SlideShare a Scribd company logo

Verhogen securitybewustzijn

Download as PPT, PDF
Annebeth Wierenga
Annebeth Wierenga

Verhogen securitybewustzijn bij medewerkers

Leadership & Management
1 of 14
Verhogen van het securitybewustzijn bij medewerkers Annebeth Wierenga 2014
Inleiding Organisaties kunnen de integriteit, vertrouwelijkheid en beschikbaarheid van informatie in IT systemen en netwerken en de veiligheid van personeel, materieel, gebouwen en processen niet garanderen zonder dat iedere medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is opgeleid. De menselijke factor is een dermate grote kritieke succesfactor dat het noodzakelijk is om de organisatie een bewustwordingsprogramma te laten volgen. The only real security that a man can have in this world is a reserve of knowledge, experience and ability. (Henry Ford)
Situatiebeschrijving • Organisatiebewustzijn over informatieveiligheid en – beveiliging zeer laag. • Kennis over eigen handelingsperspectief is beperkt • Risico-self assessments vinden (in beperkte mate) plaats • Aanwezige richtlijnen zijn onvoldoende ontsloten en daarmee onvoldoende bekend • Technische programma’s zijn onvoldoende zichtbaar • Te weinig gerichte aandacht voor security bewustzijn en handelingsperspectief.
Opdracht Ontwikkel interne communicatieaanpak die het gewenste bewustzijn en gedrag op het gebied van informatie-veiligheid en –beveiliging (vanaf nu ‘security’) bevordert. De medewerker •begrijpt en ervaart het belang van security •begrijpt en herkent de belangrijkste security risico’s voor zijn/haar dagelijkse werkzaamheden •levert zijn/haar bijdrage aan het vereiste beveiligingsniveau van de organisatie •signaleert en meldt (potentiële) incidenten Beoogde resultaat In twee jaar van een nagenoeg onbewust onbekwame organisatie naar een organisatie die zich bewust is van de risico’s en pro-actief handelt om deze te voorkomen dan wel op te lossen.
Risico’s en remedies (1) Geen flankerende ondersteuning Security-medewerkers (front line) moeten heldere instructies en klantvriendelijke handvatten hebben voor het helpen van mensen bij meldingen. Uitgangspunt moet persoonlijke communicatie zijn (niet systemische). Eerst organiseren, dan communiceren. Ongeorganiseerd antwoord op weerstand Vaak is weerstand een vorm van betrokkenheid. In het geval van beveiliging is weerstand dikwijls onbekendheid met de materie of luiheid. niet oplossen met meer communicatie maar met een passend handhavingsbeleid Discrepantie gepercipieerde en werkelijke staat security Er bestaat vaak discrepantie tussen de perceptie van specialisten over de technische staat van beveiliging van systemen en het daadwerkelijke beveiligingsniveau opstellen van en communiceren over security vereisten (ook leveranciers)
Risico’s en remedies (2) (Informatie)beveiliging beperkt je in je dagelijks werk geef goede handelingsperspectieven en alternatieve oplossingen voor ‘zaken die niet meer mogen’ – daar zit een gebruikersbehoefte achter, niet per definitie onwil om mee te werken. Het melden van incidenten geeft gedoe, kost tijd en kan op ‘klikken’ lijken maak het meldproces zo simpel mogelijk, geef feedback over de melding en oplossing; zorg voor vertrouwelijke afhandeling van de melding. Eigen middelen, persoonlijk gebruik bedrijfsmiddelen Werk en privé lopen in elkaar over. Organisaties bieden niet iedereen de middelen waar men graag mee werkt. Veel mensen werken (ook) met eigen middelen. maak duidelijk wat de specifieke beveiligingseisen en -middelen zijn voor eigen middelen
Strategie Interdisciplinair en geïntegreerd Om bewustzijn en gedrag (handelingsbekwaamheid) effectief te kunnen sturen is gebruik gemaakt van het Triade-model. Dit model stoelt op drie pijlers: motivatie (willen), capaciteit (kunnen) en gelegenheid (mogen). Maatregelen op één van de pijlers zijn zinloos als de oorzaak van inactiviteit of foutief handelen liggen aan gebrek aan capaciteit (vaardigheden) of gelegenheid (tijd, faciliteiten of toestemming) Intrinsiek Extrinsiek Motivatie Interesse Behoefte Beloning/straf waardering Capaciteit Kennis, IQ, vaardigheden Fysieke eigenschappen Hulp(middelen) Informatie Gelegenheid Zelf gekozen Tijd/ruimte/faciliteiten Beschikbare tijd/ ruimte/ faciliteiten
