Behaviour by Design?


Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

De steeds snellere digitalisering van de dienstverlening binnen organisaties en zeker ook gemeenten, het toenemende gebruik van sociale netwerken en de toename van informatie in de Cloud creëren nieuwe beveiligingsrisico’s voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Bewustwording is en blijft daarom een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken en malware aanvallen, op de loer. Nog steeds zien we dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken van deze incidenten. Onbewust menselijk handelen blijkt zelfs een groter risico voor de privacy van burgers en de veiligheid van informatie dan bewuste en gerichte cyberaanvallen. Daarom moet elke gemeente bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar hoe krijg je dit gewenste gedrag tussen de oren van mensen? Veel gemeenten hebben hier al veel tijd en energie in gestoken en toch zien ze nog steeds dat veel incidenten veroorzaakt worden door menselijk handelen.

Kortom, waar gaat het mis?

We zien een aantal factoren hiervoor:

  • Het ontbreken van een bewustwordings- en traingingsplan. Met daarin een heldere strategie en aanpak hoe het bewustzijn te verhogen. Inspanningen zijn te vaak ad hoc gericht op incidenten en niet ingebed in een voortdurend proces. 
  • Er wordt alleen aan bewustwording gedaan om te voldoen aan regelgeving. Dit zonder na te denken over het uiteindelijke doel van het programma. Het uitvoeren van alleen de maatregelen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van een bewustwordingsprogamma.
  • Het juiste niveau ontbreekt. Binnen je gemeente heb je te maken met verschillende type mensen en niveaus. Bewustwordingsprogramma’s zijn vaak te algemeen gericht op de organisatie en sluiten onvoldoende aan op de werkzaamheden van individuele medewerkers. Het is belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. What’s in it for me?
  • De voortgang en effectiviteit van het programma wordt niet gemeten. Vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, namelijk of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Terwijl dit wel belangrijk is. Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders? Zo kun je maatregelen, indien gewenst per afdeling of onderwerp, bijstellen indien nodig.
  • Men heeft onrealistische verwachtingen over menselijk gedrag. Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Maar het goede nieuws is, het kan wel. Wist je bijvoorbeeld dat je iets 100 keer anders moet hebben uitgevoerd, voordat het nieuwe gedrag een gewoonte is geworden?
  • Men heeft onrealistische verwachtingen van het bewustwordingsprogramma. Vaak heersen er diverse verwachtingen over bewustwordingsprogramma’s. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een programma op maat werkt vaak beter.
  • Bewustwording wordt gezien als achtergrondruis: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij mensen.

Maar hoe maak je bewustwording dan wel tot een succes?
Allereerst moet er binnen organisaties een sterke veiligheidscultuur worden gecreëerd; een cultuur waar medewerkers risico’s en bedreigingen en zorgvuldige omgang met persoonsgegevens meewegen als onderdeel van hun dagelijkse routine. Om een goede veiligheidscultuur binnen je organisatie op te bouwen, is een structurele cultuurverandering nodig. Dit is geen makkelijke opgave, want een cultuur kun je niet van de een op de andere dag veranderen. Normen en waarden veranderen pas als een nieuwe werkwijze over een periode heeft laten zien succesvol te zijn. Dit is een langdurig proces waarvoor een integrale aanpak en veel deskundige inzet nodig zijn. Wil je praktische informatie over hoe je aan de slag kunt om een informatiebewuste veiligheidscultuur te creëren én vast te houden? Lees dan ons boek ‘Gemeenten. Bewustzijn. Privacy.

Toolkit ‘Behaviour by Design’
Veel gemeenten hebben behoefte aan duidelijke richtlijnen met betrekking tot een goede aanpak om het beveiligingsbewustzijn te verhogen. Om gemeenten te helpen bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma rond informatiebeveiliging heeft de IBD daarom de Handreiking ‘Verhogen bewustzijn informatiebeveiliging’ en bijhorende Toolkit ‘Behaviour by Design’ ontwikkeld. Deze middelen bieden gemeenten passende hulp door middel van een gestructureerde aanpak. In de handreiking wordteen aanpak gepresenteerd om structureel aandacht te geven aan het verhogen van beveiligingsbewustzijn. Deze aanpak kent de volgende fasen:

1. De ontwerpfase

In deze fase worden de te beveiligen belangen en behoeften vastgesteld, de belangrijkste onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In dit hoofdstuk wordt o.a. ingegaan op:

  • de strategie die gevolgd gaat worden
  • de structuur van het bewustwordingsprogramma
  • het bepalen van de inhoud van het bewustwordingsprogramma
  • het opstellen van een plan
  • het stellen van prioriteiten
  • de budgettering
  • commitment en draagvlak
  • de rol van HRM en Communicatie.

2. De ontwikkelingsfase

In deze fase wordt een plan opgesteld om het bewustwordingsprogramma vorm te geven. Nadat het bewustwordingsprogramma is ontworpen, moet het ondersteunende materiaal worden ontwikkeld. Het aandachtspunt hierbij is dat dit materiaal moet aansluiten bij de belevingswereld, het kennisniveau én de functie van de medewerker. Denk hierbij aan generiek inzetbare middelen en specifieke middelen voor een bepaalde doelgroep.

3. De implementatiefase

Wanneer er een bewustwordingsprogramma is ontwikkeld, moet er uitvoering worden gegeven aan het opgestelde plan. Ook moet dit binnen de organisatie uitgelegd en gecommuniceerd worden. In deze fase worden de stakeholders en ambassadeurs betrokken bij de uitrol van het programma.

4. De evaluatie- en onderhoudsfase

In deze laatste fase wordt het effect van het bewustwordingsprogramma beoordeeld. Deze fase maakt van het geheel een cyclisch en herhalend proces. Want, bewustwording is en blijft een continu proces. Actualiseer en verbeter je bewustwordingsprogramma daarom met regelmaat. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.


Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…

Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?

Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn…

Risicoanalyse aan de hand van het MAPGOOD-model

Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om d…

Model DPIA Rijksdienst 2.0; what’s new?

De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA). De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze …