Een ogenblik geduld aub, op dit moment wordt uw cv geüpload,
dit kan tot 15 seconden duren.

Menselijk handelen, de grootste uitdaging in de informatiebeveiliging

Hoe goed ben je als organisatie beschermd op het gebied van informatiebeveiliging? Hiervoor worden in de fysieke beveiliging en in de ICT erg veel maatregelen genomen, maar de voornaamste factor in de beveiliging is toch de medewerker. Als niet iedereen binnen een organisatie zich bewust is van hoe veilig te werken met informatie, lopen gebruikers het gevaar dat (soms privacygevoelige) persoonsgegevens op straat komen te liggen.

Het bewustwordingsproces

In mijn opdracht binnen een gemeente heb ik meegedacht in het bewustwordingsproces van de medewerkers. Dit is hard nodig, want de gemeente werkt met ontzettend veel gegevens van inwoners en deze inwoners zijn ook verplicht om de gemeente te voorzien van deze gegevens. Dan mag er ook vanuit gegaan worden dat dit netjes opgeslagen en bewaakt wordt, er moet heel zorgvuldig mee omgegaan worden. Hier heb je vrijwel alle medewerkers van de organisatie voor nodig. En daarom is het belangrijk dat zij zich bewust zijn van hoe ze het best ‘informatieveilig’ te werk kunnen gaan.

De afgelopen jaren is al veel gedaan aan bewustwording, maar toch valt hierop altijd te verbeteren. Helemaal sinds 25 mei 2018, de AVG is sindsdien een hot topic. Hoe organisaties (helemaal vanuit de overheid) hiermee omgaan ligt onder een vergrootglas. Er zijn door overheidsinstanties (en andere organisaties) al verschillende keren gegevens gelekt of de beveiliging was niet goed genoeg, waardoor er een hoop informatie over mensen op straat lag. Dit soort lekken kunnen grote gevolgen hebben voor mensen die er absoluut niet om gevraagd hebben en kunnen allerlei ellende veroorzaken zoals bijvoorbeeld identiteitsfraude. Je moet er toch niet aan denken dat iemand zomaar onder jouw naam een lening afsluit of een huis of auto koopt met jouw gegevens. Er kunnen je op deze manier een hoop verschrikkelijke dingen overkomen.  Dit moet natuurlijk zoveel mogelijk voorkomen worden en daarom is het zaak eerst alle neuzen dezelfde kant op te krijgen en iedereen binnen de organisatie zich hiervan bewust te laten worden. Bewustwording, klinkt misschien wat zweverig, maar het is zó nodig.

Baseline Informatiebeveiliging Gemeenten

In de BIG (Baseline Informatiebeveiliging Gemeenten) is opgenomen dat het verplicht is om een bewustwordingsprogramma te hebben en uit te voeren. Hiervoor is de informatiebeveiligingsadviseur verantwoordelijk en deze mocht ik voor ongeveer een half jaar ondersteunen. De gemeente waar ik werkte had een vrij goed uitgewerkte bewustwordingscampagne liggen, zij deden onder andere aan:

  • Presentaties over informatieveilig werken
  • Pentesten: met het bewust maken van medewerkers in een organisatie wil je uiteindelijk een gedragsverandering bereiken, nou is dit bij de meeste mensen niet zo 1-2-3 gedaan! Het meest effectief is dat je oorzaak en gevolg duidelijk maakt en daar komt soms bij dat mensen daar even van moeten schrikken. Daarom werden er door de gemeente soms hackers ingehuurd om bijvoorbeeld ‘besmette’ USB-sticks achter te laten in het kantoor of phishing mails te sturen. Er werd dan gekeken naar hoe de medewerkers hiermee omgingen en dit werd vervolgens aan ze voorgelegd.
  • Workshops
  • Een escaperoom waarbij medewerkers alleen konden ‘ontsnappen’ wanneer zij ‘informatieveilige’ keuzes maakten.
  • Promotiemateriaal over informatieveilig werken

Persoonlijk heb ik ook wel mijn ideeën over hoe je het best bewustwording kan creëren onder medewerkers. Allereerst is het belangrijk dat er binnen de organisatie een speciaal budget wordt vrijgemaakt voor een bewustwordingscampagne. Het budget moet dan ingezet worden zodat je organisatie breed rekening houdt met de veiligheid en privacy van de gebruikers. Er zijn altijd potjes voor facilitaire zaken, trainingen, uitjes en ICT. Mijn ervaring is dat er binnen de gemeente ook wel een budget wordt vrijgemaakt, maar dit zou eigenlijk binnen elke organisatie moeten die te maken krijgt maken krijgt met informatiebeveiliging (lees: eigenlijk elke organisatie).  Vaak moet het eerst fout gaan voordat bedrijven eraan willen geloven. Toch is voorkomen beter dan genezen. Je kunt hier beter van tevoren in investeren, de schade is vaak veel groter als je iets overkomt waar je niet goed tegen beveiligd bent.

Daarnaast vraagt de AVG van organisaties dat er wordt gedaan aan data-minimalisatie. Dit houdt in dat er zo min mogelijk gegevens verwerkt en opgeslagen mogen worden. In de praktijk lijkt de uitwerking hiervan toch wat lastig te zijn.  Het is toch de bedoeling om het verzamelen van gegevens te minimaliseren en wanneer het niet meer nodig is, deze ook te verwijderen. Hoe minder je in ‘huis’ hebt, hoe minder er kan uitlekken. Daarbij is het ook handig om de medewerkers in een organisatie erg goed duidelijk te maken dat er onderscheid gemaakt moet worden tussen ‘need to know’ en ‘nice to know’. Wanneer is iets écht nodig om te versturen naar een collega of om zelf te bewaren en wanneer is bepaalde informatie niet noodzakelijk om bij te voegen? Wanneer iedereen binnen een organisatie zich hier bewust van is, zal het een hoop informatie schelen.

Kennis, of simpelweg onwetendheid

Ik denk dat veel organisaties op het gebied van bewustwording van privacy en veiligheid veel te wensen over laten.  Vaak is het een kwestie van gebrek aan kennis, of simpelweg onwetendheid. Dit heeft naar mijn mening met name te maken met het gebrek aan directe impact.  Wanneer er bij een organisatie de persoonsgegevens op straat liggen, ondervind je hier vaak niet direct een probleem van, dit komt vaak pas maanden of zelfs jaren later. De noodzaak ligt hierdoor gevoelsmatig niet hoog genoeg. Normaal gesproken ben ik geen grote voorstander van bangmakerij, maar met een beetje angst bereik je hiermee misschien toch het meest. Wanneer je duidelijk laat zien aan medewerkers wat de gevolgen kunnen zijn van het lekken van een BSN-nummer, wachtwoord, kopie van een paspoort (enzovoorts), gaat men denk ik toch beter inzien wat de noodzaak is van informatieveilig werken. Menselijk handelen vormt het grootste risico in de informatiebeveiliging, de soorten dreigingen blijven continu veranderen en daarom is de bewustwording van de medewerkers een onderwerp waarin geïnvesteerd zal moeten blijven worden.

Reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

  • Delen:
Bekijk de vacatures