Cyberincidenten zijn steeds vaker in het nieuws. Denk maar aan DDoS-aanvallen, ransomware en phishingmails. De gevolgen kunnen groot zijn. Zoals het verlies van data, reputatieschade en privacyschendingen. Het belang van een goed informatiebeveiligingsbeleid wordt steeds groter.
Kinderopvangorganisaties werken steeds meer samen met hun omgeving. En worden daarmee ook meer afhankelijk van informatieverwerking en -deling. Technologische ontwikkelingen bieden kansen, maar ook bedreigingen voor de kwaliteit van informatie. Belangrijke aspecten daarvan zijn beschikbaarheid, integriteit en vertrouwelijkheid. Een solide (geïmplementeerd) informatiebeveiligingsbeleid is essentieel om deze aspecten te waarborgen.
Veel kinderopvangorganisaties worstelen met het opstellen en implementeren van een informatiebeveiligingsbeleid. Een belangrijke factor hierin is het ontbreken van een (verplicht) normenkader. In dit artikel lichten we daarom twee normenkaders uit. Deze worden toegepast in sectoren omliggend aan de kinderopvangbranche.
Wij lichten een aantal belangrijke onderwerpen uit die handvaten bieden om als kinderopvangorganisatie vandaag al aan de slag te gaan met het opstellen, updaten of implementeren van informatiebeveiligingsbeleid.
De tone-at-the-top is cruciaal voor een goed informatiebeveiligingsbeleid. Het bestuur moet de significantie van het onderwerp duidelijk maken en een heldere visie formuleren op informatiebeveiliging en informatietechnologie. Deze visie vormt de basis voor de strategie en doelstellingen op het gebied van informatiebeveiliging. Na het leggen van de strategische basis kan concreet beleid worden geformuleerd en gekoppeld aan een realistische planning. Vaak wordt de planning voor de implementatie van het informatiebeveiligingsbeleid geïntegreerd in het bestuursjaarplan en de Planning & Controlcyclus.
Bestuurders moeten voldoende tegenspraak organiseren, waarbij toezichthouders een belangrijke rol spelen. Steeds meer raden van toezicht kiezen ervoor IT-beleid of informatiebeveiligingsbeleid een terugkerend onderwerp op de vergaderagenda te laten zijn. Dit is een goede ontwikkeling, mits er concreet wordt meegedacht met het bestuur.
Daarnaast kiezen besturen er steeds vaker voor om periodiek richting toezichthouders te rapporteren over IT-ontwikkelingen en informatiebeveiliging. Dit zorgt ervoor dat informatiebeveiliging een continu aandachtspunt blijft en dat er tijdig kan worden ingegrepen bij eventuele problemen.
Risicomanagement is een essentieel onderdeel van het informatiebeveiligingsbeleid. Het doel is om risico’s op het gebied van informatiebeveiliging structureel te inventariseren en te classificeren, wat de basis vormt voor beheersingsmaatregelen om deze risico’s te verminderen. Hierbij moet de risicobereidheid van de organisatie in ogenschouw worden genomen, waarbij organisaties doorgaans slechts in beperkte mate bereid zijn risico’s te nemen.
Het is belangrijk dat voldoende functionarissen bij het risicomanagementproces betrokken zijn. Vaak wordt dit onderwerp aan de IT-verantwoordelijke medewerker overgelaten, wat kan leiden tot een onvolledige risico-analyse en onvoldoende beheersingsmaatregelen.
Risicomanagement wordt nog te vaak gezien als een eenmalig proces. Een goed informatiebeveiligingsbeleid voorziet in periodieke bijstelling van de risico-analyse, aangezien technologische ontwikkelingen en risico’s continu veranderen. Een goed informatiebeveiligingsbeleid is daarom een levend document.
Eigenaarschap van medewerkers is cruciaal voor een succesvol informatiebeveiligingsbeleid. Het bestuur moet duidelijkheid creëren over eigenaarschap, rollen, verantwoordelijkheden en taken. Betrek medewerkers bij de totstandkoming van het beleid.
