Cyberdreigingen veranderen voortdurend en je leest bijna dagelijks over datalekken in het nieuws. Dit zorgt voor uitdagingen binnen veel organisaties, zoals gemeenten. Want, hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken. Ontdek in deze blog hoe je deze ambassadeurs kunt inzetten en wat nodig is voor een succesvol ambassadeursprogramma.

Download hier een pdf van deze blog

Wat is een informatieveiligheidsambassadeur?

Collega’s die fungeren als informatieveiligheidsambassadeurs spelen een belangrijke en ondersteunende rol op het gebied van informatieveiligheid en privacy binnen een afdeling of organisatieonderdeel. Ze zijn erg belangrijk voor het succes van bewustwordingsprogramma’s en kunnen een grote impact hebben. Omdat ze direct contact hebben met collega’s over deze onderwerpen, kunnen ze op de volgende manieren bijdragen:

• Bewustwording vergroten: Ambassadeurs helpen om het bewustzijn van informatieveiligheid en privacy te vergroten. Zij kunnen informatie van bijvoorbeeld een (Chief) Information Security Officer (CISO/ISO) of Privacy Officer vertalen naar wat dit concreet kan betekenen voor collega’s op een bepaalde afdeling.
• Gedragsverandering stimuleren: Door het goede voorbeeld te geven en veilig gedrag te stimuleren, kunnen ambassadeurs een grote impact hebben op het gedrag van medewerkers. Als zij in hun werk laten zien dat ze op de juiste manier handelen op het gebied van informatieveiligheid en privacy, kunnen ze anderen inspireren en motiveren om hetzelfde te doen. Dit leidt tot een informatieveilige cultuur. Doordat de ambassadeurs een aparte functie/status hebben, is het ook mogelijk dat zij collega’s aanspreken op hun gedrag. In de praktijk merk ik wel vaak dat mensen het moeilijk vinden om collega’s aan te spreken op hun gedrag of werkwijze, omdat ze collega’s zijn en niet ‘betweterig’ willen overkomen. Maar wanneer het voor iedereen duidelijk is dat zij deze rol vervullen en het aanspreken een taak is die bij de rol hoort, wordt het wat makkelijker om te doen. Het is uiteraard wel belangrijk dat de ambassadeur dit niet autoritair doet, maar kijkt en luistert naar het mogelijke onderliggende probleem dat het gedrag veroorzaakt.
• Ondersteuning bieden bij incidenten: Ambassadeurs spelen een belangrijke rol bij het ondersteunen van medewerkers bij het melden van veiligheidsincidenten, zoals datalekken. Ze kunnen als eerste aanspreekpunt dienen in geval van een datalek en helpen bij reageren hierop.
• Continu verbeteren: Ambassadeurs dragen bij aan het continu verbeteren van de informatieveiligheids- en privacyprocessen binnen de organisatie. Door feedback van collega’s te verzamelen en te delen, kunnen ambassadeurs helpen bij het verbeteren van zwakke punten en worden er procedures gecreëerd die daadwerkelijk aansluiten op de werksituatie.

Wat is een ambassadeursprogramma?

Een ambassadeursprogramma houdt in dat je medewerkers, of externe partners, strategisch inzet om de missie en doelen van de gemeente op het gebied van informatiebeveiliging en privacy te ondersteunen en promoten. Binnen deze context betekent dit dat ambassadeurs worden ingezet om bewustzijn te vergroten, best practices te delen en het goede voorbeeld te geven als het gaat om veilig gedrag en naleving van regels op het gebied van informatieveiligheid en privacy.

Bouwstenen van een succesvol ambassadeursprogramma

Een succesvol ambassadeursprogramma bestaat uit een aantal belangrijke bouwstenen (randvoorwaarden). In deze blog neem ik jullie graag mee door deze bouwstenen, zodat je hier als gemeente zelf mee aan de slag kunt.

1. Het bepalen van je strategie en doelen
   Het opzetten van een succesvol ambassadeursprogramma begint met het bepalen van een strategie en heldere doelen. Waar wil je je ambassadeursnetwerk voor inzetten? Wil je je richten op langetermijndoelen, zoals het verhogen van bewustzijn rondom informatieveiligheid en privacy of het bevorderen van een cultuur van naleving en verantwoordelijkheid. Of wil je je richten op kortetermijndoelen, zoals het verhogen van het aantal meldingen van datalekken?
   
   
2. Het betrekken van leidinggevenden
   Het betrekken van leidinggevenden (of proceseigenaren) bij het ambassadeursprogramma is belangrijk voor het succes ervan. Leidinggevenden kunnen helpen om het belang van het programma te benadrukken en zorgen ervoor dat ambassadeurs de nodige middelen, tijd en autoriteit hebben om hun rol goed te vervullen.
   
