Skip to main content

Risicomanagement en bewustwording; lege containers?


Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?

Om te voldoen aan de BIO en de AVG moet je als gemeente diverse maatregelen nemen. Het uitvoeren van die maatregelen alleen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van risicomanagement en een bewustwordingsprogramma. Toch blijken dit vaak de lastigste maatregelen om concreet uit te voeren… hoe komt dat toch?

Het blijft bij woorden

Risicomanagement en bewustwording is in de basis niet iets wat bijzonder of complex is. Zo doet iedereen aan risicomanagement in het dagelijks leven. Denk maar aan je wekker die je zet (=maatregel) om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt (= risico). En ook bij bewustwording is de oplossing vaak simpeler dan we denken. Je moet gewoontes vervangen door nieuwe gewoontes. Gewoontes zijn allemaal ooit een keer aangeleerd, maar het kost tijd en doorzettingsvermogen dat te veranderen. Toch blijven we vaak steken bij (mooie) woorden en blijken we niet daad bij het woord te kunnen of wíllen voegen. Waarom niet?

Verantwoordelijkheid

Het begint bij het beleggen van de verantwoordelijkheid. En die ligt bij het lijnmanagement. Toch staan beide onderwerpen nog steeds niet hoog (genoeg) op de agenda en krijgen niet de juiste prioriteit. ‘We hebben toch de BIO’ hoor je vaak. Dat klopt, maar de BIO ís geen risicomanagement en veel gemeenten hebben ook geen actief bewustwordingsprogramma. Dit terwijl uit onderzoek (Security Awareness Report 2018, SANS Institute) blijkt dat per organisatie alleen al minimaal 1,9 fte aan bewustwording zou moeten werken.

Risicomanagement in het kort

Wie roept dat hij aan risicomanagement wil doen, zou ik willen adviseren eens te kijken naar de NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’, om een idee te krijgen van wát dat dan precies inhoudt. Ook de ISO 27001 zegt er het nodige over, maar dan specifiek in de context van informatiebeveiliging. Ik heb alvast een aantal punten onder elkaar gezet om je een beeld te geven:

  • Cultuur – Het begint bij cultuur. Dit is de basis voor de andere onderdelen. Ofwel het uitleggen van de waarde van risicomanagement aan de rest van de organisatie. Wat zijn je intenties? Wat zijn je doelen?
  • Wie doet wat, wanneer en hoe? – Hier draait het om leiderschap en commitment. Creëer een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden.
  • Integratie – Risicomanagement is geen ‘solo’ actie. Het moet aansluiten en integreren met de waarde, governance, strategie en doelstellingen van de organisatie.
  • Architectuur – Het moet aansluiten bij de interne organisatie en externe omgeving. Communiceer en zorg voor commitment bij het management en bestuur. Creëer een heldere taakverdeling. Welke middelen zijn beschikbaar? Hoe zet je die in?
  • Implementatie – Hier kom je in actie. Zorg voor een reel plan van aanpak dat aansluit bij de besluitvorming van de organisatie. Let ook op de beschikbaarheid van tijd en geld voor de implementatie en nazorg.
  • Meten – Werkt hetgeen wat je doet conform het beleid? Met andere woorden: levert het een positieve bijdrage aan de doelstellingen?
  • Continu proces – Risicomanagement is nooit af. Je moet verbeteren en blijven doorontwikkelen. Sluit aan op interne en externe veranderingen en zorg voor integratie met andere bedrijfsprocessen.

Bewustwording is een levenscyclus

Voor iedereen die roept dat bewustwording belangrijk is, is mijn advies eens te kijken naar de NIST SP 800-50 om een idee te krijgen wát dat dan precies inhoudt. Deze norm beschrijft hoe je een informatiebeveiligingsbewustwording- en trainingsprogramma bouwt. Hierbij wordt uitgegaan van een levenscyclus. Hieronder de belangrijkste onderdelen op een rij:

  • Cultuur – ook hier geldt dat het moet aansluiten bij de missie en behoeften van de organisatie.
  • Bepaal de behoeftes – Voer een onderzoek uit (bijv. interviews, enquêtes) om te kijken waar de behoeftes liggen binnen de organisatie en bepaal op basis hiervan de juiste onderwerpen. Ook dient deze analyse om de juiste middelen toegewezen te krijgen.
  • Zorg voor commitment bij management en bestuur – De rol van managers en bestuurders is essentieel voor bewustwording en gedragsverandering. Goed voorbeeld doet immers goed volgen.
  • Ontwikkel een bewustwordings- en traingingsplan – met daarin de strategie en aanpak.
  • Stel prioriteiten – bij de implementatie moet worden bepaald welke activiteiten eerst en in welke volgorde worden gepland.
  • Bepaal het juiste niveau – binnen de organisatie heb je te maken met verschillende type mensen en niveaus.
  • Zorg voor de juiste middelen – wanneer de strategie, aanpak en prioriteiten zijn vastgesteld moet het budget worden bepaald en toegewezen.
  • Implementatie – hier ga je over tot de ontwikkeling van middelen en trainingen, o.a. posters, flyers, factsheet, presentaties, e-learning et cetera. Tips? Lees dan hier wat de bouwstenen zijn voor een goede bewustwordingscampagne.
  • Meten – Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders?
  • Continu proces – Actualiseer en verbeter je bewustwordingsprogramma. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.

Lees ook eens het SANS Security Awareness Report 2021 ‘Managing Human Cyber Risk’. Dit rapport staat boordevol gegevens over hoe je je bewustwordingsprogramma naar een hoger niveau kan tillen.

Geen woorden maar daden

Zoals je ziet is het creëren van bewustwording net als risicomanagement een continu en interactief proces en zijn de stappen grotendeels gelijk. Wat ik hoop mee te geven met deze blog is dat iedereen die roept dat risicomanagement en bewustwording zo belangrijk zijn, zich ook moet realiseren wat het betekent om dit goed te organiseren. Ofwel, weet waar je het over hebt. Wil je het dan nog steeds? Zet dan je mooie woorden om in daden. Of blijf je liever lege containers gebruiken en kom je in actie als het misschien al te laat is…?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…