Risicomanagement en bewustwording; lege containers?

| Renco Schoemaker | ,

Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?

Om te voldoen aan de BIO en de AVG moet je als gemeente diverse maatregelen nemen. Het uitvoeren van die maatregelen alleen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van risicomanagement en een bewustwordingsprogramma. Toch blijken dit vaak de lastigste maatregelen om concreet uit te voeren… hoe komt dat toch?

Het blijft bij woorden

Risicomanagement en bewustwording is in de basis niet iets wat bijzonder of complex is. Zo doet iedereen aan risicomanagement in het dagelijks leven. Denk maar aan je wekker die je zet (=maatregel) om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt (= risico). En ook bij bewustwording is de oplossing vaak simpeler dan we denken. Je moet gewoontes vervangen door nieuwe gewoontes. Gewoontes zijn allemaal ooit een keer aangeleerd, maar het kost tijd en doorzettingsvermogen dat te veranderen. Toch blijven we vaak steken bij (mooie) woorden en blijken we niet daad bij het woord te kunnen of wíllen voegen. Waarom niet?

Verantwoordelijkheid

Het begint bij het beleggen van de verantwoordelijkheid. En die ligt bij het lijnmanagement. Toch staan beide onderwerpen nog steeds niet hoog (genoeg) op de agenda en krijgen niet de juiste prioriteit. ‘We hebben toch de BIO’ hoor je vaak. Dat klopt, maar de BIO ís geen risicomanagement en veel gemeenten hebben ook geen actief bewustwordingsprogramma. Dit terwijl uit onderzoek (Security Awareness Report 2018, SANS Institute) blijkt dat per organisatie alleen al minimaal 1,9 fte aan bewustwording zou moeten werken.

Risicomanagement in het kort

Wie roept dat hij aan risicomanagement wil doen, zou ik willen adviseren eens te kijken naar de NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’, om een idee te krijgen van wát dat dan precies inhoudt. Ook de ISO 27001 zegt er het nodige over, maar dan specifiek in de context van informatiebeveiliging. Ik heb alvast een aantal punten onder elkaar gezet om je een beeld te geven:

  • Cultuur – Het begint bij cultuur. Dit is de basis voor de andere onderdelen. Ofwel het uitleggen van de waarde van risicomanagement aan de rest van de organisatie. Wat zijn je intenties? Wat zijn je doelen?
  • Wie doet wat, wanneer en hoe? – Hier draait het om leiderschap en commitment. Creëer een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden.
  • Integratie – Risicomanagement is geen ‘solo’ actie. Het moet aansluiten en integreren met de waarde, governance, strategie en doelstellingen van de organisatie.
  • Architectuur – Het moet aansluiten bij de interne organisatie en externe omgeving. Communiceer en zorg voor commitment bij het management en bestuur. Creëer een heldere taakverdeling. Welke middelen zijn beschikbaar? Hoe zet je die in?
  • Implementatie – Hier kom je in actie. Zorg voor een reel plan van aanpak dat aansluit bij de besluitvorming van de organisatie. Let ook op de beschikbaarheid van tijd en geld voor de implementatie en nazorg.
  • Meten – Werkt hetgeen wat je doet conform het beleid? Met andere woorden: levert het een positieve bijdrage aan de doelstellingen?
  • Continu proces – Risicomanagement is nooit af. Je moet verbeteren en blijven doorontwikkelen. Sluit aan op interne en externe veranderingen en zorg voor integratie met andere bedrijfsprocessen.

Bewustwording is een levenscyclus

Voor iedereen die roept dat bewustwording belangrijk is, is mijn advies eens te kijken naar de NIST SP 800-50 om een idee te krijgen wát dat dan precies inhoudt. Deze norm beschrijft hoe je een informatiebeveiligingsbewustwording- en trainingsprogramma bouwt. Hierbij wordt uitgegaan van een levenscyclus. Hieronder de belangrijkste onderdelen op een rij:

  • Cultuur – ook hier geldt dat het moet aansluiten bij de missie en behoeften van de organisatie.
  • Bepaal de behoeftes – Voer een onderzoek uit (bijv. interviews, enquêtes) om te kijken waar de behoeftes liggen binnen de organisatie en bepaal op basis hiervan de juiste onderwerpen. Ook dient deze analyse om de juiste middelen toegewezen te krijgen.
  • Zorg voor commitment bij management en bestuur – De rol van managers en bestuurders is essentieel voor bewustwording en gedragsverandering. Goed voorbeeld doet immers goed volgen.
  • Ontwikkel een bewustwordings- en traingingsplan – met daarin de strategie en aanpak.
  • Stel prioriteiten – bij de implementatie moet worden bepaald welke activiteiten eerst en in welke volgorde worden gepland.
  • Bepaal het juiste niveau – binnen de organisatie heb je te maken met verschillende type mensen en niveaus.
  • Zorg voor de juiste middelen – wanneer de strategie, aanpak en prioriteiten zijn vastgesteld moet het budget worden bepaald en toegewezen.
  • Implementatie – hier ga je over tot de ontwikkeling van middelen en trainingen, o.a. posters, flyers, factsheet, presentaties, e-learning et cetera. Tips? Lees dan hier wat de bouwstenen zijn voor een goede bewustwordingscampagne.
  • Meten – Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders?
  • Continu proces – Actualiseer en verbeter je bewustwordingsprogramma. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.

Lees ook eens het SANS Security Awareness Report 2021 ‘Managing Human Cyber Risk’. Dit rapport staat boordevol gegevens over hoe je je bewustwordingsprogramma naar een hoger niveau kan tillen.

Geen woorden maar daden

Zoals je ziet is het creëren van bewustwording net als risicomanagement een continu en interactief proces en zijn de stappen grotendeels gelijk. Wat ik hoop mee te geven met deze blog is dat iedereen die roept dat risicomanagement en bewustwording zo belangrijk zijn, zich ook moet realiseren wat het betekent om dit goed te organiseren. Ofwel, weet waar je het over hebt. Wil je het dan nog steeds? Zet dan je mooie woorden om in daden. Of blijf je liever lege containers gebruiken en kom je in actie als het misschien al te laat is…?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…
Verder lezen

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…
Verder lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…
Verder lezen

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…
Verder lezen

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap