Handleiding voor een succesvol bewustwordingsprogramma informatiebeveiliging

Bewustwordingsprogramma informatiebeveiliging: wat houdt het in?

Een bewustwordingsprogramma is een integraal onderdeel van het Informatiebeveiligingsplan. Een goed opgezet bewustwordingsprogramma voorziet in een reeks primaire stappen om de interne bewustwording te laten ontstaan en te vergroten.

Bewustwording betekent het bewust zijn van risico’s die er bestaan op het gebied van informatiebeveiliging. Bepaalde risico’s kunnen worden beperkt door het treffen van technische maatregelen. Maar veel risico’s liggen in het handelen als onderdeel van menselijk gedrag. Het bewustwordingsprogramma richt zich daarom vooral op het aspect menselijk gedrag. Hoe maak je medewerkers duidelijk, dat hun eigen gedrag voor een groot deel bepalend is voor de mate waarin risico’s worden gelopen op het gebied van informatiebeveiliging?

Doelstellingen van een bewustwordingsprogramma informatiebeveiliging

Het bewustwordingsprogramma ondersteunt daarbij niet alleen in het verhogen van het niveau van beveiligingsbewustzijn. Het heeft ook de volgende doelstellingen:

  • Kennis:
    • Medewerkers op de hoogte brengen van het onderwerp informatiebeveiliging in het
      algemeen;
    • Medewerkers op de hoogte brengen van het onderwerp informatiebeveiliging binnen hun
      specifieke bedrijf / organisatie (inclusief de regels voor informatiebeveiliging) in het
      bijzonder.
  • Houding:
    • Medewerkers zien het belang en de waarde van informatie voor de organisatie in.
    • Medewerkers zien in dat informatiebeveiliging onderdeel is van hun dagelijkse
      werkzaamheden.
  • Gedrag:
    • Medewerkers zetten zich in voor de verbetering van de informatiebeveiliging.
    • Medewerkers spreken elkaar aan op hun gedrag m.b.t. informatiebeveiliging.
    • Medewerkers dragen eigen ideeën aan tot verbetering van de informatiebeveiliging.

Fases die doorlopen moeten worden om de bewustwording te realiseren

Om deze doelstellingen te behalen en de gewenste bewustwording te realiseren is het essentieel om 7 fases te doorlopen.

Fase 1: Bewustzijn
Medewerkers zijn op de hoogte van het onderwerp informatiebeveiliging in het algemeen.
Fase 2: Begrijpen
Medewerkers zijn op de hoogte van het onderwerp informatiebeveiliging binnen hun specifieke organisatie (inclusief de regels voor informatiebeveiliging).
Fase 3: Waarderen
Medewerkers zien het belang en de waarde van informatie voor de organisatie in.
Fase 4: Eigenaarschap
Medewerkers zien in dat informatiebeveiliging onderdeel is van hun dagelijkse werkzaamheden.
Fase 5: Verbinden
Medewerkers zetten zich in voor de verbetering van de informatiebeveiliging.
Fase 6: Communiceren
Medewerkers spreken elkaar aan op hun gedrag m.b.t. informatiebeveiliging.
Fase 7: Ontwikkeling
Medewerkers dragen eigen ideeën aan tot verbetering van de informatiebeveiliging.

Eisen aan de communicatie

Om ervoor te zorgen dat de medewerkers van de organisatie alle fasen doorlopen, binnen de daarvoor gestelde periode, wordt een gedegen communicatieplan opgesteld. Hierbij is het van belang dat de communicatie over informatiebeveiliging gedurende alle fasen herkenbaar is. Daarom kiezen we voor de introductie van een ‘communicatielijn’, die de rode draad vormt in de communicatie over het onderwerp informatiebeveiliging. De communicatielijn krijgt een pakkende naam, een herkenbaar beeldmerk, duidelijke kernboodschappen per fase en een vaste afzender. Dit laatste versterkt het gevoel dat iemand regie heeft over de communicatie. We passen de communicatielijn toe in de bestaande communicatiemiddelen van de organisatie. Daarnaast ontwikkelen we enkele nieuwe middelen. Alle communicatie over het onderwerp informatiebeveiliging vindt voortaan plaats onder deze paraplu.

Daarnaast moet de communicatie over informatiebeveiliging zo concreet mogelijk worden gemaakt. Informatiebeveiliging is een vrij abstract onderwerp. Om medewerkers écht te betrekken bij het onderwerp en hen aan te zetten tot actie, is het nodig dat de communicatie duidelijk maakt op welke manier het onderwerp medewerkers raakt, wat zij aan verbeteringen hebben, etc. Om dit te bereiken, moeten de kernboodschappen zo concreet mogelijk zijn en passen bij de belevingswereld van medewerkers.

Communicatiemiddelen per fase

Per fase kunnen verschillende communicatiemiddelen worden ingezet.

Fase 1: Bewustzijn

Elementen van de kernboodschap in deze fase zijn: wat is informatiebeveiliging? Wat is de samenhang met wet- en regelgeving? Wat zijn mogelijke maatregelen?
Om deze boodschap goed over te brengen kunnen de volgende communicatiemiddelen worden ingezet:

  • Nieuwsflits
    Via een nieuwsflits worden de medewerkers geïnformeerd over informatiebeveiliging in het algemeen en beveiliging binnen de sector / branche.
    Bij het verschijnen van de nieuwsflits, komt ook een nieuwsbericht op intranet te staan. Op intranet komt een nieuw item: informatiebeveiliging. Deze bevat de kernboodschappen over het onderwerp en achtergrondinformatie.
  • Basispresentatie
    We ontwikkelen een basispresentatie over het onderwerp informatiebeveiliging. De presentatie bevat beelden van informatiebeveiligings-incidenten bij andere organisaties, maar ook voorbeelden of een case van de organisatie.

Fase 2: Begrijpen

Elementen van de kernboodschap in deze fase zijn: Hoe is het met de informatiebeveiliging gesteld (op basis van digitaal onderzoek), wat zijn de regels voor informatiebeveiliging en wat zijn (vernieuwde) protocollen voor het gebruik van internet, e-mail en mobiele apparatuur?
In deze fase worden de volgende middelen ingezet:

  • Digitaal onderzoek
    Voor de introductie van de regels voor informatiebeveiliging, onderzoeken we via een digitale enquête op intranet hoe het met deze thema’s is gesteld binnen de organisatie.
  • Posterronde
    Via (vloer)posters introduceren we het beeldmerk en via prikkelende stellingen de regels voor informatiebeveiliging.
  • Nieuwsbrief
    Via een nieuwsbrief informeren we de medewerkers over de uitkomsten van de digitale enquête en de regels voor informatiebeveiliging. Elke regel wordt kort uitgelegd. Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.

Fase 3: Waarderen

Elementen van de kernboodschap in deze fase: Hoe is het met de informatiebeveiliging binnen de organisatie gesteld (bezoek Mystery Guest)? Wat houden de regels voor informatiebeveiliging precies in? Wat zijn beveiligingsincidenten (zowel fysiek als ICT-gerelateerd) en hoe meld ik deze?
In deze fase worden de volgende middelen ingezet:

  • Bezoek Mystery Guest
    Tijdens deze fase van het bewustwordingsprogramma bezoekt een Mystery guest de organisatie. De taak van deze bezoeker is in enkele uren tijd de organisatie op een vriendelijke manier duidelijk te maken waar bewustwording ontbreekt. Verder wordt geprobeerd door het benaderen van medewerkers van de organisatie, hetzij telefonisch of persoonlijk (social engineering), informatie te verkrijgen. Hierbij geeft men zich uit bijvoorbeeld als een medewerker van de organisatie, externe dienstverlener of leverancier.
  • Nieuwsbrief
    Via een nieuwsbrief informeren we de medewerkers over de uitkomsten van het bezoek van de Mystery Guest. Elke regel wordt kort uitgelegd (een uitgebreidere beschrijving volgt via nieuwflitsen).
    Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.
  • Nieuwsflitsen
    In fase 3 geven we nieuwsflitsen uit voor alle regels voor informatiebeveiliging. Elke regel krijgt een eigen nieuwsflits. Elke twee weken verschijnt er één. In deze nieuwsflitsen komt een kadertje te staan met een definitie van het begrip beveiligingsincident en uitleg over waar deze gemeld kunnen worden.
  • Geheugensteun
    Elk bureau krijgt een geheugensteun. Dit is een eenvoudige kunststof kaarthouder. Hier komen de nieuwsflitsen steeds in te zitten. De achterkant van de geheugensteun wordt gebruikt voor andere organisatie brede informatie (bijvoorbeeld gebruiksaanwijzingen voor applicaties).
  • Posterronde 2
    Via (vloer)posters geven we elke week aandacht voor een nieuwe regel voor informatiebeveiliging. Hiervoor kunnen eventueel dezelfde posters worden gebruikt als in fase 2.
  • Boekje
    Als alle regels zijn gecommuniceerd via nieuwsflits, intranet en posters, maken we een boekje of overzicht van de regels voor de geheugensteun. Hierop komt algemene informatie over het onderwerp te staan (grotendeels een herhaling van de kernboodschappen van fasen 1, 2 en 3) en alle regels voor informatiebeveiliging.

Fase 4: Eigenaarschap

Elementen kernboodschap: Hoe pas ik de regels voor informatiebeveiliging toe? Is de informatiebeveiliging binnen de organisatie het afgelopen jaar verbeterd? Wat zijn ervaringen van collega’s?

