NAVI Handreiking Security.indd
52
Bewust Vitaal Een handreiking voor het ontwikkelen van een Security Awareness programma
Transcript of NAVI Handreiking Security.indd
BewustVitaalEen handreiking voor het ontwikkelen van een
Security Awareness programma
2
3
Wat is het NAVI
In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de
verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen.
Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en
digitale dreigingen.
Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren:
Veilig platform voor informatie-uitwisseling
Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen.
Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen
bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen
partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken.
Aanbieden van kennis en expertise
Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de
vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld,
onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank.
Nationaal en internationaal contactpunt
Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale
infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor
de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en
buitenland, als bedrijven.
Voor meer informatie over het NAVI kunt u terecht op de website: www.navi-online.nl
4
5
Inhoudsopgave
Inhoudsopgave 5
1. Inleiding 9
1.1. Definities 9
1.2. Wat is een Handreiking Security Awareness 10
1.3. Waarom deze handreiking 10
1.4. Voor wie is deze handreiking 10
1.4.1. Volwassenheidsniveaus 10
1.4.2. Volwassenheidsniveaus van de doelgroep 11
1.4.3. Stadia van bekwaamheid en bewustzijn van medewerkers 11
1.4.4. Doelgroep (on)bekwaam en (on)bewust 12
1.5. Relatie met andere literatuur 13
1.6. Verbeteringen na het eerste openbare concept 13
1.7. Leeswijzer 14
2. De componenten van SA: Training, bewustzijn en opleiding 17
2.1. Is veiligheid wel belangrijk? 17
2.2. Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma 17
2.3. Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie 18
2.4. Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding 18
2.5. Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen 18
2.6. Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis 19
2.7. Een bewustwordingsprogramma is op maat gesneden 19
2.8. Een bewustwordingsprogramma bevat alle psychologische componenten 19
3. Fase 1: De ontwerpfase 21
3.1. Inleiding 21
3.2. Structureren van een programma 21
3.3. Belangen- en behoeftebepaling op basis van een risicoanalyse 22
3.4. Opstellen van een plan 23
3.5. Zet enthousiaste medewerkers in 24
3.6. Stellen van prioriteiten 24
3.7. Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk. 24
3.8. Commitment en draagvlak bij zowel management als medewerkers 25
3.9. Budgettering 25
4. Fase 2: De ontwikkeling van materiaal 27
4.1. Inleiding 27
4.2. Selecteren van onderwerpen voor bewustwording 27
4.3. De vorm van het bewustwordingsmateriaal 28
4.4. Bronnen voor materiaal 28
4.5. YouTube als informatiebron 29
4.6. Uitbesteden of zelf doen? 29
4.7. Partnerschap met soortgelijke organisaties 29
6
5. Fase 3: De implementatiefase 31
5.1. Wijze van communiceren 31
5.2. Technieken om de boodschap over te brengen 31
5.3. Management en communicatie 32
5.4. Sancties en beloningen 32
6. Fase 4: De evaluatie- en onderhoudsfase 35
6.1. Meten van de deelname en de effectiviteit 35
6.2. Evaluatie en feedback 36
6.3. Veranderingen in het bewustwordingsprogramma doorvoeren 36
6.4. Verhogen van het niveau van het bewustwordingsprogramma 37
6.5. Commitment van het management 37
6.6. Meerjarenplanning 38
7. Social Engineering als nul-meeting 41
7.1. Inleiding 41
7.2. Social Engineering en psychologie 41
7.3. Wederkerigheid: het aloude geven en nemen… en nemen 42
7.4. Commitment en consistentie: innerlijke spookbeelden 42
7.5. Sociale bewijskracht 42
7.6. Sympathie: de vriendelijke dief 43
7.7. Autoriteit 43
7.8. Schaarste: de regel van het tekort 43
Bijlage: Voorbeelden 45
Voorbeeld 1: Enkele voorbeelden van posters 45
Voorbeeld 2: Een bewustwordingstoolkit 45
Voorbeeld 3: NAVI coördineert uitwijkoefening 47
Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven 48
Literatuuroverzicht 51
7
8
9
1. InleidingVoor u ligt ‘Bewust Vitaal’, de handreiking Security Awareness (SA) van het NAVI. Deze handreiking beschrijft
welke activiteiten ondernomen moeten worden om te komen tot een bewustwordings- of Security Awareness
(SA) programma. Het bevat naast een stappenplan ook een plan van aanpak, een voorbeeld van een meerjaren-
planning en veel creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden.
Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een
bedrijf aanwezige praktische problemen.
De eerste paragraaf behandelt in het kort de definities van veiligheid en bewustzijn. Verder wordt beschreven
waarvoor en voor wie deze handreiking bedoeld is en hoe deze gebruikt kan worden. Er wordt ingegaan op de
achtergrond van dit document en de relatie met andere literatuur. Tot slot worden verbeteringen behandeld die
zijn aangebracht op het eerste openbare concept van de handreiking die eind 2008 is gepubliceerd.
1.1. DefinitiesDeze handreiking beschrijft de activiteiten om te komen tot een bewustwordings- of Security Awareness
programma (het proces). Het bewustwordingsprogramma moet leiden tot bewustzijn (het beoogde doel). Zoals
met veel begrippen, circuleren ook voor het begrip “beveiligingsbewustzijn” en “veiligheid” veel verschillende
definities. Hieronder zijn gangbare definities opgenomen van begrippen die in deze handleiding gebruikt worden.
