2. Inleiding
Organisaties kunnen de integriteit, vertrouwelijkheid en
beschikbaarheid van informatie in IT systemen en
netwerken en de veiligheid van personeel, materieel,
gebouwen en processen niet garanderen zonder dat iedere
medewerker zijn rol en verantwoordelijkheid begrijpt en
adequaat is opgeleid.
De menselijke factor is een dermate grote kritieke
succesfactor dat het noodzakelijk is om de organisatie een
bewustwordingsprogramma te laten volgen.
The only real security that a man can
have in this world is a reserve of
knowledge, experience and ability. (Henry
Ford)
3. Situatiebeschrijving
• Organisatiebewustzijn over informatieveiligheid en –
beveiliging zeer laag.
• Kennis over eigen handelingsperspectief is beperkt
• Risico-self assessments vinden (in beperkte mate)
plaats
• Aanwezige richtlijnen zijn onvoldoende ontsloten en
daarmee onvoldoende bekend
• Technische programma’s zijn onvoldoende zichtbaar
• Te weinig gerichte aandacht voor security bewustzijn
en handelingsperspectief.
4. Opdracht
Ontwikkel interne communicatieaanpak die het gewenste
bewustzijn en gedrag op het gebied van informatie-veiligheid en
–beveiliging (vanaf nu ‘security’) bevordert.
De medewerker
•begrijpt en ervaart het belang van security
•begrijpt en herkent de belangrijkste security risico’s voor
zijn/haar dagelijkse werkzaamheden
•levert zijn/haar bijdrage aan het vereiste beveiligingsniveau
van de organisatie
•signaleert en meldt (potentiële) incidenten
Beoogde resultaat
In twee jaar van een nagenoeg onbewust onbekwame
organisatie naar een organisatie die zich bewust is van de
risico’s en pro-actief handelt om deze te voorkomen dan wel op
te lossen.
5. Risico’s en remedies (1)
Geen flankerende ondersteuning
Security-medewerkers (front line) moeten heldere instructies
en klantvriendelijke handvatten hebben voor het helpen van
mensen bij meldingen. Uitgangspunt moet persoonlijke
communicatie zijn (niet systemische).
Eerst organiseren, dan communiceren.
Ongeorganiseerd antwoord op weerstand
Vaak is weerstand een vorm van betrokkenheid. In het geval
van beveiliging is weerstand dikwijls onbekendheid met de
materie of luiheid.
niet oplossen met meer communicatie maar met een
passend handhavingsbeleid
Discrepantie gepercipieerde en werkelijke staat security
Er bestaat vaak discrepantie tussen de perceptie van
specialisten over de technische staat van beveiliging van
systemen en het daadwerkelijke beveiligingsniveau
opstellen van en communiceren over security vereisten (ook
leveranciers)
6. Risico’s en remedies (2)
(Informatie)beveiliging beperkt je in je dagelijks werk
geef goede handelingsperspectieven en alternatieve
oplossingen voor ‘zaken die niet meer mogen’ – daar zit een
gebruikersbehoefte achter, niet per definitie onwil om mee te
werken.
Het melden van incidenten geeft gedoe, kost tijd en kan
op ‘klikken’ lijken
maak het meldproces zo simpel mogelijk, geef feedback over
de melding en oplossing; zorg voor vertrouwelijke afhandeling
van de melding.
Eigen middelen, persoonlijk gebruik bedrijfsmiddelen
Werk en privé lopen in elkaar over. Organisaties bieden niet
iedereen de middelen waar men graag mee werkt. Veel
mensen werken (ook) met eigen middelen.
maak duidelijk wat de specifieke beveiligingseisen en
-middelen zijn voor eigen middelen
7. Strategie
Interdisciplinair en geïntegreerd
Om bewustzijn en gedrag (handelingsbekwaamheid)
effectief te kunnen sturen is gebruik gemaakt van het
Triade-model. Dit model stoelt op drie pijlers: motivatie
(willen), capaciteit (kunnen) en gelegenheid (mogen).
Maatregelen op één van de pijlers zijn zinloos als de
oorzaak van inactiviteit of foutief handelen liggen aan
gebrek aan capaciteit (vaardigheden) of gelegenheid
(tijd, faciliteiten of toestemming)
Intrinsiek Extrinsiek
Motivatie Interesse
Behoefte
Beloning/straf
waardering
Capaciteit Kennis, IQ, vaardigheden
Fysieke eigenschappen
Hulp(middelen)
Informatie
Gelegenheid Zelf gekozen
Tijd/ruimte/faciliteiten
Beschikbare tijd/
ruimte/ faciliteiten
8. Strategie
• Versterking van deze continue stroom door het bieden
van interventies die handelingsbekwaamheid (gedrag)
vergroten, afgestemd op specifieke doelgroepen en
passend bij de cultuur.
• Bewustzijn en handelingsbekwaamheid verhogen in
een organisatie is een langjarig proces. Kortstondige
impulsen (al dan niet thematisch) beklijven niet.
• Een continue stroom van berichtgeving onderstreept
naast inhoudelijke boodschappen dat security een
onderwerp is dat hoog op de agenda van de
organisatie staat.
9. Tactiek
Een strategie waarbij gekozen is om het bewustzijn en
handelings-perspectief zo veel mogelijk in te bedden in
het dagelijks werk en actualiteit vergt discipline.
• Zoveel mogelijk via de lijn (meeste impact)
• Zoveel mogelijk dialoog (draagvlak en duurzame
verandering)
• Zo min mogelijk nieuwe middelen (voorkomt
verwarring & versnippering)
• Voortdurende alertheid op (in- en externe)
aanknopingspunten
• ‘Gaten’ in de communicatiestroom opvullen met
onderwerpen die onafhankelijk van actualiteit
ingeschoten kunnen worden (i.e. content ‘op de
plank’).
• Slimme en alerte inzet interne social media
10. Interventies (uitgangspunten)
Variatie: de verschillende activiteiten dienen te variëren
Origineel: de activiteiten dienen origineel te zijn is een
manier om te verrassen
Consequent: de boodschap dient consequent te zijn en
te worden herhaald
Updated: de inhoud dient actueel, gedegen en concreet
te zijn
Sympathiek: de activiteiten dienen sympathie op te
wekken t.a.v. het onderwerp
11. Interventiematrix
MOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen)
Intrinsiek:
- interessant
wensen/verlangens/
behoeften
- doeleinden
-saldo positieve/
negatieve gevolgen
Extrinsiek:
Belangstelling
opgeroepen door
buiten de persoon
gelegen oorzaken
Beloning/straf
waardering
Intrinsiek:
- financiën
- kennis
- IQ
- fysieke
eigenschappen
Extrinsiek:
Hulp van buitenaf:
- financieel
- hulp(middelen)
- informatie
Intrinsiek:
Zelfgekozen tijd,
ruimte,
faciliteiten
Extrinsiek:
Beschikbare tijd,
ruimte,
faciliteiten
Doelgroep Doel
Senior
management
• Kennen de
persoonlijke
verantwoordelijkhe
den.
• kennis van
strategische
security risico’s
• kennen rol bij rol
security crisis
Veiligheidsdag Risico-assessment
afdelingen
Gevarieerd
aanbod van
instrumenten,
richtlijnen e.d.
waarmee mensen
gefaciliteerd
worden
Medewerkers met
klantcontact
• Privacy aspecten
herkennen en
weten hoe hierbij te
handelen
• Kennis hebben van
security aspecten in
relatie tot klanten
e-learning Richtlijnen Serious Game
Security
specialisten
• Weten welke relatie
er is tussen het niet
volgen van
processen en
onbeschikbaarheid
van processen en
diensten.
Hackdemonstraties Vakimpulsen bij
gespecialiseerde
bedrijven
Generieke security
opleiding
Nieuwe
medewerkers
• Omgaan met
vertrouwelijke
informatie.
• Gebruik van
security richtlijnen.
Security onderdeel
van de reguliere
introductiedag.
Serious Game
12. Middelen
Vakimpulsen
•Korte, krachtige – niet vrijblijvende – bijeenkomsten door
aansprekende specialisten gericht op voor het werkgebied
relevante informatie en kennis
Online middelen
•Themapagina intranet (beleidsdocumenten FAQ’s,
meldingsapplicaties)
•Digitale nieuwsbrief
•Tijdlijn (in van de talkstream (door iedereen in te zetten)
Veiligheidsdag (Senior Management)
Senior management bewust maken van security risico’s en hun
rol in het terugdringen van die risico’s (wet- en regelgeving,
techniek, fysiek en gedrag)
•Lezing cyber-autoriteit, live demo hacking, rollenspel security
crisis, phising expeditie etc.)
13. Middelen
Instructies front line security-medewerkers
•Uitvraagscripts, gesprekstechnieken
Fysiek materiaal
•personeelsmagazine
•Flyer 10 Golden Rules
Presentaties, debatten
•(Senior) Management meetings
•Security vast thema Introductieprogramma nieuwe
medewerkers
Video
•Narrowcasting
•‘YouTube’-kanaal op intranet
14. Middelen
Mystery Guest actie
Actie om zwakke plekken in de fysieke beveiliging te vinden en
benutten om zo de kwetsbaarheid van bedrijfsgevoelige
informatie aan te kunnen tonen en het bewustzijn bij directie en
medewerkers.
•Rapportage bevindingen
•Mystery Guest filmpje. Deels met verborgen camera’s
opgenomen, deels scripted. Confronterend op inhoud, niet op
personen; educatief.
Leeroplossingen
Serious Game. Het vermaak versterkt de beleving en daarmee
de overdracht van informatie
•E-learnings
•Security quizjes