Mensen blijven mensen, maar organisaties hebben een rampenplan nodig

Informatiebeveiliging wordt vaak neergezet als een kwestie van techniek en bewustwording. We trainen medewerkers, sturen phishingtests en hopen dat iedereen alert blijft. Maar de realiteit is simpel: mensen blijven mensen. Vroeg of laat klikt iemand op een verkeerde link, deelt per ongeluk informatie of negeert in de haast een procedure.

De vraag is dus niet óf het misgaat, maar wanneer. En vooral: hoe goed is jouw organisatie voorbereid om met die situatie om te gaan?

Bewustwording helpt, maar is nooit genoeg

Trainingen en bewustwordingscampagnes zijn waardevol. Medewerkers leren phishing herkennen, durven fouten sneller te melden en voelen zich onderdeel van de beveiliging. Toch is bewustwording geen magische verdediging tegen menselijke fouten. Onderzoek laat zien dat in 2024 bij 95% van de datalekken menselijke fouten een rol speelden, zoals misconfiguraties of een verkeerde klik (Infosecurity Magazine). Andere studies schatten dat ongeveer 68% van de beveiligingsincidenten wordt veroorzaakt door menselijk handelen, variërend van phishing tot verkeerd gebruik van credentials (ISPartners). Niet verrassend noemt 89% van de organisaties menselijke fouten zelfs hun grootste cybersecurity-uitdaging (ITPro).

Deze cijfers maken duidelijk: fouten voorkomen is belangrijk, maar veerkrachtig reageren is minstens zo essentieel.

Drie pijlers voor veerkracht

Echte veerkracht vraagt meer. Het begint bij inzicht, gaat verder met voorbereiding en eindigt bij de manier waarop je herstelt van een incident.

Een Business Impact Analyse (BIA) brengt in kaart welke processen echt kritiek zijn en hoe lang de organisatie kan functioneren zonder bepaalde systemen. Voor een bestuurder geeft dit een concreet beeld van de kwetsbaarheden: wat kost het als cliëntendossiers dagenlang niet beschikbaar zijn in een zorginstelling, of als in een fabriek de productielijn volledig stilvalt? Zulke scenario’s maken pijnlijk duidelijk waar de organisatie écht van afhankelijk is.

Daarna volgt het Business Continuity Plan (BCP). Dit is het draaiboek voor de momenten waarop de kwetsbaarheden uit de BIA werkelijkheid worden. Wat doe je als cliëntendossiers dagenlang niet bereikbaar zijn door een systeemstoring? Hoe zorg je dat een fabriek kan blijven draaien wanneer de productielijn stilvalt door een cyberaanval? Het BCP beschrijft wie beslissingen neemt in crisistijd, hoe de communicatie verloopt en welke tijdelijke oplossingen beschikbaar zijn. Door dit vooraf vast te leggen en regelmatig te oefenen, voorkom je paniek en chaos en blijft de organisatie zoveel mogelijk functioneren, ook onder zware druk.

Tot slot is er het Incident Respons Plan (IRP). Dit plan gaat over de acute fase van een incident. Denk aan een ransomware-aanval waarbij de systemen waarop cliëntgegevens staan worden vergrendeld, waardoor de organisatie er niet meer bij kan. Vaak worden diezelfde gegevens gestolen en later op het darkweb aangeboden. Het IRP regelt hoe de organisatie in zo’n situatie handelt: wie er actie onderneemt, hoe je schade beperkt, aan welke meldplichten moet worden voldaan en hoe je met cliënten en toezichthouders communiceert.

Het IRP legt niet alleen vast wie welke acties onderneemt, maar ook hoe de organisatie voldoet aan wettelijke verplichtingen, zoals de meldplicht bij de Autoriteit Persoonsgegevens. Daarnaast bevat het de contactgegevens van gespecialiseerde instanties, zoals het Nationaal Cyber Security Centrum (NCSC) en het Computer Security Incident Response Team (CSIRT), die tijdens een cyberincident ondersteuning bieden met expertise, coördinatie en advies.

Nog belangrijker: een IRP of BCP heeft alleen waarde als het ook daadwerkelijk geoefend wordt. Een plan dat in een map op de plank belandt, redt je organisatie niet. Door regelmatig tabletop exercises of crisissimulaties te organiseren, raken medewerkers vertrouwd met hun rol. In zulke simulaties wordt stap voor stap een realistisch scenario doorgelopen, zodat iedereen weet wat er van hem of haar verwacht wordt. Zo wordt reageren op een incident net zo natuurlijk als het ontruimen van een gebouw bij brand.

Als het misgaat

Dat dit geen theoretische risico’s zijn, bewijzen de recente incidenten. Zorginstellingen die werden getroffen door ransomware zagen complete cliëntendossiers op straat belanden, met blijvende reputatieschade en verlies van vertrouwen als gevolg. Bij organisaties die te laat of onvolledig melding maakten bij de Autoriteit Persoonsgegevens, volgden niet alleen boetes, maar ook kritische vragen van cliënten en toezichthouders. En er zijn bedrijven die dachten dat hun back-ups in orde waren, maar er pas tijdens een crisis achter kwamen dat deze nooit goed getest waren. Het resultaat: wekenlange uitval en miljoenen euro’s schade.

Deze voorbeelden laten zien dat het niet voldoende is om alleen te proberen fouten te voorkomen. Wat telt, is hoe snel en effectief je reageert en herstelt.

Techniek en mensen samen

Naast plannen speelt de techniek natuurlijk een belangrijke rol. Multifactor-authenticatie, e-mailfilters, monitoring en betrouwbare back-ups zijn onmisbaar. De IT-afdeling en de Security Officer zorgen ervoor dat fouten niet direct uitmonden in een ramp. Maar techniek alleen is ook niet genoeg: zonder heldere processen, getrainde medewerkers en geoefende draaiboeken blijft een organisatie kwetsbaar.

Een relatief eenvoudige maar krachtige maatregel is om voorspelbaarheid te creëren in communicatie. Als medewerkers weten dat gevoelige informatie altijd via een beveiligd portaal met multifactor-authenticatie wordt gedeeld, wordt de kans dat ze in een phishingmail trappen aanzienlijk kleiner. Hoe minder “klikmomenten” er in het dagelijks werk zitten, hoe lastiger het voor criminelen wordt om mee te liften op ons automatische klikgedrag.

Van kwetsbaar naar veerkrachtig

De les is duidelijk: een training alleen is geen vangnet. Veerkracht bereik je door inzicht in je processen via een BIA, door een actueel en getest BCP dat de continuïteit waarborgt, door een geoefend IRP dat richting geeft op de momenten dat elke seconde telt, en door technische maatregelen die fouten opvangen. Wie dat goed regelt, kan met vertrouwen zeggen: mensen blijven mensen, maar één fout legt onze organisatie niet plat.

We helpen organisaties, in de zorg en daarbuiten, om die veerkracht concreet te maken. We voeren BIA’s uit en vertalen die naar praktische BCP’s. We stellen Incident Respons Plannen op die niet alleen voldoen aan de meldplicht, maar ook ruimte laten voor forensisch onderzoek. We adviseren over technische maatregelen en governance en begeleiden oefeningen, zodat plannen niet alleen op papier bestaan.

Wil je weten hoe veerkrachtig jouw organisatie echt is? Neem gerust contact met ons op.

Neem contact op

Terug naar overzicht