Risicomanagement en bewustwording; lege containers?


Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?

Om te voldoen aan de BIO en de AVG moet je als gemeente diverse maatregelen nemen. Het uitvoeren van die maatregelen alleen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van risicomanagement en een bewustwordingsprogramma. Toch blijken dit vaak de lastigste maatregelen om concreet uit te voeren… hoe komt dat toch?

Het blijft bij woorden

Risicomanagement en bewustwording is in de basis niet iets wat bijzonder of complex is. Zo doet iedereen aan risicomanagement in het dagelijks leven. Denk maar aan je wekker die je zet (=maatregel) om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt (= risico). En ook bij bewustwording is de oplossing vaak simpeler dan we denken. Je moet gewoontes vervangen door nieuwe gewoontes. Gewoontes zijn allemaal ooit een keer aangeleerd, maar het kost tijd en doorzettingsvermogen dat te veranderen. Toch blijven we vaak steken bij (mooie) woorden en blijken we niet daad bij het woord te kunnen of wíllen voegen. Waarom niet?

Verantwoordelijkheid

Het begint bij het beleggen van de verantwoordelijkheid. En die ligt bij het lijnmanagement. Toch staan beide onderwerpen nog steeds niet hoog (genoeg) op de agenda en krijgen niet de juiste prioriteit. ‘We hebben toch de BIO’ hoor je vaak. Dat klopt, maar de BIO ís geen risicomanagement en veel gemeenten hebben ook geen actief bewustwordingsprogramma. Dit terwijl uit onderzoek (Security Awareness Report 2018, SANS Institute) blijkt dat per organisatie alleen al minimaal 1,9 fte aan bewustwording zou moeten werken.

Risicomanagement in het kort

Wie roept dat hij aan risicomanagement wil doen, zou ik willen adviseren eens te kijken naar de NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’, om een idee te krijgen van wát dat dan precies inhoudt. Ook de ISO 27001 zegt er het nodige over, maar dan specifiek in de context van informatiebeveiliging. Ik heb alvast een aantal punten onder elkaar gezet om je een beeld te geven:

  • Cultuur – Het begint bij cultuur. Dit is de basis voor de andere onderdelen. Ofwel het uitleggen van de waarde van risicomanagement aan de rest van de organisatie. Wat zijn je intenties? Wat zijn je doelen?
  • Wie doet wat, wanneer en hoe? – Hier draait het om leiderschap en commitment. Creëer een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden.
  • Integratie – Risicomanagement is geen ‘solo’ actie. Het moet aansluiten en integreren met de waarde, governance, strategie en doelstellingen van de organisatie.
  • Architectuur – Het moet aansluiten bij de interne organisatie en externe omgeving. Communiceer en zorg voor commitment bij het management en bestuur. Creëer een heldere taakverdeling. Welke middelen zijn beschikbaar? Hoe zet je die in?
  • Implementatie – Hier kom je in actie. Zorg voor een reel plan van aanpak dat aansluit bij de besluitvorming van de organisatie. Let ook op de beschikbaarheid van tijd en geld voor de implementatie en nazorg.
  • Meten – Werkt hetgeen wat je doet conform het beleid? Met andere woorden: levert het een positieve bijdrage aan de doelstellingen?
  • Continu proces – Risicomanagement is nooit af. Je moet verbeteren en blijven doorontwikkelen. Sluit aan op interne en externe veranderingen en zorg voor integratie met andere bedrijfsprocessen.

Bewustwording is een levenscyclus

Voor iedereen die roept dat bewustwording belangrijk is, is mijn advies eens te kijken naar de NIST SP 800-50 om een idee te krijgen wát dat dan precies inhoudt. Deze norm beschrijft hoe je een informatiebeveiligingsbewustwording- en trainingsprogramma bouwt. Hierbij wordt uitgegaan van een levenscyclus. Hieronder de belangrijkste onderdelen op een rij:

  • Cultuur – ook hier geldt dat het moet aansluiten bij de missie en behoeften van de organisatie.
  • Bepaal de behoeftes – Voer een onderzoek uit (bijv. interviews, enquêtes) om te kijken waar de behoeftes liggen binnen de organisatie en bepaal op basis hiervan de juiste onderwerpen. Ook dient deze analyse om de juiste middelen toegewezen te krijgen.
  • Zorg voor commitment bij management en bestuur – De rol van managers en bestuurders is essentieel voor bewustwording en gedragsverandering. Goed voorbeeld doet immers goed volgen.
  • Ontwikkel een bewustwordings- en traingingsplan – met daarin de strategie en aanpak.
  • Stel prioriteiten – bij de implementatie moet worden bepaald welke activiteiten eerst en in welke volgorde worden gepland.
  • Bepaal het juiste niveau – binnen de organisatie heb je te maken met verschillende type mensen en niveaus.
  • Zorg voor de juiste middelen – wanneer de strategie, aanpak en prioriteiten zijn vastgesteld moet het budget worden bepaald en toegewezen.
  • Implementatie – hier ga je over tot de ontwikkeling van middelen en trainingen, o.a. posters, flyers, factsheet, presentaties, e-learning et cetera. Tips? Lees dan hier wat de bouwstenen zijn voor een goede bewustwordingscampagne.
  • Meten – Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders?
  • Continu proces – Actualiseer en verbeter je bewustwordingsprogramma. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.

Lees ook eens het SANS Security Awareness Report 2021 ‘Managing Human Cyber Risk’. Dit rapport staat boordevol gegevens over hoe je je bewustwordingsprogramma naar een hoger niveau kan tillen.

Geen woorden maar daden

Zoals je ziet is het creëren van bewustwording net als risicomanagement een continu en interactief proces en zijn de stappen grotendeels gelijk. Wat ik hoop mee te geven met deze blog is dat iedereen die roept dat risicomanagement en bewustwording zo belangrijk zijn, zich ook moet realiseren wat het betekent om dit goed te organiseren. Ofwel, weet waar je het over hebt. Wil je het dan nog steeds? Zet dan je mooie woorden om in daden. Of blijf je liever lege containers gebruiken en kom je in actie als het misschien al te laat is…?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Techblog: DNS h(ij)acking

De DNS wordt vaak het telefoonboek van het internet genoemd. In deze blog leggen we uit wat de DNS doet en hoe (en waarom) hackers proberen de DNS te hacken.

Wat te doen bij een beveiligingsincident?

Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Je kunt daarom maar beter goed voorbereid zijn. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident …

Risicomanagement en bewustwording; lege containers?

Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het vaak bij woorden. Waarom?

Is jouw gegevensverwerking rechtmatig?

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking recht…

Het NIST CyberSecurity Framework als kans?

Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?