Behaviour by Design?


Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

De steeds snellere digitalisering van de dienstverlening binnen organisaties en zeker ook gemeenten, het toenemende gebruik van sociale netwerken en de toename van informatie in de Cloud creëren nieuwe beveiligingsrisico’s voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Bewustwording is en blijft daarom een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken en malware aanvallen, op de loer. Nog steeds zien we dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken van deze incidenten. Onbewust menselijk handelen blijkt zelfs een groter risico voor de privacy van burgers en de veiligheid van informatie dan bewuste en gerichte cyberaanvallen. Daarom moet elke gemeente bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar hoe krijg je dit gewenste gedrag tussen de oren van mensen? Veel gemeenten hebben hier al veel tijd en energie in gestoken en toch zien ze nog steeds dat veel incidenten veroorzaakt worden door menselijk handelen.

Kortom, waar gaat het mis?

We zien een aantal factoren hiervoor:

  • Het ontbreken van een bewustwordings- en traingingsplan. Met daarin een heldere strategie en aanpak hoe het bewustzijn te verhogen. Inspanningen zijn te vaak ad hoc gericht op incidenten en niet ingebed in een voortdurend proces. 
  • Er wordt alleen aan bewustwording gedaan om te voldoen aan regelgeving. Dit zonder na te denken over het uiteindelijke doel van het programma. Het uitvoeren van alleen de maatregelen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van een bewustwordingsprogamma.
  • Het juiste niveau ontbreekt. Binnen je gemeente heb je te maken met verschillende type mensen en niveaus. Bewustwordingsprogramma’s zijn vaak te algemeen gericht op de organisatie en sluiten onvoldoende aan op de werkzaamheden van individuele medewerkers. Het is belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. What’s in it for me?
  • De voortgang en effectiviteit van het programma wordt niet gemeten. Vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, namelijk of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Terwijl dit wel belangrijk is. Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders? Zo kun je maatregelen, indien gewenst per afdeling of onderwerp, bijstellen indien nodig.
  • Men heeft onrealistische verwachtingen over menselijk gedrag. Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Maar het goede nieuws is, het kan wel. Wist je bijvoorbeeld dat je iets 100 keer anders moet hebben uitgevoerd, voordat het nieuwe gedrag een gewoonte is geworden?
  • Men heeft onrealistische verwachtingen van het bewustwordingsprogramma. Vaak heersen er diverse verwachtingen over bewustwordingsprogramma’s. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een programma op maat werkt vaak beter.
  • Bewustwording wordt gezien als achtergrondruis: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij mensen.

Maar hoe maak je bewustwording dan wel tot een succes?
Allereerst moet er binnen organisaties een sterke veiligheidscultuur worden gecreëerd; een cultuur waar medewerkers risico’s en bedreigingen en zorgvuldige omgang met persoonsgegevens meewegen als onderdeel van hun dagelijkse routine. Om een goede veiligheidscultuur binnen je organisatie op te bouwen, is een structurele cultuurverandering nodig. Dit is geen makkelijke opgave, want een cultuur kun je niet van de een op de andere dag veranderen. Normen en waarden veranderen pas als een nieuwe werkwijze over een periode heeft laten zien succesvol te zijn. Dit is een langdurig proces waarvoor een integrale aanpak en veel deskundige inzet nodig zijn. Wil je praktische informatie over hoe je aan de slag kunt om een informatiebewuste veiligheidscultuur te creëren én vast te houden? Lees dan ons boek ‘Gemeenten. Bewustzijn. Privacy.

Toolkit ‘Behaviour by Design’
Veel gemeenten hebben behoefte aan duidelijke richtlijnen met betrekking tot een goede aanpak om het beveiligingsbewustzijn te verhogen. Om gemeenten te helpen bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma rond informatiebeveiliging heeft de IBD daarom de Handreiking ‘Verhogen bewustzijn informatiebeveiliging’ en bijhorende Toolkit ‘Behaviour by Design’ ontwikkeld. Deze middelen bieden gemeenten passende hulp door middel van een gestructureerde aanpak. In de handreiking wordteen aanpak gepresenteerd om structureel aandacht te geven aan het verhogen van beveiligingsbewustzijn. Deze aanpak kent de volgende fasen:

1. De ontwerpfase

In deze fase worden de te beveiligen belangen en behoeften vastgesteld, de belangrijkste onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In dit hoofdstuk wordt o.a. ingegaan op:

  • de strategie die gevolgd gaat worden
  • de structuur van het bewustwordingsprogramma
  • het bepalen van de inhoud van het bewustwordingsprogramma
  • het opstellen van een plan
  • het stellen van prioriteiten
  • de budgettering
  • commitment en draagvlak
  • de rol van HRM en Communicatie.

2. De ontwikkelingsfase

In deze fase wordt een plan opgesteld om het bewustwordingsprogramma vorm te geven. Nadat het bewustwordingsprogramma is ontworpen, moet het ondersteunende materiaal worden ontwikkeld. Het aandachtspunt hierbij is dat dit materiaal moet aansluiten bij de belevingswereld, het kennisniveau én de functie van de medewerker. Denk hierbij aan generiek inzetbare middelen en specifieke middelen voor een bepaalde doelgroep.

3. De implementatiefase

Wanneer er een bewustwordingsprogramma is ontwikkeld, moet er uitvoering worden gegeven aan het opgestelde plan. Ook moet dit binnen de organisatie uitgelegd en gecommuniceerd worden. In deze fase worden de stakeholders en ambassadeurs betrokken bij de uitrol van het programma.

4. De evaluatie- en onderhoudsfase

In deze laatste fase wordt het effect van het bewustwordingsprogramma beoordeeld. Deze fase maakt van het geheel een cyclisch en herhalend proces. Want, bewustwording is en blijft een continu proces. Actualiseer en verbeter je bewustwordingsprogramma daarom met regelmaat. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.


Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?