   
3. Het selecteren van de juiste ambassadeurs
   Het succes van het programma hangt af van de gekozen ambassadeurs. Ambassadeurs moeten affiniteit hebben met informatieveiligheid en privacy en invloed hebben binnen de afdeling. Ze moeten de ruimte krijgen om tijd en energie te steken in het aanmoedigen van informatieveilig gedrag. Je kunt op basis van deze punten zelf een groep mensen aanwijzen als ambassadeurs of kiezen voor vrijwillige deelname. Ook kan je een afweging maken of je interne of externe ambassadeurs wilt inzetten, beiden hebben voordelen. Interne ambassadeurs zijn bekend met de organisatie en processen, terwijl externe ambassadeurs brede expertise hebben in het vakgebied en afdelingen kunnen ondersteunen bij de implementatie van beleid op het gebied van informatiebeveiliging en privacy. In overleg met een CISO/ISO/PO kan een jaarprogramma worden opgesteld voor bewustwording op de verschillende afdelingen, waaraan de ambassadeur gedurende die periode kan werken. Dit zorgt ervoor dat de ambassadeur weet wat hij kan doen en dat dit wordt afgestemd met de organisatiebrede onderwerpen die behandeld worden.
   
   
4. Zorg voor training en ondersteuning
   Om de rol als ambassadeur goed te vervullen, is het belangrijk dat ambassadeurs de juiste kennis en vaardigheden hebben. Zo moeten ze o.a. kennis hebben van de procedures en best practices op het gebied van informatiebeveiliging en privacy, ook specifiek voor hun eigen afdeling. Bied daarom regelmatig sessies aan waarin ambassadeurs concrete handvatten en tools krijgen om collega’s veiliger te laten werken. Deze sessies kunnen bijvoorbeeld gegeven worden door de CISO/ISO of PO. Ook hier is een jaarplanning waarin de belangrijke onderwerpen zijn uitgewerkt een goede basis.
   
   
5. Creëer een gevoel van betrokkenheid
   Het creëren van een gevoel van betrokkenheid onder ambassadeurs kan helpen hen gemotiveerd te houden. Organiseer bijvoorbeeld met regelmaat bijeenkomsten, netwerkevenementen of teamactiviteiten waar ambassadeurs ervaringen kunnen delen en van elkaar kunnen leren. Het is belangrijk dat de ervaringen van de verschillende afdelingen ook teruggekoppeld worden naar de CISO/ISO/PO om ervoor te zorgen dat mogelijke onwerkbare procedures op het gebied van informatiebeveiliging en privacy aan het licht komen. Op deze manier kunnen procedures worden aangepast in plaats van dat de collega’s de procedures vermijden.
   
   
6. Zorg voor goede communicatie
   Je wilt natuurlijk dat je ambassadeurs de juiste boodschap verspreiden. Zorg daarom voor een heldere communicatieboodschap, die consistent, duidelijk en overtuigend is. Verspreid deze boodschap via verschillende communicatiemiddelen, zoals nieuwsbrieven, intranet, sociale media en interne bijeenkomsten. Elk jaar kun je als organisatie een jaarplan opstellen dat de verschillende onderwerpen per maand of kwartaal uitwerkt.
   
   
7. Maak gebruik van technologie
   Veel organisaties maken gebruik van technologieën zoals intranet, samenwerkingsplatforms (zoals MS Teams) en andere mobiele apps om de communicatie en samenwerking tussen medewerkers te verbeteren en snel informatie te verspreiden. Deze tools maken het makkelijker voor ambassadeurs om contact te houden en best practices te delen.
   
   
8. Zorg voor beloning en erkenning
   Zet je ambassadeurs in het zonnetje door ze te belonen en te bedanken voor hun inzet. Hierdoor blijven ze gemotiveerd, wat weer anderen kan stimuleren om ook ambassadeur te worden. Het is ook mogelijk om een rotatie van ambassadeurs op een afdeling te implementeren in plaats van dat het altijd dezelfde persoon is. Wellicht kan deze rol elk jaar door iemand anders worden vervuld.
   
   
9. Evalueer regelmatig
   Meet de effectiviteit van je ambassadeursprogramma door regelmatig te evalueren. Naar aanleiding van deze evaluaties kan je verbeteringen doorvoeren waar nodig. Hiermee voorkom je ook dat een ambassadeursprogramma wordt opgezet maar na verloop van tijd ‘doodbloed’, wat zonde zou zijn. Bespreek ook met de ambassadeurs welke onderwerpen belangrijk zijn voor het volgende jaarplan, zodat de relevante onderwerpen die op de werkvloer spelen worden meegenomen.
   
   
10. Zorg voor voldoende budget en middelen
    Dit is essentieel voor het succes van het programma. Hierbij gaat het niet alleen om financiële middelen, maar ook om tijd en personele middelen. Het is belangrijk dat je een realistisch budget hebt dat rekening houdt met alle onderdelen van het programma, van training en communicatie tot beloningen en ondersteuning.
    

In het kort

Informatieveiligheidsambassadeurs kunnen de sleutel tot succes zijn in organisaties om veilig gedrag op het gebied van security en privacy te stimuleren. Zij zijn een onderdeel van het creëren van een veilige cultuur waarin collega’s elkaar kunnen aanspreken op onveilig gedrag en waarin collega’s elkaar aanmoedigen om incidenten te melden en procedures te verbeteren.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P kan je helpen bij het ontwikkelen en opzetten van een ambassadeursprogramma. Neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.