Hoe iBewust zijn medewerkers van Nederlandse gemeenten eigenlijk?

Informatie is een cruciale en waardevolle factor voor een organisatie. Niet voor niets dus dat medewerkers een wezenlijke rol spelen bij het beschermen van deze informatie. Maar hoe doe je dat als medewerker in de praktijk van alledag? Feit is dat gewenst gedrag in ieder geval sterk samenhangt met de mate van alertheid op informatieveiligheidsvlak. Hamvraag is natuurlijk hoe je kunt meten of medewerkers alert genoeg zijn. Momenteel is er maar een beperkt aantal methodieken voorhanden waarmee het informatiebeveiligingsbewustzijn van een organisatie gemeten kan worden. Zo blijkt bijvoorbeeld uit een onderzoek bij een Zweedse overheidsinstelling dat medewerkers ander (ongewenst) gedrag vertonen, ook al hebben zij kennis van het gewenste gedrag dat van hen verlangd wordt. De vraag die je jezelf dan kunt stellen is of die onderzoekresultaten ook representatief zijn voor de Nederlandse overheid en dan specifiek voor Nederlandse gemeenten?

 

Op 29 november 2013 is tijdens de Buitengewone Algemene Ledenvergadering van de Vereniging voor Nederlandse Gemeenten (VNG) daarom besloten dat gemeenten structureel aan het informatiebeveiligingsbewustzijn van medewerkers moeten werken. Dat begint bij het meten van het huidige bewustzijnsniveau om zo gericht te kunnen gaan sturen op bewustzijn. Kortom, een mooi onderwerp als onderzoek voor mijn afstudeerscriptie!

  

De eerst stap die ik hierbij heb genomen was om te bepalen op welke wijze het informatiebeveiligingsbewustzijn kan worden gemeten bij medewerkers van Nederlandse gemeenten. Dit met als doel om te komen tot een methodiek die correct, volledig én effectief is. Dit heeft mij uiteindelijk een goed referentiemodel opgeleverd. Dit model meet inhoudelijk de tien belangrijkste gedragsrisico’s op basis van de ‘tien gouden regels’ uit de campagne iBewustzijn Overheid (2014). Met dit model is het dus mogelijk om het informatiebeveiligingsbewustzijn (kennis, houding en gedrag) te meten bij medewerkers van Nederlandse gemeenten. Maar ik was er nog niet, want in hoeverre is deze methodiek ook correct, volledig én effectief? Om dit te onderzoeken heb ik diverse interviews gehouden met deskundigen op het vlak van informatiebeveiliging binnen de Nederlandse overheid c.q. gemeenten. Bovendien heb ik de methodiek op beperkte schaal toegepast door middel van een survey. Op basis hiervan heb ik vijf belangrijke aspecten bloot gelegd die veroorzakers kunnen zijn van gedragsrisico’s bij gemeentelijke medewerkers:

  1. tijd- en plaatsonafhankelijk werken
  2. samenwerken met andere organisaties
  3. digitalisering
  4. open databehandeling
  5. en een mogelijk perceptieverschil tussen generaties inzake de informatiebeveiliging.


Kortom, het onderzoek heeft geleid tot een gerichte methodiek om het informatiebeveiligingsbewustzijn te meten bij medewerkers van Nederlandse gemeten. De opzet van de methodiek houdt rekening met concrete en specifieke organisatie-eigenschappen, maar ook met bijvoorbeeld veranderende en/of andere gedragsrisico’s in verband met nieuwe (IT-) ontwikkelingen. Mede door deze flexibiliteit kan de methodiek ook gebruikt worden door andere (overheids)organisaties dan alleen Nederlandse gemeenten!

 

Nieuwsgierig naar de methodiek? Lees dan hier het hele onderzoeksrapport van Youri Lammerts van Bueren, adviseur Informatiebeveiliging voor de gemeenten Culemborg, Geldermalsen en Tiel.