In veel organisaties wordt het belang van bewustwording steeds weer benadrukt, vooral als het gaat om informatiebeveiliging en privacy. Je hoort vaak: ‘dit vraagt om bewustwording’. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloopt.” Maar is dit echt bewustwording? En werkt het ook echt? In deze blog gaan we hier dieper op in.
Download hier een pdf van deze blog
Wat is bewustwording?
De menselijke factor speelt al langere tijd een belangrijke rol in informatiebeveiliging en privacy. Veel incidenten worden namelijk veroorzaakt door menselijk fouten, zoals het klikken op phishing-links, ongeautoriseerd toegang verlenen tot systemen, of geld overmaken aan een oplichter die zich voordoet als CEO. Om je organisatie goed te beschermen, is het essentieel dat medewerkers zich bewust zijn van deze digitale gevaren. Het doel van bewustwording is ervoor te zorgen dat medewerkers begrijpen dat ze bijvoorbeeld werken met persoonsgegevens van anderen en zich bewust zijn van de risico’s die hun werkzaamheden met zich meebrengen. Vaak worden er organisatiebrede bewustwordingsprogramma’s opgezet met algemene adviezen die voor iedereen gelden. En voor een deel van deze adviezen is dit ook zeker waar, zoals het vergrendelen van je scherm als je je werkplek verlaat, het zichtbaar dragen van je toegangspas, of het gebruik van sterke wachtwoorden. Maar als dit de enige boodschap is, blijft het voor veel medewerkers oppervlakkig en algemeen.
Bewustwording is maatwerk
Elke rol binnen een organisatie brengt zijn eigen specifieke risico’s met zich mee. Een IT-beheerder loopt bijvoorbeeld heel andere risico’s dan iemand van de HR-afdeling. Als een hacker via de IT-beheerder weet binnen te dringen, kan dat veel meer schade aanrichten, omdat deze persoon vaak meer toegangsrechten heeft. Aan de andere kant heeft de HR-medewerker dagelijks te maken met persoonsgegevens waarvan hij zich extra bewust moet zijn. Het versturen van dezelfde boodschap naar beide medewerkers is dan niet de meest effectieve manier om hen écht bewust te maken van de gevaren die zij dagelijks tegenkomen. Bewustwordingsactiviteiten moet verder gaan dan algemene regels, ze moeten context bieden die specifiek gericht is op de werkzaamheden van de medewerker. Pas dan worden ze echt waardevol en zorg je ervoor dat iedereen zich bewust is van de risico’s en verantwoordelijkheden die bij zijn of haar rol horen.
Voor een IT-beheerder of (functioneel)applicatiebeheerder is het belangrijk om zich bewust te zijn van de risico’s die verbonden zijn aan de toegangsrechten en systemen waar hij mee werkt. Een tip over schermbeveiliging raakt niet de kern van zijn werk. Maar een sessie over wat er kan gebeuren als een hacker via zijn account binnenkomt, of over hoe kwetsbaarheden in die systemen kunnen leiden tot datalekken, is veel waardevoller. Voor een HR-medewerker is het belangrijk om te weten hoe hij veilig met persoonsgegevens omgaat, gezien de hoeveelheid privacygevoelige informatie die hij dagelijks verwerkt. Zonder specifieke aandacht voor zijn werkcontext neemt de kans op fouten, en dus op datalekken, toe.
Vanuit IB&P organiseren we ook een training die speciaal gericht is op bewustwording onder applicatiebeheerders. Zie hier voor meer informatie.
Bewustwording draait om gedragsverandering
Maar bewustwording alleen is niet genoeg. Het herkennen van digitale risico’s is de eerste stap, maar het is pas echt effectief als medewerkers ook reageren op de risico’s die ze waarnemen. Uiteindelijk draait het bij informatiebeveiliging en privacy om de gedragsverandering. En als je het gedrag van mensen wilt beïnvloeden, moet je ze niet alleen kennis bijbrengen, maar ook inspireren om actie te ondernemen. Medewerkers moeten begrijpen en voelen wat de gevolgen zijn van onveilig en onverantwoord gedrag in hun digitale en fysieke omgeving en hoe ze hun gedrag kunnen aanpassen. Als ze dat begrijpen, zullen ze ook daadwerkelijk stappen ondernemen om risico’s te minimaliseren.
Een effectief bewustwordingsprogramma sluit daarom aan bij de dagelijkse werkzaamheden van de medewerker en de bijbehorende risico’s. Medewerkers moeten zich verantwoordelijk voelen voor informatiebeveiliging en privacy binnen hun eigen taken en omgeving. Dit kun je bereiken door maatwerk, zoals gerichte workshops, specifieke cases of door medewerkers zelf te betrekken bij het identificeren van risico’s in hun werkprocessen. Zo creëer je een cultuur waarin informatiebeveiliging en privacy serieus worden genomen, omdat het direct verband houdt met hun werk. Maar hoe pak je dat aan?
