepalen. Niet alles hoeft tegelijk. De externe partij hielp Korzo bepalen welke risico’s het meest urgent waren en waar maatregelen het meeste effect hadden.  
  3. Technische maatregelen. Korzo pakte onder andere het wachtwoordbeheer, authenticatie, back-ups, netwerkbeveiliging en rechtenstructuren aan.  
  4. Beleidsontwikkeling. Korzo stelde protocollen op voor databeheer, incidentresponse (afhandeling van incidenten) en toegang tot systemen.
  5. Bewustwording. Omdat veel incidenten ontstaan door menselijk gedrag, kreeg ook bewustwording veel aandacht.     

Cyberveiligheid op maat van een kleine organisatie 

Korzo is een relatief kleine organisatie. Dat maakt het makkelijker om overzicht te houden en snel te schakelen als er iets misgaat. Toch staan er altijd nog zaken op de wensenlijst. ‘We willen bijvoorbeeld af van één wachtwoord voor het hele wifi-netwerk. Aan de andere kant moeten we hier ook niet onze dagen mee vullen. We zijn een theaterbedrijf en geen IT-bedrijf: we hebben nog meer te doen. Als we mensen te veel belasten met dit soort vragen, hebben ze er geen ruimte voor.’   Wat andere culturele organisaties hiervan kunnen leren

Veranderingen roepen soms weerstand op. ‘Mensen zijn gewoontedieren: ze willen liever dat alles bij het oude blijft in plaats van over te stappen op een nieuwe werkwijze of tool. Daarom test ik iets altijd grondig voordat we veranderingen aanbrengen. Doordat we zorgvuldig te werk blijven gaan, hebben we inmiddels iedereen mee.’   

Vogt raadt andere cultuurorganisaties aan om een vergelijkbaar traject te volgen. ‘Het levert zoveel nieuwe inzichten op. Het zorgt ook voor saamhorigheid: we gaan er serieus mee om, maar proberen het ook luchtig te houden.’ 

Zo begin je zelf met cyberveiligheid

  1. Wacht niet op een incident

    Voorkomen is goedkoper en minder schadelijk dan genezen.

  2. Begin klein

    Een basischeck geeft al veel inzicht.

  3. Werk gefaseerd

    Niet alles hoeft in één keer.

  4. Betrek medewerkers vanaf het begin

    Bewustwording voorkomt onprettige incidenten en zorgt voor een gevoel van gedeelde verantwoordelijkheid.

  5. Zoek een externe partner die past bij jouw vraagstuk

    Niet elke IT-partij begrijpt de culturele sector.

  6. Regel financiering

    Onderzoek – bij voorkeur in een vroeg stadium – de mogelijkheid om een deel van het project extern te laten financieren. Onder meer WerktuigPPO en het Sociaal Fonds Podiumkunsten hebben specifieke subsidies voor professionalisering.

Ga in gesprek over cybersecurity!

Wil je meer weten over cybersecurity? Ga in gesprek met collega's uit de sector tijdens de DEN Community meet-up op 19 maart. Deze inspirerende netwerkmiddag brengt cultuurprofessionals samen om ervaringen en praktijkvoorbeelden rond cyberweerbaarheid te delen. Meld je aan en laat je inspireren.

Dit artikel is geschreven door Anne Louïse van den Dool (Opent een externe link) in opdracht van DEN. 

Het Korzo-traject in de praktijk

Leer van Korzo. Zo werden zij stap voor stap een cyberveilige organisatie. Lees het volledig antwoord onderaan het artikel. 

  • Inventarisatie en risicoanalyse
  • Prioriteiten bepalen
  • Technische maatregelen
  • Beleidsontwikkeling
  • Bewustwording

Meer artikelen per onderwerp

Ontdek de laatste digitale trends in de cultuursector

Ontvang onze nieuwsbrief met tips, kennis en inspiratie over digitale transformatie in cultuur.

RequiredField
RequiredField