De CISO heeft, als het gaat om het iBewustzijn van de medewerkers, een aparte en belangrijke rol. Observeren, luisteren, belonen en af en toe even wegkijken...
Over het informatiebeveiligingsbewustzijn (iBewustzijn) is al enorm veel geschreven. Dat het belangrijk is om continu aan het iBewustzijn van gemeentelijke medewerkers te werken, wordt inmiddels wel door iedereen erkend. Gemeentelijke bestuurders bekrachtigden dit met het vaststellen van de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ op de Buitengewone Algemene Ledenvergadering in 2013.
Anno 2017 zijn talloze (gratis) instrumenten ontwikkeld om hierop in te zetten. Een groot deel is ontwikkeld via het programma iBewustzijn Overheid. Maar ook de Informatiebeveiligingsdienst voor gemeenten (IBD) en het Centrum voor Informatiebeveiliging en Privacy (CIP) bieden gratis producten aan.
Allemaal quick wins voor de inzet op het iBewustzijn. Maar minder uitgekristalliseerd is de rol van de CISO in dezen bij de uitvoering. Dat is ook logisch, want die is onder andere afhankelijk van de cultuur en specifieke organisatie-eigenschappen.
Het start met een plan…
Als CISO start ik jaarlijks altijd met een plan. Zoals elke andere gemeente, zijn ook onze tijd en middelen niet oneindig. Dit vraagt om prioritering en keuzes. Als CISO doe ik het management jaarlijks een voorstel. Het (lijn)management is namelijk verantwoordelijk voor het iBewustzijn van haar medewerkers. Als CISO faciliteer ik hen hierin door hen een voorstel te doen. Daarbij vraagt dit ook altijd tijd van medewerkers om te groeien in hun iBewustzijn. Tijd die het management aan haar medewerkers moet ‘geven’. Nadat het plan is vastgesteld, komt de uitvoering.
En dan komt de praktijk…
Ik draag zorg voor de coördinatie en uitvoering van het vastgestelde plan. Die start vaak met een aantal basisvaardigheden en het basiskennisniveau, zoals het toepassen van clear-desk en clear-screen. Tal van gemeenten trachten het iBewustzijn te stimuleren door het toepassen van de ‘gebaktactiek’. Wanneer iemand bij het verlaten van de werkplek zijn computer niet vergrendeld, mag een andere medewerker namens die medewerker een mail eruit doen aan al zijn collega’s. Daarin worden collega’s uitgenodigd om gebak te komen eten, uiteraard op kosten van de medewerker die zijn computer niet heeft vergrendeld. Dat zal hem leren. In hoeverre dit goed of fout is voor het iBewustzijn, laat ik in het midden.
Als CISO kijk ik soms weg…
Als ik een verlaten werkplek zie die niet vergrendeld is, dan kijk ik weg en reageer ik er niet op. Dat doe ik wel vaker in specifieke situaties. Als CISO kies ik ervoor om niet op iedere slak zout te leggen. Mijn inziens heeft dat leggen van zout niet veel invloed op het iBewustzij en vergroot het de kans dat medewerkers de CISO als politieagent gaan zien. Opmerkingen als ‘Sssttt.. daar komt de CISO’ wil ik voorkomen. Als CISO heb ik ook een vertrouwensfunctie. Het kost tijd om krediet op te bouwen, welke vrij snel kan worden afgebroken. Krediet die je nodig hebt om te weten wat er speelt in de organisatie. Het versturen van een mail namens een ander, wordt vaak niet in dank afgenomen door de medewerker die het overkomt. In feite straf je zijn gedrag, en nagel je hem aan de schandpaal ten overstaan van zijn collega’s. Beter kun je de medewerker belonen die wél het goede voorbeeld geeft. Zet hem of zijn team in het zonnetje (met gebak).
Als CISO vertellen medewerkers mij soms dingen, waarbij ik ervoor kies om te luisteren. Soms zie ik situaties die ik enkel observeer. Hoewel ik bewust ‘wegkijk’ en niet reageer, onthoud ik dit wel. Ik kies ervoor om die risico’s mee te nemen in mijn jaarplan voor het jaar erop. Op die wijze leer ik van de situatie die ik heb waargenomen en verwerk ik dit in een collectieve aanpak.
Kies je momenten
Mijn advies zou zijn om zorgvuldig af te wegen wanneer je wel en niet reageert op een incident. Dat is natuurlijk afhankelijk van het risico en de urgentie om snel te acteren. Maar wanneer de urgentie niet hoog is en het risico beperkt, kijk dan even weg… en kom er later op terug. Wees zuinig met je credits.
yourilammerts@debuch.nl (yourilammerts@debuch.nl) is Chief Information Security Officer voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).