Stappenplan voor het opzetten van een effectief bewustwordingsprogramma
Wil je een effectief bewustwordingsprogramma opzetten die rekening houdt met de specifieke werkcontext, verantwoordelijkheden en risico’s van je medewerkers? Volg dan deze tien stappen:
- Start met een risicoanalyse: Begin met een risicoanalyse om de grootste risico’s binnen je organisatie te identificeren. Dit helpt om de bewustwordingsboodschappen specifiek en gericht te maken, in plaats van algemeen en weinig relevant.
- Bepaal je doelgroep en pas de boodschap aan: Binnen een gemeente werken verschillende afdelingen met verschillende verantwoordelijkheden, van burgerzaken tot IT en van ruimtelijke ordening tot de belastingdienst. Het is belangrijk om per afdeling of functie te bepalen welke risico’s voor hen het meest relevant zijn. Pas de boodschap hierop aan.
- Bepaal het juiste niveau: Naast verschillende afdelingen heb je ook te maken met verschillende typen mensen en niveaus. Pas je boodschap aan op hun snelheid van leren en gedragsverandering. Gedragsverandering in een organisatie is vooral succesvol als het leidt tot cultuurverandering en dat heeft tijd nodig. Gemiddeld duurt het een aantal jaar voordat de verandering echt zichtbaar en voelbaar wordt, afhankelijk van de omvang van de gemeente en van de context waarin de gemeente zich bevindt.
- Zorg voor de juiste middelen: Verschillende medewerkers leren op verschillende manieren. Gebruik daarom meerdere leermiddelen, zoals praktische workshops en trainingen waarin medewerkers leren hoe ze veilig kunnen werken binnen hun specifieke taken. Je kunt ook calamiteitenoefeningen organiseren, zodat medewerkers ervaren wat er gebeurt bij een beveiligingsincident en hoe ze moeten reageren. Daarnaast kun je gebruik maken van spelelementen zoals quizzes of uitdagingen, om bewustwording op een leuke en interactieve manier te bevorderen.
- Zorg voor commitment bij management en bestuur: Managers en bestuurders spelen een essentiële rol als het gaat om gedragsverandering. Goed voorbeeld doet immers goed volgen. Zorg ervoor dat zij betrokken zijn en het belang van informatiebeveiliging en privacy actief uitdragen. Dit helpt medewerkers om het niet alleen te zien als iets wat ze ‘moeten’ doen, maar als iets wat deel uitmaakt van de organisatiecultuur. Zet hen ook in als ambassadeur en maak bijvoorbeeld gebruik van persoonlijke berichten of video’s van het management die uitleggen waarom informatiebeveiliging en privacy belangrijk zijn voor de gemeente.
- Maak het onderdeel van de cultuur: Verbind het bewustwordingsprogramma aan de bredere doelen van de organisatie, zodat medewerkers het belang van bewustwording niet zien als een aparte activiteit, maar als een integraal onderdeel van de organisatiecultuur.
- Maak bewustwording tastbaar met concrete praktijkvoorbeelden: Maak gebruik van echte voorbeelden van informatiebeveiligingsincidenten binnen de gemeentelijke sector om de risico’s tastbaar te maken. Dit maakt de dreiging realistischer en helpt medewerkers om risico’s serieuzer te nemen. Nodig bijvoorbeeld iemand uit van zo’n gemeente om hun ervaringen te delen.
- Zorg voor herhaling en variatie: Actualiseer en verbeter je bewustwordingsprogramma. Technologie ontwikkelt zich snel en ook binnen de organisatie kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit te veel doen. Regelmatige herhaling en variatie in de manier waarop je de boodschap brengt zijn essentieel. Licht bijvoorbeeld elke maand een ander thema uit en maak gebruik van verschillende middelen om de boodschap regelmatig te herhalen, zoals posters, intranet en korte video’s.
- Monitor en evalueer de effectiviteit van je programma: Hoe effectief is je bewustwordingsprogramma? Bereik je de medewerkers en slaan ze het geleerde op en handelen ze anders? Monitor en evalueer het succes van je programma door feedback te verzamelen van medewerkers over wat ze hebben geleerd en wat ze nuttig vonden. Analyseer daarnaast (bijna-)incidenten om te zien of er verbeteringen zijn in gedrag en bewustwording.
- Maak gebruik van ambassadeurs: Collega’s die fungeren als informatieveiligheidsambassadeurs spelen een belangrijke en ondersteunende rol op het gebied van informatieveiligheid en privacy binnen een afdeling of organisatieonderdeel. Hun rol is belangrijk voor het succes van bewustwordingsprogramma’s, omdat zij direct contact hebben met collega’s en op verschillende manieren kunnen bijdragen. Lees in onze blog ‘De kracht van ambassadeurs’ hoe je ambassadeurs effectief kunt inzetten en wat nodig is voor een succesvol ambassadeursprogramma.
Door bovenstaande stappen te volgen, creëer je een bewustwordingsprogramma dat echt impact maakt en medewerkers helpt om veilig en verantwoordelijk om te gaan met informatie binnen hun eigen werkcontext en verantwoordelijkheden.
Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen als het gaat om bewustwording of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.
- Wat is bewustwording eigenlijk? - 21 oktober 2024
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!