Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?
De steeds snellere digitalisering van de dienstverlening binnen organisaties en zeker ook gemeenten, het toenemende gebruik van sociale netwerken en de toename van informatie in de Cloud creëren nieuwe beveiligingsrisico’s voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Bewustwording is en blijft daarom een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken en malware aanvallen, op de loer. Nog steeds zien we dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken van deze incidenten. Onbewust menselijk handelen blijkt zelfs een groter risico voor de privacy van burgers en de veiligheid van informatie dan bewuste en gerichte cyberaanvallen. Daarom moet elke gemeente bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar hoe krijg je dit gewenste gedrag tussen de oren van mensen? Veel gemeenten hebben hier al veel tijd en energie in gestoken en toch zien ze nog steeds dat veel incidenten veroorzaakt worden door menselijk handelen.
Kortom, waar gaat het mis?
We zien een aantal factoren hiervoor:
Maar hoe maak je bewustwording dan wel tot een succes?
Allereerst moet er binnen organisaties een sterke veiligheidscultuur worden gecreëerd; een cultuur waar medewerkers risico’s en bedreigingen en zorgvuldige omgang met persoonsgegevens meewegen als onderdeel van hun dagelijkse routine. Om een goede veiligheidscultuur binnen je organisatie op te bouwen, is een structurele cultuurverandering nodig. Dit is geen makkelijke opgave, want een cultuur kun je niet van de een op de andere dag veranderen. Normen en waarden veranderen pas als een nieuwe werkwijze over een periode heeft laten zien succesvol te zijn. Dit is een langdurig proces waarvoor een integrale aanpak en veel deskundige inzet nodig zijn. Wil je praktische informatie over hoe je aan de slag kunt om een informatiebewuste veiligheidscultuur te creëren én vast te houden? Lees dan ons boek ‘Gemeenten. Bewustzijn. Privacy.
Toolkit ‘Behaviour by Design’
Veel gemeenten hebben behoefte aan duidelijke richtlijnen met betrekking tot een goede aanpak om het beveiligingsbewustzijn te verhogen. Om gemeenten te helpen bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma rond informatiebeveiliging heeft de IBD daarom de Handreiking ‘Verhogen bewustzijn informatiebeveiliging’ en bijhorende Toolkit ‘Behaviour by Design’ ontwikkeld. Deze middelen bieden gemeenten passende hulp door middel van een gestructureerde aanpak. In de handreiking wordteen aanpak gepresenteerd om structureel aandacht te geven aan het verhogen van beveiligingsbewustzijn. Deze aanpak kent de volgende fasen:
1. De ontwerpfase
In deze fase worden de te beveiligen belangen en behoeften vastgesteld, de belangrijkste onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In dit hoofdstuk wordt o.a. ingegaan op:
2. De ontwikkelingsfase
In deze fase wordt een plan opgesteld om het bewustwordingsprogramma vorm te geven. Nadat het bewustwordingsprogramma is ontworpen, moet het ondersteunende materiaal worden ontwikkeld. Het aandachtspunt hierbij is dat dit materiaal moet aansluiten bij de belevingswereld, het kennisniveau én de functie van de medewerker. Denk hierbij aan generiek inzetbare middelen en specifieke middelen voor een bepaalde doelgroep.
3. De implementatiefase
Wanneer er een bewustwordingsprogramma is ontwikkeld, moet er uitvoering worden gegeven aan het opgestelde plan. Ook moet dit binnen de organisatie uitgelegd en gecommuniceerd worden. In deze fase worden de stakeholders en ambassadeurs betrokken bij de uitrol van het programma.
4. De evaluatie- en onderhoudsfase
In deze laatste fase wordt het effect van het bewustwordingsprogramma beoordeeld. Deze fase maakt van het geheel een cyclisch en herhalend proces. Want, bewustwording is en blijft een continu proces. Actualiseer en verbeter je bewustwordingsprogramma daarom met regelmaat. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.
Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap