Het inzetten op awareness als het gaat om informatiebeveiliging is belangrijk. Maar dat is makkelijker gezegd dan gedaan.
Informatiebeveiliging is risicomanagement. Met informatiebeveiliging willen we risico’s managen die een onacceptabele impact hebben op de betrouwbaarheid van onze informatievoorziening en de continuïteit van de dienstverlening.
Dit doen we door het treffen van diverse beheersmaatregelen:
• Organisatorische maatregelen, zoals beleid, procedures, beleggen van verantwoordelijkheden en zorgdragen voor awareness.
• Technische maatregelen, die onder meer gericht zijn op hardware, systemen en autorisaties.
• Fysieke maatregelen die gericht zijn op de fysieke locatie, zoals de huisvesting.
Het inzetten op awareness is belangrijk. Het treffen van beveiligingsmaatregelen heeft namelijk geen zin als medewerkers er omheen werken omdat dat makkelijker is of als kwaadwillenden (eenvoudig) medewerkers manipuleren om getroffen beheersmaatregelen te omzeilen en toegang te verkrijgen tot informatie. Aan de basis van informatieveiligheid moet de wil, vaardigheid en mogelijkheid staan om veilig te handelen. Daarvoor is het noodzakelijk dat management en medewerkers zich bewust zijn van de (digitale) dreigingen, de eigen rol en mogelijke consequenties/risico’s van het eigen handelen en de daarmee samenhangende (bedrijfs)risico’s.
Het werken aan awareness is daarbij eenvoudiger gezegd dan gedaan. Het vraagt namelijk een gedegen en gestructureerde aanpak. Met deze bijdrage wil ik een handreiking bieden voor het opzetten, uitvoeren en onderhouden van die aanpak. Hiervoor heb ik mij laten inspireren op het ISMS (een instrument voor informatiebeveiliging dat uitgaat van risicomanagement en gebaseerd is op de PDCA-cyclus).
Het IBMS (informatiebeveiligingsbewustzijn managementsysteem) is een conceptueel model dat ik heb uitgedacht. Eventuele verbeteringen en (kritische) noten zie ik graag tegemoet om dit model verder uit te werken en te verbeteren.
Het IBMS beoogt om vanuit een risicogebaseerde aanpak op een systematische wijze het informatiebeveiligingsbewustzijn te verhogen. Met informatiebeveiligingsbewustzijn wordt kennis, houding en gedrag ten aanzien van informatiebeveiliging bedoelt. Met systematische wijze wordt bedoelt dat het, net als het ISMS, uitgaat van de PDCA-cyclus.
Vijf-stappenplan
Stap 1: Uitvoeren risicoanalyse
Voer jaarlijks een risicoanalyse uit waarmee je voor jouw organisatie in beeld brengt welke dreigingen er zijn, hoe groot de kans is dat deze zich voordoen en hoe groot de mogelijke impact kan zijn.
Je kan gebruikmaken van bijvoorbeeld:
• Het Cyberdreigingsbeeld van het NCSC dat jaarlijks wordt opgesteld;
• Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten van de IBD;
• Rapportages van de Autoriteit Persoonsgegevens (AP) omtrent de oorzaken van de datalekken die zich hebben voorgedaan.
Hierin is beschreven hoe belangrijk het is om te werken aan awareness en is ook beschreven welke dreigingen er zijn. Onderzoek ook welke dreigingen zich binnen jouw organisatie voordoen. Kijk naar de trends en ontwikkelingen in de regio en jouw organisatie. Verder kun je ook input verzamelen vanuit de incidentenregistratie.
Op basis van de risicoanalyse bepaal je op welke onderdelen ingezet moet worden. Maak keuzes in welke activiteiten je komend kalenderjaar wel en niet uitvoert. Je kan niet alles tegelijk. Je bent gebonden aan beschikbare middelen en het zogenaamde absorptievermogen van medewerkers. Op basis van de risico’s kun je bijvoorbeeld kiezen om dit jaar in te zetten op één of een aantal specifieke onderwerpen, zoals phishing, en daar een communicatiestrategie op loslaten.
Stap 2: Ontwerp een awarenessplan
Nadat bepaald is op welke onderwerpen gericht wordt ingezet, is het van belang om de communicatiestrategie te bepalen. Zorg dat ingezet wordt op kennis, houding en gedrag. Kies daarbij variatie ten aanzien van de instrumenten die je wil inzetten. Maak hierbij een mix tussen:
• Sec kennis overbrengen. Medewerkers moeten weten wat het beleid is, welke risico’s er zijn en wat van hen verwacht wordt. Dit kan bijvoorbeeld via posters, intranet, e-learning, langs werkoverleggen gaan, et cetera.
• Risico’s visualiseren. Zet instrumenten in die laten zien hoe zaken werken. Denk aan een hackdemo of het laten zien hoe bijvoorbeeld phishing werkt.
• Beleving. Kies ook voor instrumenten waardoor medewerkers specifieke dreigingen beleven. Denk aan games, phisingmailtest, een mysterie guest visit en dergelijke.
Het is belangrijk dat via deze mix dezelfde boodschap wordt verkondigd (de kracht van de herhaling).
Daarbij is het belangrijk om onderscheid te maken in je doelgroep. Je kan kiezen om voor iedereen hetzelfde aan te bieden, als ook op maat gemaakte onderdelen voor management, bestuur en vakafdelingen. Voor bijvoorbeeld Burgerzaken of ICT kun je aanvullende onderwerpen kiezen (denk aan de rol die ICT kan hebben bij het voorkomen van phishingmail).
Stap 3: Zorg voor commitment en voer uit
Belangrijk is dat management achter de aanpak staat. Informatiebeveiliging vraagt namelijk een top-down aanpak omdat je ook inzet op een verandering (van gedrag) die iedereen raakt. Je kan communicatie erbij betrekken om te komen tot een communicatiestrategie.
Stap 4: Monitor, evalueer en rapporteer
Van belang is om het bereik van de ingezet communicatiekanalen te monitoren, te evalueren (hoe het wordt ontvangen), te meten (in hoeverre het kennisniveau bijvoorbeeld is verhoogd) en hierover te rapporteren aan het management. Dat laatste is belangrijk, omdat zij verantwoordelijk zijn voor het bewustzijn bij hun medewerkers. Zij moeten kunnen sturen en daarin moeten zij gefaciliteerd worden.
Stap 5: Leer, stel bij en ga door
Cruciaal is dat geleerd wordt van de evaluatie. Wellicht dat de communicatiestrategie aangepast moet worden of wellicht dat een onderwerp verder uitgewerkt moet worden. Leer, stel bij en ga door met de ingezette lijn. Kies niet voor te veel onderwerpen in één keer, maar zorg dat je kiest dat er vooral voldoende contactmomenten zijn met de medewerkers. De aanpak moet passen bij het dreigingsprofiel van jouw organisatie, gestructureerd zijn en aansluiten op de organisatiecultuur.
Door te kiezen voor een dergelijke aanpak wordt vanuit een risicogebaseerde aanpak op een systematische wijze het informatiebeveiligingsbewustzijn verhoogt.
Youri Lammerts van Bueren heeft als CISO veel ervaring met informatiebeveiliging binnen de overheid. Dankzij een achtergrond in bedrijfskunde en informatiemanagement kan hij informatieveiligheid begrijpelijk maken voor bestuurders en beleidsmakers.