BEWUST BEZIG MET INFORMATIE­BEVEILIGING

Zorgvuldig omgaan met gegevens, zeker als die gegevens van klanten zijn, is een absoluut vereiste voor de Jong & Laan.

Bewust bezig met informatiebeveiliging

Zorgvuldig omgaan met gegevens, zeker als die gegevens van klanten zijn, is een absoluut vereiste voor een betrouwbare accountantsorganisatie als de Jong & Laan. We zijn niet anders gewend en de klant mag het van ons verwachten. Dit past immers onder het fundamentele beginsel van vertrouwelijkheid, zoals die is opgenomen in onze gedrags- en beroepsregels. Informatie moet beschikbaar, integer en vertrouwelijk zijn.

Een datalek of digitale dreiging rondom informatie zit in een klein hoekje. Regelmatig worden bedrijven getroffen door DDoS aanvallen, ransomware en phishing-emails. Daarom staat informatiebeveiliging hoog op onze agenda. Wij vinden het van belang om goed in te zetten op informatiebeveiliging, om onze (digitale) informatie veilig te stellen en risico's te minimaliseren. 

Compliance officer Robert Hutchison, beleidsadviseur opleiding en training Anja Wansink en systeembeheerder Wilko van Faassen vertellen erover.

Robert Hutchison | compliance officer, CISO 

Robert Hutchison compliance officer | de Jong & Laan

Iedereen weet dat je vertrouwelijk met informatie moet omgaan en dat je niet op phishingmails moet ingaan. Maar in de waan van de dag zijn er tal van momenten waarop je mogelijk niet alert genoeg bent. Denk alleen al even aan het moment dat je voor een kop koffie bij je laptop wegloopt. Wees eerlijk, sluit je dan altijd netjes je beeldscherm?

Elke inlogcode of wachtwoord onthouden is tegenwoordig ook een hele klus. Trek maar eens een bureaula open of kijk onder de bureaulegger. Je vindt er vaak een geeltje met een wachtwoord erop. En de phishingmails zijn tegenwoordig van dermate kwaliteit dat ze bijna niet van echt te onderscheiden zijn. In een moment van onachtzaamheid klik je misschien toch net even die link aan, met alle gevolgen van dien.  

Managementsysteem voor informatiebeveiliging 

En dat is maar één aspect van informatiebeveiliging. Het belang voor zowel onze klanten als voor onze eigen organisatie is groot. We zijn in 2021 een traject gestart om het niveau van informatiebeveiliging voor de Jong & Laan naar een hoger niveau te tillen. Er is een managementsysteem voor informatiebeveiliging opgezet.

Een onderdeel daarvan is het de collega's bewust maken van de risico's ten aanzien van informatiebeveiliging en welke invloed dit heeft op hun dagelijkse manier van werken. Veel momenten weten of herkennen ze misschien, maar door ze daar op een herkenbare manier op te wijzen, houden we iedereen alert.

Dit doen we door onder andere verplichte awarenesstrainingen, een informatiebeveiligingsbeleid met concrete richtlijnen en procedures en het regelmatig verstrekken van informatie. Zo streven we naar constante aandacht voor en verbetering van ons informatiebeveiligingssyteem met uiteindelijk een ISO 27001 certificering als doel. Niet ons hoofddoel, dat blijft integer werken voor onze klanten, maar het zal wel een mooie beloning zijn voor alle inspanningen en aantonen dat we ook op dit gebied goed bezig zijn.  

Anja Wansink | beleidsadviseur opleiding en training

Anja Wansink beleidsadviseur opleiding & training | de Jong & Laan

Om de bewustwording ten aanzien van de risico's die samenhangen met informatie te verhogen, zetten we afgelopen jaar een training op. Deze training werd voorafgegaan door een phishingmail die, ook al trapte je er wel of niet in, uiteindelijk linkte naar de verplicht te volgen e-learning Informatiebeveiliging.

De training, met de nodige knipogen om een hoger bewustzijn te realiseren, werd afgesloten met een examen. Alle collega’s volgden de training. Op de achtergrond kregen wij inzicht in de onderwerpen die meer aandacht behoeven. Opvallend was dat er soms verwarring bestond over de definitie van een datalek, maar de afdronk was vooral dat we het met elkaar erg goed deden.  

De kracht van herhaling

Nu zeggen we niet dat wanneer je een dergelijke training hebt gevolgd, je direct alles goed doet. Het zet je wel aan het denken op het moment dat je een handeling verricht. En het geeft inzicht in de maatregelen die je kan treffen om de gevoelige informatie waar we veel mee omgaan, goed te beveiligen en beschermen.

Kracht zit hem daarbij in de herhaling, daarom blijft het niet bij deze ene training. Vanaf nu is de training voor elke nieuwe collega verplicht. Hij of zij krijgt bij indiensttreding automatisch een uitnodiging om deze te volgen. Voor alle collega’s geldt dat zij gedurende het jaar via ons opleidingspakket op losse elementen van informatiebeveiliging geattendeerd worden. Daarmee houden we het onderwerp actueel. 

Wilko van Faassen | systeembeheerder

Wilko van Faassen systeembeheerder | de Jong & Laan

Hoe kan je het onderwerp informatiebeveiliging beter onder de aandacht brengen, dan door het collega’s zelf te laten ervaren? Aan mij de taak om de phishingmail voorafgaand aan de training in te richten. We kozen voor een email van PostNL die ging over een pakketbezorging met thuiswerkmateriaal. Heel actueel, want de collega’s hadden net de mogelijkheid gekregen om thuiswerkmateriaal aan te schaffen.  

Het was nog best een werk om zo’n phishingmail te maken. Wil je dat onze mensen erin trappen, dan moet het er wel echt uitzien. Een leuke klus. We verstuurden de email organisatiebreed en in het eerste uur ontvingen we direct al 47 topdeskmeldingen en tientallen telefoontjes. Via Outlook rapporteerden 133 collega’s de mail bij Microsoft. Mooi dat onze collega’s zo alert waren en melding maakten. 

Helaas waren er toch ook collega’s die erin trapten. Er werd 47 keer op de link geklikt en 21 keer werden er gegevens ingevuld. Deze groep ontving direct een mail met als boodschap dat het de hoogste tijd was voor de e-learning Informatiebeveiliging. De groep die niet inging op de phisingmail ontving een week later een mail met de boodschap dat ze goed hadden gehandeld, maar werden ook uitgenodigd om de e e-learning te volgen. Tenslotte zit een fout in een klein hoekje. 

Voor het opleiden van collega’s op het gebied van security, keek ik in 2021 mee bij de inventarisatie voor een nieuw cursuspakket. Daarnaast zat ik in het projectteam dat de overstap naar Microsoft 365 Defender begeleidde. Een systeem waarmee we meer inzicht kregen met betrekking tot de beveiliging van onze werkplekken, mails en gebruikersinlogs. Zodra er iets afwijkends gebeurt, krijgen wij een signaaltje. Denk aan:

  • Tegelijkertijd weggooien van een groot aantal bestanden.
  • Veelvuldig verkeerd inloggen.
  • Een aanzienlijke hoeveelheid phishingrapportages.

Dit geeft ons inzichten en helpt ons op tijd te reageren op vreemde zaken.