Iedereen weet dat je vertrouwelijk met informatie moet omgaan en dat je niet op phishingmails moet ingaan. Maar in de waan van de dag zijn er tal van momenten waarop je mogelijk niet alert genoeg bent. Denk alleen al even aan het moment dat je voor een kop koffie bij je laptop wegloopt. Wees eerlijk, sluit je dan altijd netjes je beeldscherm?

Elke inlogcode of wachtwoord onthouden is tegenwoordig ook een hele klus. Trek maar eens een bureaula open of kijk onder de bureaulegger. Je vindt er vaak een geeltje met een wachtwoord erop. En de phishingmails zijn tegenwoordig van dermate kwaliteit dat ze bijna niet van echt te onderscheiden zijn. In een moment van onachtzaamheid klik je misschien toch net even die link aan, met alle gevolgen van dien.  

Managementsysteem voor informatiebeveiliging 

En dat is maar één aspect van informatiebeveiliging. Het belang voor zowel onze klanten als voor onze eigen organisatie is groot. We zijn in 2021 een traject gestart om het niveau van informatiebeveiliging voor de Jong & Laan naar een hoger niveau te tillen. Er is een managementsysteem voor informatiebeveiliging opgezet.

Een onderdeel daarvan is het de collega's bewust maken van de risico's ten aanzien van informatiebeveiliging en welke invloed dit heeft op hun dagelijkse manier van werken. Veel momenten weten of herkennen ze misschien, maar door ze daar op een herkenbare manier op te wijzen, houden we iedereen alert.

Dit doen we door onder andere verplichte awarenesstrainingen, een informatiebeveiligingsbeleid met concrete richtlijnen en procedures en het regelmatig verstrekken van informatie. Zo streven we naar constante aandacht voor en verbetering van ons informatiebeveiligingssyteem met uiteindelijk een ISO 27001 certificering als doel. Niet ons hoofddoel, dat blijft integer werken voor onze klanten, maar het zal wel een mooie beloning zijn voor alle inspanningen en aantonen dat we ook op dit gebied goed bezig zijn.  

Hoe kan je het onderwerp informatiebeveiliging beter onder de aandacht brengen, dan door het collega’s zelf te laten ervaren? Aan mij de taak om de phishingmail voorafgaand aan de training in te richten. We kozen voor een email van PostNL die ging over een pakketbezorging met thuiswerkmateriaal. Heel actueel, want de collega’s hadden net de mogelijkheid gekregen om thuiswerkmateriaal aan te schaffen.  

Het was nog best een werk om zo’n phishingmail te maken. Wil je dat onze mensen erin trappen, dan moet het er wel echt uitzien. Een leuke klus. We verstuurden de email organisatiebreed en in het eerste uur ontvingen we direct al 47 topdeskmeldingen en tientallen telefoontjes. Via Outlook rapporteerden 133 collega’s de mail bij Microsoft. Mooi dat onze collega’s zo alert waren en melding maakten. 

Helaas waren er toch ook collega’s die erin trapten. Er werd 47 keer op de link geklikt en 21 keer werden er gegevens ingevuld. Deze groep ontving direct een mail met als boodschap dat het de hoogste tijd was voor de e-learning Informatiebeveiliging. De groep die niet inging op de phisingmail ontving een week later een mail met de boodschap dat ze goed hadden gehandeld, maar werden ook uitgenodigd om de e e-learning te volgen. Tenslotte zit een fout in een klein hoekje. 

Voor het opleiden van collega’s op het gebied van security, keek ik in 2021 mee bij de inventarisatie voor een nieuw cursuspakket. Daarnaast zat ik in het projectteam dat de overstap naar Microsoft 365 Defender begeleidde. Een systeem waarmee we meer inzicht kregen met betrekking tot de beveiliging van onze werkplekken, mails en gebruikersinlogs. Zodra er iets afwijkends gebeurt, krijgen wij een signaaltje. Denk aan:

• Tegelijkertijd weggooien van een groot aantal bestanden.
• Veelvuldig verkeerd inloggen.
• Een aanzienlijke hoeveelheid phishingrapportages.

Dit geeft ons inzichten en helpt ons op tijd te reageren op vreemde zaken.