Behaviour by Design?

| Erna Havinga | ,

Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

De steeds snellere digitalisering van de dienstverlening binnen organisaties en zeker ook gemeenten, het toenemende gebruik van sociale netwerken en de toename van informatie in de Cloud creëren nieuwe beveiligingsrisico’s voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Bewustwording is en blijft daarom een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken en malware aanvallen, op de loer. Nog steeds zien we dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken van deze incidenten. Onbewust menselijk handelen blijkt zelfs een groter risico voor de privacy van burgers en de veiligheid van informatie dan bewuste en gerichte cyberaanvallen. Daarom moet elke gemeente bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar hoe krijg je dit gewenste gedrag tussen de oren van mensen? Veel gemeenten hebben hier al veel tijd en energie in gestoken en toch zien ze nog steeds dat veel incidenten veroorzaakt worden door menselijk handelen.

Kortom, waar gaat het mis?

We zien een aantal factoren hiervoor:

  • Het ontbreken van een bewustwordings- en traingingsplan. Met daarin een heldere strategie en aanpak hoe het bewustzijn te verhogen. Inspanningen zijn te vaak ad hoc gericht op incidenten en niet ingebed in een voortdurend proces. 
  • Er wordt alleen aan bewustwording gedaan om te voldoen aan regelgeving. Dit zonder na te denken over het uiteindelijke doel van het programma. Het uitvoeren van alleen de maatregelen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van een bewustwordingsprogamma.
  • Het juiste niveau ontbreekt. Binnen je gemeente heb je te maken met verschillende type mensen en niveaus. Bewustwordingsprogramma’s zijn vaak te algemeen gericht op de organisatie en sluiten onvoldoende aan op de werkzaamheden van individuele medewerkers. Het is belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. What’s in it for me?
  • De voortgang en effectiviteit van het programma wordt niet gemeten. Vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, namelijk of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Terwijl dit wel belangrijk is. Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders? Zo kun je maatregelen, indien gewenst per afdeling of onderwerp, bijstellen indien nodig.
  • Men heeft onrealistische verwachtingen over menselijk gedrag. Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Maar het goede nieuws is, het kan wel. Wist je bijvoorbeeld dat je iets 100 keer anders moet hebben uitgevoerd, voordat het nieuwe gedrag een gewoonte is geworden?
  • Men heeft onrealistische verwachtingen van het bewustwordingsprogramma. Vaak heersen er diverse verwachtingen over bewustwordingsprogramma’s. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een programma op maat werkt vaak beter.
  • Bewustwording wordt gezien als achtergrondruis: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij mensen.

Maar hoe maak je bewustwording dan wel tot een succes?
Allereerst moet er binnen organisaties een sterke veiligheidscultuur worden gecreëerd; een cultuur waar medewerkers risico’s en bedreigingen en zorgvuldige omgang met persoonsgegevens meewegen als onderdeel van hun dagelijkse routine. Om een goede veiligheidscultuur binnen je organisatie op te bouwen, is een structurele cultuurverandering nodig. Dit is geen makkelijke opgave, want een cultuur kun je niet van de een op de andere dag veranderen. Normen en waarden veranderen pas als een nieuwe werkwijze over een periode heeft laten zien succesvol te zijn. Dit is een langdurig proces waarvoor een integrale aanpak en veel deskundige inzet nodig zijn. Wil je praktische informatie over hoe je aan de slag kunt om een informatiebewuste veiligheidscultuur te creëren én vast te houden? Lees dan ons boek ‘Gemeenten. Bewustzijn. Privacy.

Toolkit ‘Behaviour by Design’
Veel gemeenten hebben behoefte aan duidelijke richtlijnen met betrekking tot een goede aanpak om het beveiligingsbewustzijn te verhogen. Om gemeenten te helpen bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma rond informatiebeveiliging heeft de IBD daarom de Handreiking ‘Verhogen bewustzijn informatiebeveiliging’ en bijhorende Toolkit ‘Behaviour by Design’ ontwikkeld. Deze middelen bieden gemeenten passende hulp door middel van een gestructureerde aanpak. In de handreiking wordteen aanpak gepresenteerd om structureel aandacht te geven aan het verhogen van beveiligingsbewustzijn. Deze aanpak kent de volgende fasen:

1. De ontwerpfase

In deze fase worden de te beveiligen belangen en behoeften vastgesteld, de belangrijkste onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In dit hoofdstuk wordt o.a. ingegaan op:

  • de strategie die gevolgd gaat worden
  • de structuur van het bewustwordingsprogramma
  • het bepalen van de inhoud van het bewustwordingsprogramma
  • het opstellen van een plan
  • het stellen van prioriteiten
  • de budgettering
  • commitment en draagvlak
  • de rol van HRM en Communicatie.

2. De ontwikkelingsfase

In deze fase wordt een plan opgesteld om het bewustwordingsprogramma vorm te geven. Nadat het bewustwordingsprogramma is ontworpen, moet het ondersteunende materiaal worden ontwikkeld. Het aandachtspunt hierbij is dat dit materiaal moet aansluiten bij de belevingswereld, het kennisniveau én de functie van de medewerker. Denk hierbij aan generiek inzetbare middelen en specifieke middelen voor een bepaalde doelgroep.

3. De implementatiefase

Wanneer er een bewustwordingsprogramma is ontwikkeld, moet er uitvoering worden gegeven aan het opgestelde plan. Ook moet dit binnen de organisatie uitgelegd en gecommuniceerd worden. In deze fase worden de stakeholders en ambassadeurs betrokken bij de uitrol van het programma.

4. De evaluatie- en onderhoudsfase

In deze laatste fase wordt het effect van het bewustwordingsprogramma beoordeeld. Deze fase maakt van het geheel een cyclisch en herhalend proces. Want, bewustwording is en blijft een continu proces. Actualiseer en verbeter je bewustwordingsprogramma daarom met regelmaat. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.


Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…
Verder lezen

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…
Verder lezen

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.
Verder lezen

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen

Tien veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Welke tien fouten zijn dit en hoe kan je d…
Verder lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.
Verder lezen

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap