Risicomanagement en bewustwording; lege containers?


Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?

Om te voldoen aan de BIO en de AVG moet je als gemeente diverse maatregelen nemen. Het uitvoeren van die maatregelen alleen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van risicomanagement en een bewustwordingsprogramma. Toch blijken dit vaak de lastigste maatregelen om concreet uit te voeren… hoe komt dat toch?

Het blijft bij woorden

Risicomanagement en bewustwording is in de basis niet iets wat bijzonder of complex is. Zo doet iedereen aan risicomanagement in het dagelijks leven. Denk maar aan je wekker die je zet (=maatregel) om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt (= risico). En ook bij bewustwording is de oplossing vaak simpeler dan we denken. Je moet gewoontes vervangen door nieuwe gewoontes. Gewoontes zijn allemaal ooit een keer aangeleerd, maar het kost tijd en doorzettingsvermogen dat te veranderen. Toch blijven we vaak steken bij (mooie) woorden en blijken we niet daad bij het woord te kunnen of wíllen voegen. Waarom niet?

Verantwoordelijkheid

Het begint bij het beleggen van de verantwoordelijkheid. En die ligt bij het lijnmanagement. Toch staan beide onderwerpen nog steeds niet hoog (genoeg) op de agenda en krijgen niet de juiste prioriteit. ‘We hebben toch de BIO’ hoor je vaak. Dat klopt, maar de BIO ís geen risicomanagement en veel gemeenten hebben ook geen actief bewustwordingsprogramma. Dit terwijl uit onderzoek (Security Awareness Report 2018, SANS Institute) blijkt dat per organisatie alleen al minimaal 1,9 fte aan bewustwording zou moeten werken.

Risicomanagement in het kort

Wie roept dat hij aan risicomanagement wil doen, zou ik willen adviseren eens te kijken naar de NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’, om een idee te krijgen van wát dat dan precies inhoudt. Ook de ISO 27001 zegt er het nodige over, maar dan specifiek in de context van informatiebeveiliging. Ik heb alvast een aantal punten onder elkaar gezet om je een beeld te geven:

  • Cultuur – Het begint bij cultuur. Dit is de basis voor de andere onderdelen. Ofwel het uitleggen van de waarde van risicomanagement aan de rest van de organisatie. Wat zijn je intenties? Wat zijn je doelen?
  • Wie doet wat, wanneer en hoe? – Hier draait het om leiderschap en commitment. Creëer een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden.
  • Integratie – Risicomanagement is geen ‘solo’ actie. Het moet aansluiten en integreren met de waarde, governance, strategie en doelstellingen van de organisatie.
  • Architectuur – Het moet aansluiten bij de interne organisatie en externe omgeving. Communiceer en zorg voor commitment bij het management en bestuur. Creëer een heldere taakverdeling. Welke middelen zijn beschikbaar? Hoe zet je die in?
  • Implementatie – Hier kom je in actie. Zorg voor een reel plan van aanpak dat aansluit bij de besluitvorming van de organisatie. Let ook op de beschikbaarheid van tijd en geld voor de implementatie en nazorg.
  • Meten – Werkt hetgeen wat je doet conform het beleid? Met andere woorden: levert het een positieve bijdrage aan de doelstellingen?
  • Continu proces – Risicomanagement is nooit af. Je moet verbeteren en blijven doorontwikkelen. Sluit aan op interne en externe veranderingen en zorg voor integratie met andere bedrijfsprocessen.

Bewustwording is een levenscyclus

Voor iedereen die roept dat bewustwording belangrijk is, is mijn advies eens te kijken naar de NIST SP 800-50 om een idee te krijgen wát dat dan precies inhoudt. Deze norm beschrijft hoe je een informatiebeveiligingsbewustwording- en trainingsprogramma bouwt. Hierbij wordt uitgegaan van een levenscyclus. Hieronder de belangrijkste onderdelen op een rij:

  • Cultuur – ook hier geldt dat het moet aansluiten bij de missie en behoeften van de organisatie.
  • Bepaal de behoeftes – Voer een onderzoek uit (bijv. interviews, enquêtes) om te kijken waar de behoeftes liggen binnen de organisatie en bepaal op basis hiervan de juiste onderwerpen. Ook dient deze analyse om de juiste middelen toegewezen te krijgen.
  • Zorg voor commitment bij management en bestuur – De rol van managers en bestuurders is essentieel voor bewustwording en gedragsverandering. Goed voorbeeld doet immers goed volgen.
  • Ontwikkel een bewustwordings- en traingingsplan – met daarin de strategie en aanpak.
  • Stel prioriteiten – bij de implementatie moet worden bepaald welke activiteiten eerst en in welke volgorde worden gepland.
  • Bepaal het juiste niveau – binnen de organisatie heb je te maken met verschillende type mensen en niveaus.
  • Zorg voor de juiste middelen – wanneer de strategie, aanpak en prioriteiten zijn vastgesteld moet het budget worden bepaald en toegewezen.
  • Implementatie – hier ga je over tot de ontwikkeling van middelen en trainingen, o.a. posters, flyers, factsheet, presentaties, e-learning et cetera. Tips? Lees dan hier wat de bouwstenen zijn voor een goede bewustwordingscampagne.
  • Meten – Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders?
  • Continu proces – Actualiseer en verbeter je bewustwordingsprogramma. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.

Lees ook eens het SANS Security Awareness Report 2021 ‘Managing Human Cyber Risk’. Dit rapport staat boordevol gegevens over hoe je je bewustwordingsprogramma naar een hoger niveau kan tillen.

Geen woorden maar daden

Zoals je ziet is het creëren van bewustwording net als risicomanagement een continu en interactief proces en zijn de stappen grotendeels gelijk. Wat ik hoop mee te geven met deze blog is dat iedereen die roept dat risicomanagement en bewustwording zo belangrijk zijn, zich ook moet realiseren wat het betekent om dit goed te organiseren. Ofwel, weet waar je het over hebt. Wil je het dan nog steeds? Zet dan je mooie woorden om in daden. Of blijf je liever lege containers gebruiken en kom je in actie als het misschien al te laat is…?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in