Zet jezelf op scherp! Als het om informatieveiligheid gaat

Het is tegenwoordig niet meer de vraag óf je gemeente slachtoffer wordt van incidenten op informatieveiligheidsvlak, maar vooral ‘wanneer’. Digitale technologie is immers onderdeel van ons leven geworden, waarbij er geen scheiding meer is tussen werk en privé. En dan te bedenken dat we nog maar aan het begin van deze digitale evolutie staan. De ontwikkelingen volgen elkaar in rap tempo op. Naast alle mooie dingen die hierdoor gerealiseerd zijn, en nog steeds worden, zijn er ook minder mooie aspecten tot wasdom gekomen. Zo worden we als gemeente namelijk steeds afhankelijker van onze informatievoorzieningen. Wanneer hier dreigingen, voor zowel de beschikbaarheid als de integriteit en vertrouwelijkheid van de gegevens, ontstaan, heb ik vanuit mijn rol als beleidsadviseur van het CIO office Drechtsteden, de hoofdtaak om alle collega's en de organisatie zoveel als mogelijk te beschermen tegen deze (reeds bekende) dreigingen. En nog veel moeilijker, tegen de te verwachten dreigingen! En deze dreigingen komen in vele vormen en van verschillende kanten op ons af. Omdat er steeds meer apparaten worden aangesloten op het internet en op ons interne netwerk, is het van belang dat we die kwetsbaarheden opsporen.

 

In de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, staat waar informatieveiligheid bij gemeenten aan moet voldoen. Zo staat er onder andere dat het belangrijk is dat de gemeente en haar individuele medewerkers de noodzaak voelen en zelf hun verantwoordelijkheid nemen. Echter, de oplossing hiervoor wordt in praktijk vaak nog aangevlogen vanuit het stellen van normen. En ervaring leert dat mensen dit als een blokkade zien. Terwijl ik er juist van overtuigd ben dat informatieveiligheid een kans is! Een kans voor zowel de organisatie als voor de medewerkers. Immers, wanneer informatieveiligheid goed geregeld is, zullen de diverse projecten, programma's en ontwikkelingen beter verlopen en kunnen medewerkers erop vertrouwen dat informatieveiligheid een integraal onderdeel is van hun werkproces. Kortom, we moeten dus af van het beeld dat ‘informatieveiligheid een blokkade’ is. Het is namelijk een kans! En wanneer deze kans door collega's wordt gedeeld, heb je volgens mij een mooie sleutel tot succes…

 

Deze kans wil de Drechtsteden grijpen en daarom staat het onderwerp informatieveiligheid inmiddels stevig op de bestuurlijke agenda. Door de toenemende afhankelijkheid van digitalisering en mede vanuit het beeld dat 30% van alle incidenten op informatieveiligheidsvlak door techniek voorkomen kan worden en 70% vanuit bewust menselijk gedrag, willen we als Drechtsteden het bewustzijn van bestuurders, managers en medewerkers op informatieveiligheidsvlak vergroten en ervoor zorgen dat zij hier ook naar handelen. Dit doen we door middel van een doorlopende campagne Informatiebewustzijn.

 

De campagne heeft als doel om alle bestuurders, managers en medewerkers (gefaseerd) ‘bewust bekwaam’ te maken op informatieveiligheidsvlak. Individuele mensen vormen namelijk vaak de ‘zwakste schakel’. Zo kunnen onveilige situaties ontstaan door onzorgvuldigheid van medewerkers. Verkeerd omgaan met inloggegevens en wachtwoorden, gebruik maken van gratis online (en mogelijk onveilige) Cloud-diensten, het onbedoeld verspreiden van gevoelige informatie via privémail of het printen van gevoelige documenten op onbeheerde printers. Het zijn allemaal voorbeelden uit de dagelijkse praktijk die het belang laten zien van voldoende alertheid bij het werken met (gevoelige) informatie.

 

Aan de hand van een nulmeting op bewustwordingsniveau is gebleken dat onze medewerkers en het management zich nog onvoldoende bewust zijn van deze risico’s rondom informatieveiligheid en de privacy van (burger)gegevens. Met de campagne Informatiebewustzijn beogen we dan ook de alertheid van medewerkers te vergroten en hun gedrag te veranderen. De campagne wordt over een periode van drie jaar uitgerold (2015-2017), waarbij we in eerste instantie de kennis van medewerkers over de mogelijke risico’s willen vergroten. In veel gevallen dient hiervoor een verandering in gedrag van medewerkers bewerkstelligd te worden. Kortom, van ‘informatiebeveiliging is een zaak van ICT en het management’ naar ‘Informatieveiligheid is mijnverantwoordelijkheid’. De campagne kent naast de genoemde boodschap ‘informatieveiligheid is mijn verantwoordelijkheid’ ook een slogan, namelijk een rode pijl met de tekst ‘Zet jezelf op scherp!’.