Strategie • Versterking van deze continue stroom door het bieden van interventies die handelingsbekwaamheid (gedrag) vergroten, afgestemd op specifieke doelgroepen en passend bij de cultuur. • Bewustzijn en handelingsbekwaamheid verhogen in een organisatie is een langjarig proces. Kortstondige impulsen (al dan niet thematisch) beklijven niet. • Een continue stroom van berichtgeving onderstreept naast inhoudelijke boodschappen dat security een onderwerp is dat hoog op de agenda van de organisatie staat.
Tactiek Een strategie waarbij gekozen is om het bewustzijn en handelings-perspectief zo veel mogelijk in te bedden in het dagelijks werk en actualiteit vergt discipline. • Zoveel mogelijk via de lijn (meeste impact) • Zoveel mogelijk dialoog (draagvlak en duurzame verandering) • Zo min mogelijk nieuwe middelen (voorkomt verwarring & versnippering) • Voortdurende alertheid op (in- en externe) aanknopingspunten • ‘Gaten’ in de communicatiestroom opvullen met onderwerpen die onafhankelijk van actualiteit ingeschoten kunnen worden (i.e. content ‘op de plank’). • Slimme en alerte inzet interne social media
Interventies (uitgangspunten) Variatie: de verschillende activiteiten dienen te variëren Origineel: de activiteiten dienen origineel te zijn is een manier om te verrassen Consequent: de boodschap dient consequent te zijn en te worden herhaald Updated: de inhoud dient actueel, gedegen en concreet te zijn Sympathiek: de activiteiten dienen sympathie op te wekken t.a.v. het onderwerp
Interventiematrix MOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen) Intrinsiek: - interessant wensen/verlangens/ behoeften - doeleinden -saldo positieve/ negatieve gevolgen Extrinsiek: Belangstelling opgeroepen door buiten de persoon gelegen oorzaken Beloning/straf waardering Intrinsiek: - financiën - kennis - IQ - fysieke eigenschappen Extrinsiek: Hulp van buitenaf: - financieel - hulp(middelen) - informatie Intrinsiek: Zelfgekozen tijd, ruimte, faciliteiten Extrinsiek: Beschikbare tijd, ruimte, faciliteiten Doelgroep Doel Senior management • Kennen de persoonlijke verantwoordelijkhe den. • kennis van strategische security risico’s • kennen rol bij rol security crisis Veiligheidsdag Risico-assessment afdelingen Gevarieerd aanbod van instrumenten, richtlijnen e.d. waarmee mensen gefaciliteerd worden Medewerkers met klantcontact • Privacy aspecten herkennen en weten hoe hierbij te handelen • Kennis hebben van security aspecten in relatie tot klanten e-learning Richtlijnen Serious Game Security specialisten • Weten welke relatie er is tussen het niet volgen van processen en onbeschikbaarheid van processen en diensten. Hackdemonstraties Vakimpulsen bij gespecialiseerde bedrijven Generieke security opleiding Nieuwe medewerkers • Omgaan met vertrouwelijke informatie. • Gebruik van security richtlijnen. Security onderdeel van de reguliere introductiedag. Serious Game
Middelen Vakimpulsen •Korte, krachtige – niet vrijblijvende – bijeenkomsten door aansprekende specialisten gericht op voor het werkgebied relevante informatie en kennis Online middelen •Themapagina intranet (beleidsdocumenten FAQ’s, meldingsapplicaties) •Digitale nieuwsbrief •Tijdlijn (in van de talkstream (door iedereen in te zetten) Veiligheidsdag (Senior Management) Senior management bewust maken van security risico’s en hun rol in het terugdringen van die risico’s (wet- en regelgeving, techniek, fysiek en gedrag) •Lezing cyber-autoriteit, live demo hacking, rollenspel security crisis, phising expeditie etc.)
Middelen Instructies front line security-medewerkers •Uitvraagscripts, gesprekstechnieken Fysiek materiaal •personeelsmagazine •Flyer 10 Golden Rules Presentaties, debatten •(Senior) Management meetings •Security vast thema Introductieprogramma nieuwe medewerkers Video •Narrowcasting •‘YouTube’-kanaal op intranet
Middelen Mystery Guest actie Actie om zwakke plekken in de fysieke beveiliging te vinden en benutten om zo de kwetsbaarheid van bedrijfsgevoelige informatie aan te kunnen tonen en het bewustzijn bij directie en medewerkers. •Rapportage bevindingen •Mystery Guest filmpje. Deels met verborgen camera’s opgenomen, deels scripted. Confronterend op inhoud, niet op personen; educatief. Leeroplossingen Serious Game. Het vermaak versterkt de beleving en daarmee de overdracht van informatie •E-learnings •Security quizjes

Recommended

Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrimeSebyde
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrimeJohn van Hoften
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresSURFnet
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakIvanti
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sSebyde
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)NAVI
 

Recommended

Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrimeSebyde
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrimeJohn van Hoften
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresSURFnet
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakIvanti
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sSebyde
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)NAVI
 
Informatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele WereldInformatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele WereldWillem Kossen
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde BedreigingenSymantec
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Sted
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Xtandit_Marketing
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde
 
Zo selecteert u een training agressie en geweld
Zo selecteert u een training agressie en geweldZo selecteert u een training agressie en geweld
Zo selecteert u een training agressie en geweldExpertisecentrum Veilige Publieke Taak
 
Leaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitLeaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitSebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamSebyde
 
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...Peter Vermeulen
 
Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'Project Reports
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigationsmvrosmalen
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Implementatie Elearning
Implementatie ElearningImplementatie Elearning
Implementatie ElearningWilfredRubens.com
 
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016WilfredRubens.com
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 
Vakmanschap en Veiligheid
Vakmanschap en VeiligheidVakmanschap en Veiligheid
Vakmanschap en VeiligheidZAAM - CompetentZAAM
 
NL - Module 3- Using external Data
NL - Module 3- Using external Data NL - Module 3- Using external Data
NL - Module 3- Using external Data caniceconsulting
 
Afstudeerverslag Meten iBewustzijn
Afstudeerverslag Meten iBewustzijnAfstudeerverslag Meten iBewustzijn
Afstudeerverslag Meten iBewustzijnYouri Lammerts van Bueren MSc
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVTim Grieveson
 

More Related Content

What's hot

Informatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele WereldInformatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele WereldWillem Kossen
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde BedreigingenSymantec
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Sted
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Xtandit_Marketing
 

What's hot (6)

Informatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele WereldInformatiebeveiliging in de Mobiele Wereld
Informatiebeveiliging in de Mobiele Wereld
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
 

Similar to Verhogen securitybewustzijn

Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde
 
Leaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitLeaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitSebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamSebyde
 
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...Peter Vermeulen
 
Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'Project Reports
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigationsmvrosmalen
 
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016WilfredRubens.com
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 
NL - Module 3- Using external Data
NL - Module 3- Using external Data NL - Module 3- Using external Data
NL - Module 3- Using external Data caniceconsulting
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVTim Grieveson
 
Privacy en gepersonaliseerd leren public - Summerschool -Job Vos
Privacy en gepersonaliseerd leren public - Summerschool -Job VosPrivacy en gepersonaliseerd leren public - Summerschool -Job Vos
Privacy en gepersonaliseerd leren public - Summerschool -Job VosKennisnet
 
110217 Adam Presentatie
110217 Adam Presentatie110217 Adam Presentatie
110217 Adam Presentatiemr38schev
 
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015Gastcollege implementatie e-learning Fontys post hbo elearning 20142015
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015WilfredRubens.com
 
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14Serious gaming in het hoger onderwijs - Albert Coumans - OWD14
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14SURF Events
 

Similar to Verhogen securitybewustzijn (20)

Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programma
 
Zo selecteert u een training agressie en geweld
Zo selecteert u een training agressie en geweldZo selecteert u een training agressie en geweld
Zo selecteert u een training agressie en geweld
 
Leaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteitLeaflet workshop cybercriminaliteit
Leaflet workshop cybercriminaliteit
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
 
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
SSA 2015 Onderzoek "Integrale Beveiliging: Hoe werken IT beveiliging en fysie...
 
Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'Workshop 'Vergroot draagvlak met Triade gedragsmodel'
Workshop 'Vergroot draagvlak met Triade gedragsmodel'
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigations
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Implementatie Elearning
Implementatie ElearningImplementatie Elearning
Implementatie Elearning
 
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
Presentatie evolvabijeenkomst werkplek leren met ict 13 september 2016
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC
 
Vakmanschap en Veiligheid
Vakmanschap en VeiligheidVakmanschap en Veiligheid
Vakmanschap en Veiligheid
 
NL - Module 3- Using external Data
NL - Module 3- Using external Data NL - Module 3- Using external Data
NL - Module 3- Using external Data
 
Afstudeerverslag Meten iBewustzijn
Afstudeerverslag Meten iBewustzijnAfstudeerverslag Meten iBewustzijn
Afstudeerverslag Meten iBewustzijn
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIV
 
Privacy en gepersonaliseerd leren public - Summerschool -Job Vos
Privacy en gepersonaliseerd leren public - Summerschool -Job VosPrivacy en gepersonaliseerd leren public - Summerschool -Job Vos
Privacy en gepersonaliseerd leren public - Summerschool -Job Vos
 
110217 Adam Presentatie
110217 Adam Presentatie110217 Adam Presentatie
110217 Adam Presentatie
 
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015Gastcollege implementatie e-learning Fontys post hbo elearning 20142015
Gastcollege implementatie e-learning Fontys post hbo elearning 20142015
 
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14Serious gaming in het hoger onderwijs - Albert Coumans - OWD14
Serious gaming in het hoger onderwijs - Albert Coumans - OWD14
 

More from Annebeth Wierenga

Communicatieaanpak High Performance Working
Communicatieaanpak High Performance WorkingCommunicatieaanpak High Performance Working
Communicatieaanpak High Performance WorkingAnnebeth Wierenga
 
(Interne) communicatie bij fusies
(Interne) communicatie bij fusies(Interne) communicatie bij fusies
(Interne) communicatie bij fusiesAnnebeth Wierenga
 
Communicatiemanagement van issues
Communicatiemanagement van issuesCommunicatiemanagement van issues
Communicatiemanagement van issuesAnnebeth Wierenga
 
Rol interne communicatie: Luisteraar
Rol interne communicatie: LuisteraarRol interne communicatie: Luisteraar
Rol interne communicatie: LuisteraarAnnebeth Wierenga
 
Strategische inzet sociaal intranet voor bevordering kennisuitwisseling
Strategische inzet sociaal intranet voor bevordering kennisuitwisselingStrategische inzet sociaal intranet voor bevordering kennisuitwisseling
Strategische inzet sociaal intranet voor bevordering kennisuitwisselingAnnebeth Wierenga
 

More from Annebeth Wierenga (7)

Interculturele training
Interculturele trainingInterculturele training
Interculturele training
 
Communicatieaanpak High Performance Working
Communicatieaanpak High Performance WorkingCommunicatieaanpak High Performance Working
Communicatieaanpak High Performance Working
 
(Interne) communicatie bij fusies
(Interne) communicatie bij fusies(Interne) communicatie bij fusies
(Interne) communicatie bij fusies
 
Communicatiemanagement van issues
Communicatiemanagement van issuesCommunicatiemanagement van issues
Communicatiemanagement van issues
 
Rol interne communicatie: Luisteraar
Rol interne communicatie: LuisteraarRol interne communicatie: Luisteraar
Rol interne communicatie: Luisteraar
 
Column Interdisciplinair
Column InterdisciplinairColumn Interdisciplinair
Column Interdisciplinair
 
Strategische inzet sociaal intranet voor bevordering kennisuitwisseling
Strategische inzet sociaal intranet voor bevordering kennisuitwisselingStrategische inzet sociaal intranet voor bevordering kennisuitwisseling
Strategische inzet sociaal intranet voor bevordering kennisuitwisseling
 

Verhogen securitybewustzijn

  • 1. Verhogen van het securitybewustzijn bij medewerkers Annebeth Wierenga 2014
  • 2. Inleiding Organisaties kunnen de integriteit, vertrouwelijkheid en beschikbaarheid van informatie in IT systemen en netwerken en de veiligheid van personeel, materieel, gebouwen en processen niet garanderen zonder dat iedere medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is opgeleid. De menselijke factor is een dermate grote kritieke succesfactor dat het noodzakelijk is om de organisatie een bewustwordingsprogramma te laten volgen. The only real security that a man can have in this world is a reserve of knowledge, experience and ability. (Henry Ford)
  • 3. Situatiebeschrijving • Organisatiebewustzijn over informatieveiligheid en – beveiliging zeer laag. • Kennis over eigen handelingsperspectief is beperkt • Risico-self assessments vinden (in beperkte mate) plaats • Aanwezige richtlijnen zijn onvoldoende ontsloten en daarmee onvoldoende bekend • Technische programma’s zijn onvoldoende zichtbaar • Te weinig gerichte aandacht voor security bewustzijn en handelingsperspectief.
  • 4. Opdracht Ontwikkel interne communicatieaanpak die het gewenste bewustzijn en gedrag op het gebied van informatie-veiligheid en –beveiliging (vanaf nu ‘security’) bevordert. De medewerker •begrijpt en ervaart het belang van security •begrijpt en herkent de belangrijkste security risico’s voor zijn/haar dagelijkse werkzaamheden •levert zijn/haar bijdrage aan het vereiste beveiligingsniveau van de organisatie •signaleert en meldt (potentiële) incidenten Beoogde resultaat In twee jaar van een nagenoeg onbewust onbekwame organisatie naar een organisatie die zich bewust is van de risico’s en pro-actief handelt om deze te voorkomen dan wel op te lossen.
  • 5. Risico’s en remedies (1) Geen flankerende ondersteuning Security-medewerkers (front line) moeten heldere instructies en klantvriendelijke handvatten hebben voor het helpen van mensen bij meldingen. Uitgangspunt moet persoonlijke communicatie zijn (niet systemische). Eerst organiseren, dan communiceren. Ongeorganiseerd antwoord op weerstand Vaak is weerstand een vorm van betrokkenheid. In het geval van beveiliging is weerstand dikwijls onbekendheid met de materie of luiheid. niet oplossen met meer communicatie maar met een passend handhavingsbeleid Discrepantie gepercipieerde en werkelijke staat security Er bestaat vaak discrepantie tussen de perceptie van specialisten over de technische staat van beveiliging van systemen en het daadwerkelijke beveiligingsniveau opstellen van en communiceren over security vereisten (ook leveranciers)
  • 6. Risico’s en remedies (2) (Informatie)beveiliging beperkt je in je dagelijks werk geef goede handelingsperspectieven en alternatieve oplossingen voor ‘zaken die niet meer mogen’ – daar zit een gebruikersbehoefte achter, niet per definitie onwil om mee te werken. Het melden van incidenten geeft gedoe, kost tijd en kan op ‘klikken’ lijken maak het meldproces zo simpel mogelijk, geef feedback over de melding en oplossing; zorg voor vertrouwelijke afhandeling van de melding. Eigen middelen, persoonlijk gebruik bedrijfsmiddelen Werk en privé lopen in elkaar over. Organisaties bieden niet iedereen de middelen waar men graag mee werkt. Veel mensen werken (ook) met eigen middelen. maak duidelijk wat de specifieke beveiligingseisen en -middelen zijn voor eigen middelen
  • 7. Strategie Interdisciplinair en geïntegreerd Om bewustzijn en gedrag (handelingsbekwaamheid) effectief te kunnen sturen is gebruik gemaakt van het Triade-model. Dit model stoelt op drie pijlers: motivatie (willen), capaciteit (kunnen) en gelegenheid (mogen). Maatregelen op één van de pijlers zijn zinloos als de oorzaak van inactiviteit of foutief handelen liggen aan gebrek aan capaciteit (vaardigheden) of gelegenheid (tijd, faciliteiten of toestemming) Intrinsiek Extrinsiek Motivatie Interesse Behoefte Beloning/straf waardering Capaciteit Kennis, IQ, vaardigheden Fysieke eigenschappen Hulp(middelen) Informatie Gelegenheid Zelf gekozen Tijd/ruimte/faciliteiten Beschikbare tijd/ ruimte/ faciliteiten
  • 8. Strategie • Versterking van deze continue stroom door het bieden van interventies die handelingsbekwaamheid (gedrag) vergroten, afgestemd op specifieke doelgroepen en passend bij de cultuur. • Bewustzijn en handelingsbekwaamheid verhogen in een organisatie is een langjarig proces. Kortstondige impulsen (al dan niet thematisch) beklijven niet. • Een continue stroom van berichtgeving onderstreept naast inhoudelijke boodschappen dat security een onderwerp is dat hoog op de agenda van de organisatie staat.
  • 9. Tactiek Een strategie waarbij gekozen is om het bewustzijn en handelings-perspectief zo veel mogelijk in te bedden in het dagelijks werk en actualiteit vergt discipline. • Zoveel mogelijk via de lijn (meeste impact) • Zoveel mogelijk dialoog (draagvlak en duurzame verandering) • Zo min mogelijk nieuwe middelen (voorkomt verwarring & versnippering) • Voortdurende alertheid op (in- en externe) aanknopingspunten • ‘Gaten’ in de communicatiestroom opvullen met onderwerpen die onafhankelijk van actualiteit ingeschoten kunnen worden (i.e. content ‘op de plank’). • Slimme en alerte inzet interne social media
  • 10. Interventies (uitgangspunten) Variatie: de verschillende activiteiten dienen te variëren Origineel: de activiteiten dienen origineel te zijn is een manier om te verrassen Consequent: de boodschap dient consequent te zijn en te worden herhaald Updated: de inhoud dient actueel, gedegen en concreet te zijn Sympathiek: de activiteiten dienen sympathie op te wekken t.a.v. het onderwerp
  • 11. Interventiematrix MOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen) Intrinsiek: - interessant wensen/verlangens/ behoeften - doeleinden -saldo positieve/ negatieve gevolgen Extrinsiek: Belangstelling opgeroepen door buiten de persoon gelegen oorzaken Beloning/straf waardering Intrinsiek: - financiën - kennis - IQ - fysieke eigenschappen Extrinsiek: Hulp van buitenaf: - financieel - hulp(middelen) - informatie Intrinsiek: Zelfgekozen tijd, ruimte, faciliteiten Extrinsiek: Beschikbare tijd, ruimte, faciliteiten Doelgroep Doel Senior management • Kennen de persoonlijke verantwoordelijkhe den. • kennis van strategische security risico’s • kennen rol bij rol security crisis Veiligheidsdag Risico-assessment afdelingen Gevarieerd aanbod van instrumenten, richtlijnen e.d. waarmee mensen gefaciliteerd worden Medewerkers met klantcontact • Privacy aspecten herkennen en weten hoe hierbij te handelen • Kennis hebben van security aspecten in relatie tot klanten e-learning Richtlijnen Serious Game Security specialisten • Weten welke relatie er is tussen het niet volgen van processen en onbeschikbaarheid van processen en diensten. Hackdemonstraties Vakimpulsen bij gespecialiseerde bedrijven Generieke security opleiding Nieuwe medewerkers • Omgaan met vertrouwelijke informatie. • Gebruik van security richtlijnen. Security onderdeel van de reguliere introductiedag. Serious Game
  • 12. Middelen Vakimpulsen •Korte, krachtige – niet vrijblijvende – bijeenkomsten door aansprekende specialisten gericht op voor het werkgebied relevante informatie en kennis Online middelen •Themapagina intranet (beleidsdocumenten FAQ’s, meldingsapplicaties) •Digitale nieuwsbrief •Tijdlijn (in van de talkstream (door iedereen in te zetten) Veiligheidsdag (Senior Management) Senior management bewust maken van security risico’s en hun rol in het terugdringen van die risico’s (wet- en regelgeving, techniek, fysiek en gedrag) •Lezing cyber-autoriteit, live demo hacking, rollenspel security crisis, phising expeditie etc.)
  • 13. Middelen Instructies front line security-medewerkers •Uitvraagscripts, gesprekstechnieken Fysiek materiaal •personeelsmagazine •Flyer 10 Golden Rules Presentaties, debatten •(Senior) Management meetings •Security vast thema Introductieprogramma nieuwe medewerkers Video •Narrowcasting •‘YouTube’-kanaal op intranet
  • 14. Middelen Mystery Guest actie Actie om zwakke plekken in de fysieke beveiliging te vinden en benutten om zo de kwetsbaarheid van bedrijfsgevoelige informatie aan te kunnen tonen en het bewustzijn bij directie en medewerkers. •Rapportage bevindingen •Mystery Guest filmpje. Deels met verborgen camera’s opgenomen, deels scripted. Confronterend op inhoud, niet op personen; educatief. Leeroplossingen Serious Game. Het vermaak versterkt de beleving en daarmee de overdracht van informatie •E-learnings •Security quizjes