Gamen voor veiligheid

door: Ingrid Schoots, 30 november 2016

Informatieveiligheid is niet voor niets een belangrijk thema binnen de overheid. “Je moet je daar steeds bewust van blijven”, zegt ICTU-directeur André Regtop. In het kader van de Campagne Alert Online deed de organisatie mee aan de Serious Crisis Game van het Centrum voor Informatiebeveiliging en privacybescherming (CIP).

André Regtop, directeur van ICTU

ICTU realiseert samen met haar opdrachtgevers kwalitatief hoogwaardige digitale dienstverlening. “We werken zonder winstoogmerk in projecten voor alle overheden: Rijk, provincies, gemeenten, uitvoeringsorganisaties en waterschappen. Informatieveiligheid is daarbij een vanzelfsprekende voorwaarde”, zegt Regtop. “Als organisatie doen we daar dan ook veel aan. In onze projecten en in onze processen. Zo hebben we het manifest Secure Software Development (SSD) van het CIP vertaald naar onze softwareontwikkeling en normen daaruit opgenomen in onze kwaliteitsmonitoring. En werken we met een iv-protocol en een functionaris informatieveiligheid”.

Praktische kunde door een game

ICTU overlegt bovendien regelmatig met andere overheidsorganisaties over het thema. “Er zijn op dit gebied allerlei samenwerkings- en leerverbanden, waarin we van elkaar proberen te leren. Ook directeuren en bestuurders gaan met elkaar in gesprek. Wat komen we tegen? Hoe hebben we het afgeschermd? Een goede zaak, want het is aan bestuurders en managers om dit soort zaken in de gaten te houden. Ik vind dat we dat als overheden goed met elkaar oppakken”. Ook over het initiatief van het CIP voor de Serious Game Crisis is Regtop te spreken. “Het oefenen van een crisessituatie is altijd goed”. Michiel Dirriwachter, bij ICTU verantwoordelijk voor informatieveiligheid, vult aan: “We hebben bij ICTU een crisisteam dat periodiek wordt opgeroepen voor een crisisoefening. Maar oefenen kun je eigenlijk in dit verband niet genoeg doen. De Serious Game Crisis kwam voor ons op een mooi moment om daar meer handen en voeten aan te geven”.

Stilstaan bij kernvragen

Een cybercrimineel heeft de Rijksdienst voor Transparante Zaken (RTZ) gehackt. Hoe kun je zo efficiënt mogelijk omgaan met deze hack? Dat was in het kort de opdracht voor de deelnemers aan de Serious Game Crisis. Tijdens de campagne Alert Online in oktober 2016 verzorgde CIP* een tiental van deze leerzame en ludieke oefeningen in crisismanagement. Regtop: “Wij gingen er vanuit dat de crisisoefening zou plaatsvinden in een voor ons bekende setting, maar dat was niet zo. Toch konden wij vrij makkelijk overstappen, omdat we een helder protocol hebben. Dat was een prettige gewaarwording. De game maakte ons tegelijkertijd ook bewuster van een aantal kernvragen. Als je gehackt bent, sluit je dan in één keer al je systemen af? Wanneer start je die weer terug op en wat gebeurt er dan? Dat heeft lang niet iedereen op het netvlies. De game dwingt je om erbij stil te staan.”

Blijven oefenen

Net zo goed als een brandweeroefening, zouden ook oefeningen voor informatieveiligheid regelmatig voorbij moeten komen, vind Regtop. “De IT-kennis bij de gemiddelde bestuurder kan beter. Door consequent trainingen te volgen bij het CIP, ontstaat veel meer kennisdeling en informatieoverdracht. Het is een schone taak van het CIP om te zorgen voor kennisvergroting in de boardrooms. Middelen als de Serious Game Crisis kunnen daar zeker aan bijdragen. Wat mij betreft komt zoiets jaarlijks terug. Want het oefenen van informatieveiligheid is eigenlijk net als het regelmatig trainen met reanimatie: ieder jaar moet je je kennis en vaardigheden weer opfrissen”.
*CIP is een samenwerkingsverband van deelnemende overheidsorganisaties (de participanten) en een aantal marktpartijen (de kennispartners), die willen bijdragen aan het ontwikkelen, delen en ontsluiten van kennis en ‘good practices’ op het gebied van Informatieveiligheid en Privacy.

Dit verhaal is onderdeel van een reeks artikelen over informatiebewustzijn.

Over iBewustzijn Overheid
iBewustzijn Overheid is een ondersteuningsprogramma van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en is voortgekomen uit de Taskforce Bestuur & Informatieveiligheid Dienstverlening (BID). Het digitale platform ibewustzijnoverheid.nl is een plek waar alle medewerkers van het rijk, gemeenten, provincies, waterschappen en uitvoerende overheden terecht kunnen voor informatie over actuele iBewustzijn onderwerpen en leer- en campagnemateriaal om het iBewustzijn te vergroten. Het platform stimuleert de beweging van onbewust onbekwaam naar bewust bekwaam.
Tijdens het ICTU café van 6 december wordt het programma iBewustzijn Overheid formeel afgesloten.


tags: ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.