16 0302 Foto Nico Noorland MS 112005983951

Het doel van de campagne? Bij bestuur en het management bereiken dat zij een positieve houding heeft ten aanzien van informatieveiligheid en daarbij ook haar eigen rol en verantwoordelijkheid neemt. Zo dient informatieveiligheid opgenomen te worden in beleid en jaarplannen, fungeren bestuur en management als voorbeeld voor de gemeentelijke medewerkers, spreken zij medewerkers aan op ongewenst gedrag en steunen zij het projectteam waar nodig in de campagneactiviteiten. Om dit te realiseren hebben weeen overlegplatform in het leven geroepen. Zij denken mee over de e-learning, posters, workshops, flyers, intranetberichten et cetera. Er worden dus meerdere middelen ingezet en de kracht van herhaling wordt gebruikt. Bewustwording in informatieveiligheid is namelijk een continue proces, gericht op het opbouwen en ondersteunen van een beveiligingspositieve omgeving. Continu, omdat aan de ene kant het gevaar evolueert en aan de andere kant omdat (consequente en consistente) herhaling van de boodschap het leereffect vergroot. Tevens leren mensen verschillend en onthouden zij dingen beter als ze het op verschillende manieren krijgen aangeboden. Reden voor ons om er voor te kiezen om tijdens de campagne meerdere middelen in te zetten.

 

En dat werpt zijn vruchten af. De reacties op de campagne zijn tot nu toe positief. Zowel in de vorm van de feedback die we op de campagne ontvangen, als in de praktijk:

 

  • Collega’s vertellen dat de e-learning en de posters met tips hen meer én nieuwe inzichten geven.
  • We nodigen collega’s uit om ongewenste zaken te melden bij de ICT-servicedesk van de Drechtsteden; daartoe hebben we het registratieproces aangepast en de servicedesk medewerkers goed meegenomen in de campagne.
  • Collega’s melden nu ook veel zaken aan als een beveiligingsincident, zoals spam, een gevonden USB-stick, et cetera; vanuit deze gemelde incidenten kunnen wij weer een analyse uitvoeren met een opmaat naar verbetervoorstellen.
  • We maken gebruik van voorbeelden van ongewenste situaties door middel van een foto waarop bijvoorbeeld een wachtwoord op een post-it te zien is; het vinden van voorbeelden wordt steeds lastiger, ze zijn er nog wel maar veel minder.
  • We worden meer betrokken dan voorheen.
  • En het aantal incidentmeldingen is gegroeid.

 

Kortom, we kunnen dus wel stellen dat de alertheid op het gebied van informatieveiligheid is toegenomen sinds de campagne.

 

Wil je als gemeente ook een campagneplan informatiebewustzijn opstellen? Dan hebben we vanuit de Drechtsteden nog een aantal tips:

 

  1. Zorg ervoor dat het geen ICT-verhaal wordt. Betrek ook sponsoren vanuit de lijnafdelingen die vertellen waarom zij het een belangrijk onderwerp vinden.

  2. Richt eerst de ICT-servicedesk goed in, en daarna de processen voor het registeren en afhandelen van incidenten. Dat heeft ons erg geholpen tijdens de uitrol van de campagne, waarin we collega's aanmoedigen om alles te melden.

  3. Maak een duidelijk meerjaren plan. Dit gaat helpen om informatieveiligheid een structureel onderdeel van het werkproces te maken. Als het bij een eenmalig plan dreigt te blijven zal het beoogde doel niet bereikt worden.

  4. Wees voorzichtig met het stellen van, en aansturen op normen. Dit kan leiden tot onbegrip bij medewerkers. Bijvoorbeeld: vanuit de norm wordt Dropbox als onveilig verklaard en wordt het onmogelijk gemaakt om hier gebruik van te maken. Dit geeft ongelukkige gebruikers. Dit onbegrip kun je voorkomen door te achterhalen vanuit welke reden medewerkers Dropbox willen gebruiken, uit te leggen waarom het onveilig is en met een alternatief te komen. Neem hier de tijd voor tijdens de uitleg/uitrol van de campagne en laat dit terugkomen in een toets, op posters en bij de servicedesk.

  5. En tenslotte: neem de tijd. Het veranderen van gedrag is een langdurig traject waarbij geduld en een lange adem je enorm verder zullen helpen.