Veel organisaties zijn afhankelijk van individuen voor IT-functies, wat kwetsbaar maakt en veranderingen bemoeilijkt. Functiescheiding is vaak lastig, maar noodzakelijk voor interne beheersing. Maak bewust de afweging welke onderdelen in eigen beheer worden gedaan en welke worden uitbesteed. Samenwerking met andere organisaties kan helpen.
Creëer veiligheidsbewustzijn bij medewerkers, aangezien zij een kwetsbare schakel vormen. Train hen in het omgaan met beveiligingsrisico’s, bijvoorbeeld door proef-phishing e-mails te versturen. Phishing is een vorm van social engineering, waarbij criminelen misbruik maken van menselijke eigenschappen om toegang te krijgen tot gegevens. Medewerkers moeten goed op de hoogte zijn van de gevaren.
Kennisdeling moet verder gaan dan training om social engineering te voorkomen. Bepaal welke IT-competenties medewerkers moeten hebben en zet een gericht trainingsprogramma op. Neem IT-skills op in persoonlijke ontwikkelplannen.
Veel organisaties nemen hun applicaties af bij derden als Software-As-A-Service (SaaS), waardoor ze deels afhankelijk zijn van externe partijen. Het is belangrijk dat in het Service Level Agreement (SLA) duidelijke afspraken staan over informatiebeveiligingsmaatregelen. Dit geldt niet alleen voor de financiële administratie, maar ook voor applicaties rondom kindplanning en – ontwikkeling, oudercommunicatie en personeelsplanning. In de praktijk rapporteren software-aanbieders zelden aan hun klanten over de effectieve werking van deze maatregelen. Ons advies is om in de SLA’s met softwareleveranciers een bepaling op te nemen dat zij periodiek rapporteren over de getroffen beheersingsmaatregelen en de werking daarvan.
Voor sommige applicaties geldt dat deze beschikken over een ISAE3402-certificering. Deze certificering geeft aan dat bepaalde maatregelen van interne beheersing gedurende een vastgestelde periode correct functioneerden. Onderwerpen als toegangsbeveiliging, wijzigingenbeheer en continuïteitsbeheer maken vaak onderdeel uit van een ISAE3402-certificering. Het beschikken over een ISAE3402-certificering betekent echter niet automatisch dat de applicatie voldoet aan de beveiligingsvereisten volgens uw informatiebeveiligingsbeleid. Zorg er daarom altijd voor dat een ISAE3402-rapportage kritisch wordt getoetst door de gebruikers van de software.
Daarnaast is het belangrijk om het informatiebeveiligingsaspect nadrukkelijker te betrekken bij het aankopen van softwareapplicaties. Het komt nog te vaak voor dat dit onderwerp pas aan de orde komt nadat besloten is tot de aanschaf van een softwareapplicatie. Dit kan leiden tot de conclusie dat een nieuwe applicatie niet past binnen het informatiebeveiligingsbeleid.
Vanwege maatschappelijke en technologische ontwikkelingen is het essentieel om uw organisatie te beschermen. Wij zien in de praktijk dat dit bij veel kinderopvangorganisaties nog niet op orde is. Stel een informatiebeveiligingsbeleid op en implementeer deze. Ga na of uw bestaande beleid nog actueel is. Leg uw beleid naast de adviezen uit ons artikel en de verschillende normenkaders.
Voor een basischeck van uw grootste risico’s op het gebied van cybersecurity bevelen wij u de ‘CyberVeilig Check’ aan. Deze check is opgesteld door de overheid en wordt gehost door ‘Digital trust center’.
Door nu de juiste maatregelen te treffen, verzekert u de (digitale) veiligheid en integriteit van uw bedrijfsgegevens en gevoelige informatie over kinderen. Wij vertellen u daar graag meer over. Neem contact met ons op.