In deze fase worden de volgende middelen ingezet:

  • Bezoek Mystery Guest
    Tijdens deze fase van het bewustwordingsprogramma bezoekt een Mystery guest de organisatie. De taak van deze bezoeker is in enkele uren tijd de organisatie op een vriendelijke manier duidelijk te maken waar bewustwording ontbreekt. Ook wordt telefonisch geprobeerd informatie te verkrijgen. Ook kan er gekeken worden of er verschil is ontstaan sinds de eerste mystery guest actie.
  • Digitaal onderzoek
    Via een digitale enquête op intranet onderzoeken we of het thema informatiebeveiliging en de regels voor informatiebeveiliging bekend zijn en worden toegepast. De vragenlijst heeft dezelfde opzet als die van fase 2. Daardoor kunnen we meten of het bewustzijn van de medewerkers is vergroot.
  • Nieuwsbrief
    Via een thema-editie van de nieuwsbrief informeren we de medewerkers over de uitkomsten van het bezoek van de Mystery Guest en de uitkomsten van de digitale enquête. Daarnaast blikken we terug op het eerste jaar van de bewustwordingscampagne. Ook maken we duidelijk welke uitdagingen nog voor ons liggen.Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.
  • Presentatie
    We ontwikkelen een nieuwe presentatie over het onderwerp informatiebeveiliging. De presentatie is helemaal gericht op de organisatie en bevat praktijkvoorbeelden en praktische informatie. De werkgroep informatiebeveiliging houdt deze presentatie op verzoek van afdelingen en taakgebieden: Zij kunnen een presentatie aanvragen. Daarnaast wordt de presentatie standaard gegeven in de bijeenkomsten voor nieuwe medewerkers die een paar keer per jaar plaatsvinden.

Fase 5, 6 en 7: Verbinden, Communiceren en Ontwikkeling

De middelen die in deze drie laatste fases worden ingezet worden meestal op basis van voortschrijdend inzicht ingevuld. Wat werkte in de eerdere fases wel / niet? De invulling is bijna altijd een maatwerk-traject, helemaal toegespitst op de situatie van de organisatie.

Impact op de verschillende organisatieonderdelen

Het bewustwordingsprogramma heeft betrekking op alle medewerkers en bestuurders van de organisatie, inclusief ingehuurd personeel, stagiaires en uitzendkrachten. Ook de buitendienst/dislocaties wordt in dit programma betrokken.

Het management heeft een voorbeeldfunctie voor de rest van de organisatie. Daarnaast fungeert één team als voorbeeld voor de rest van de organisatie. Dit team is tenslotte verantwoordelijk voor veel informatie.

Managementteam
Het management van de organisatie is verantwoordelijk voor het vaststellen en toezicht houden op de uitvoering van het programma. Het management zal het belang van informatiebeveiliging moeten uitspreken richting de medewerkers en dit zichtbaar moeten ondersteunen.

Verantwoordelijken informatiebeveiliging
De raad van bestuur is politiek verantwoordelijk. De inhoudelijke verantwoording voor het bewustwordingsprogramma ligt bij de werkgroep beveiliging. De functionaris informatiebeveiliging is het aanspreekpunt voor het onderwerp informatiebeveiliging. De werkgroep is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse organisatorische beveiligingsmaatregelen onder leiding van de beveiligingsfunctionaris.

Taakgebied facilitaire zaken
Team facilitaire zaken is verantwoordelijk voor het inrichten van de fysieke werkplekken. Tevens is facilitaire zaken verantwoordelijk voor het afvoeren van overtollig materiaal, oud papier en de fysieke beveiliging van de panden van de organisatie en deels de dislocaties. Bij invoering van onder andere clear-desk zullen er vragen komen over bijv. opbergmiddelen, reservesleutels e.d. Het team facilitaire zaken is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse fysieke beveiligingsmaatregelen. Tevens zal facilitaire zaken voor zover het betrokken is bij fysieke beveiliging een zeer grote rol spelen bij het onderdeel incidenten en specifiek het melden ervan.

Taakgebied HRM
Het taakgebied HRM is verantwoordelijk voor het personeelsbeleid. Bij aanstelling van medewerkers zal er gewezen dienen te worden op het belang van informatiebeveiliging tijdens het introductieprogramma. HRM is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse beveiligingsmaatregelen.

Taakgebied ICT
ICT beheert de laptops, tablets, telefoons, applicaties en infrastructuur. Ook is ICT verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse logische beveiligingsmaatregelen.

Taakgebied Communicatie
Tijdens het bewustwordingstraject zal zorgvuldig en regelmatig gecommuniceerd moet worden naar de medewerkers. Communicatie vindt altijd plaats in overleg met team communicatie. Dit communicatieplan vormt de leidraad voor de interne communicatie.