Cybersecurity

1. 2023
Security risico’s:
Wat is jouw next step?

2. Introductie

3. Samenwerking

4. Cyberdreigingen
& risico’s

5. Inhoud
Ransomware nog steeds actueel Aanval via leveranciersketen

6. Security risico’s woningcorporaties
Ransomware
Digitale gijzeling van uw systemen.
Afhankelijkheid leveranciers
Disruptie of verlies van data in de keten.
Rollen security onduidelijk
Het is niet duidelijk wie welke verantwoordelijkheden heeft.
Onveilig gedrag medewerkers
Bewuste of onbewuste interne handelingen.

7. Afhankelijkheden woningcorporaties
AVG / Privacy
Ben jij in control van de persoonsgegevens die je verwerkt?
Beheer van IT diensten
Ben jij in control van je IT beheer (intern / extern)
Beschikbaarheid IT
Afhankelijkheid van werkende IT middelen

8. Classificeer jouw
risico’s en
afhankelijkheden

9. Classificeer jouw
risico’s en
afhankelijkheden

10. Security risico’s mitigeren
Stappenplan
1. Maatregel getroffen ✓ = 0 punten
2. Maatregel niet getroffen ❌ = 1 punt
3. Vul de score in
Ransomware
Implementeer sterke
authenticatie:
Wachtwoord minimaal 14
karakters + MFA.
Zorg voor malware
beveiliging op elk systeem
(endpoint).
Implementeer 24/7
Securitymonitoring en
response van jouw IT
omgeving.
Zorg voor backups in een 3-
2-1 opstelling.
Organiseer jaarlijks een
crisisoefening en plan
verbeteringen.
Onveilig gedrag
medewerkers
Maak contractuele
afspraken met
medewerkers.
Formuleer en communiceer
communiceer regelmatig het
het informatie-
beveiligingsbeleid.
Richt een security incident
incident meldproces in en
evalueer periodiek de werking.
Implementeer een
trainingsprogramma gericht
op veilig gedrag door
medewerkers.
Voer periodiek
phishingtests uit en plan
verbeteringen.
Afhankelijkheid
leveranciers
Zorg voor inzicht in de
verschillende leveranciers in
in jouw leveranciersketen.
Beleg intern de
verantwoordelijkheden en
processen voor
leveranciersmanagement.
Maak contractuele
afspraken omtrent security
met alle leveranciers.
Zorg voor periodieke
rapportages en controles op
naleving van afspraken.
Test periodiek de
effectiviteit van de
getroffen maatregelen.
Rollen
onduidelijk
Leg intern rollen en
verantwoordelijkheden ten
aanzien van security vast.
Formuleer en communiceer
Richt een security incident
incident meldproces in.
Rapporteer structureel,
helder en periodiek aan het
Bestuur over security.
Voer jaarlijks een interne
audit voor security uit.

11. Security risico’s mitigeren
Stappenplan
1. Maatregel getroffen ✓ = 0 punten
2. Maatregel niet getroffen ❌ = 1 punt
3. Vul de score in
AVG / Privacy
Leg intern rollen en
verantwoordelijkheden ten
ten aanzien van privacy vast.
vast.
Maak privacyrisico’s
inzichtelijk en plan
maatregelen.
Evalueer en update
periodiek het
verwerkingsregister.
Implementeer een
datalekproces en evalueer
periodiek de werking.
Communiceer de rechten
van betrokkenen.
Beschikbaarheid
IT
Leg intern rollen en
verantwoordelijkheden ten
ten aanzien van IT vast.
Zorg dat er een business
continuity plan beschikbaar is.
Zorg voor backups in een 3-2-1
3-2-1 opstelling of zorg voor
Implementeer
uitwijkmogelijkheden in
geval van incidenten.
Test periodiek de werking
van business continuity
plannen, en plan
verbeteringen.
Beheer van IT
diensten
Leg intern rollen en
verantwoordelijkheden ten
ten aanzien van IT diensten
diensten vast.
Maak (contractuele)
afspraken ten aanzien van
security.
Rapporteer periodiek de status
status van dienst-verlening en
verlening en incidenten.
Evalueer / controleer periodiek
Voer security testen uit als
evaluatie van een effectieve
en veilige
IT omgeving.

12. Scoor jouw
mitigerende
maatregelen

13. Plan van aanpak
Omvang
dreiging
(H/M/L)
Risico
score
Aanvullingen bij maatregelen
Prioriteit
aanpak
van 1 tot 7
Notities
Security
risico’s
Ransomware H 2
Techniek moet een vangnet zijn voor
laag bewustzijn medewerkers
1
Zorg dat de techniek in het begin
niet een te groot obstakel wordt
voor de gebruiker.
Onveilig gedrag
medewerkers
M 0
Niet met het vingertje wijzen, maak
het onderwerp tastbaar en richt je
op begrip in de bewustzijn. Doel is
dat men meldingen maakt als het
misgaat.
3
Besef dat in het beste geval er nog
steeds in 30% van de gevallen op het
verkeerde linkje gedrukt gaat
worden.
Afhankelijkheid
leveranciers
M 5
Als wij niet met de juiste vragen en
eisen gaan komen, dan gaat er niets
veranderen bij de meeste
leveranciers.
4
Kies je belangrijkste leveranciers
om mee te beginnen.
Rollen
onduidelijk
H 0
Focus op functiescheiding, dit is
ook vanuit de accountant een
belangrijk onderwerp.
2 Makkelijk is vaak niet veilig.
Afhankelijkheden
AVG / Privacy L 2
Privacy officier aanwezig en goede
samenwerking.
3 Security is de prioriteit
Beschikbaarheid
IT
M 1
Focus op quick wins, er gaat tijd
zitten in de implementaties. Minste
inzet meeste resultaat visie.
1
ICT implementaties verlaten zodat
tijd en ruimte is voor maatregelen.
Beheer van IT
diensten
L 0
Het is op orde, maar wel testen dat
het zo blijft. Phising en pen testen
doen.
2
De testen laten uitvoeren en
inkopen, niet zelf moeilijk doen.

14. Wat is jouw next step?