Veiligheid is de mate van:
afwezigheid van potentiële oorzaken van een gevaarlijke situatie of -
aanwezigheid van beschermende maatregelen tegen deze potentiële oorzaken. -
Beveiligingsbewustzijn is de mate waarin elke medewerker:
het belang van beveiliging voor de organisatie begrijpt; -
het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is begrijpt en er ook naar handelt. -
Veiligheidsbewustzijn heeft dus te maken met het besef van het bestaan van gevaar en hoe dit is af te wenden
of de kans erop zo klein mogelijk te houden. Dit besef ontstaat door herhaling van de boodschap en door
herhaalde versterking (conditionering).
Social Engineering (SE): Het misleiden van mensen door middel van list, bedrog en psychologische trucs met het
doel (vertrouwelijke) informatie te verkrijgen. Bij SE wordt de mens als zwakste schakel in de beveiliging gezien.
Door de mens te misleiden kunnen technische en fysieke beschermingsmaatregelen omzeild worden.
Bruce Schneier; Beyond fear
Over the last years we’ve become obsessed with security, and put in place a whole host of policies and
procedures that will do... exactly what? The key is to think of security not in absolutes, but in terms of sensible
trade-offs, whether on a personal or global scale. Security yes, but down to earth, without the mumbo jumbo,
without shouting in utter Panic: “Barbarians at The Gate”.
Boodschap: overdrijf niet en zorg voor afweging tussen veiligheid en werkbaarheid.
10
1.2. Wat is een Handreiking Security Awareness?De Handreiking Security Awareness is een hulpmiddel bij de totstandkoming van een bewustwordingsprogramma.
Het neemt degene die verantwoordelijk is gesteld mee in zijn proces om problemen te onderkennen, doelen te
definiëren en oplossingen te creëren. Het is nadrukkelijk geen keurslijf, geen voorschrift. Het beoogt het proces te
beschrijven, niet de inhoud. Dat laatste wordt overgelaten aan de creativiteit van de verantwoordelijke manager
en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven.
1.3. Waarom deze handreiking?Het NAVI heeft ervaren dat er een grote diversiteit bestaat in de mate waarin bedrijven binnen de vitale
sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn voorwaarden
voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen en de achtergronden
van de genomen maatregelen, zal zijn houding en gedrag ten opzichte van security en het naleven van de
maatregelen positief beïnvloed worden.
De handreiking Security Awareness is een hulpmiddel voor bedrijven uit de vitale infrastructuur om een gedegen
bewustwordingsprogramma op te zetten waarin de stappen om medewerkers bewust te maken worden opgenomen.
1.4. Voor wie is deze handreiking?Om aan te geven voor wie deze handreiking bedoeld is wordt in deze paragraaf ingegaan op de volwassenheids-
niveaus van bedrijven, de volwassenheidsniveaus van de doelgroep en de stadia van bekwaamheid en bewustzijn
van de medewerkers.
1.4.1. Volwassenheidsniveaus
Bedrijven kunnen worden ingedeeld in de verschillende volwassenheidsniveaus. De mate van “volwassenheid”
kan op hoofdlijnen worden onderverdeeld in drie niveaus, variërend van laag tot middel tot hoog.
De situaties die bij de onderstaande volwassenheidsniveaus beschreven worden, hoeven niet allemaal voor te
komen of in dezelfde mate aanwezig te zijn; het is slechts een methode om te komen tot een globale indeling.
Volwassenheidsniveau Laag:
Bedrijven hebben geen strategisch beleid en/of structureel budget voor een bewustwordingsprogramma. -
Er is nog geen of slechts incidenteel een bewustwordingsprogramma gerealiseerd. -
De verantwoordelijkheid voor het uitvoeren van een bewustwordingsprogramma is niet of slechts beperkt -
belegd bij een daarvoor aangewezen medewerker.
Opvolging van een eerder uitgebracht programma strandt door het ontbreken van beleid, budget en/of creativiteit. -
Incidentregistratie wordt niet of niet volledig uitgevoerd. -
SE als nul-meeting
U wilt weten hoe het gesteld is met het naleven van veiligheidsmaatregelen in uw organisatie? Overweeg dan
eens te starten met een security audit die gebaseerd is op Social Engineering (SE). Hierbij proberen auditors
door middel van list en psychologische trucs om uw medewerkers (per telefoon of op locatie) te verleiden af te
wijken van veiligheidsprocedures en vertrouwelijke informatie te verstrekken of toegang te verlenen tot locaties,
netwerken en archieven. Zo komt u er ook achter of ongenode gasten mee kunnen liften bij de toegang tot
het pand. Deze auditors tonen op deze manier aan tot welke vertrouwelijke informatie of (proces)systemen zij
toegang kunnen krijgen.
Lees meer over Social Engineering en het gebruik van psychologische trucs om medewerkers te misleiden in
hoofdstuk 7.
11
Volwassenheidsniveau Middel:
Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma’s -
uitgevoerd.
De verantwoordelijkheid hiervoor is belegd bij een medewerker van het bedrijf. -
Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -
Het bedrijf is zich bewust van de incidenten die het gevolg zijn van niet beveiligingsbewust handelen -
van medewerkers, maar heeft moeite om voortdurend aandacht te blijven vragen voor het onderwerp
beveiligingsbewustwording.
Budgetten staan onder druk, de relatie naar een verlaging van het aantal incidenten is niet duidelijk of er zijn -
andere oorzaken, waaronder een gebrek aan creativiteit.
Volwassenheidsniveau Hoog:
Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma’s -
uitgevoerd.
De verantwoordelijkheid hiervoor is belegd bij een medewerker of een afdeling van het bedrijf. -
Over de stand van zaken wordt regulier gerapporteerd aan het management. -
Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -
Het bedrijf is zich bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. -
De bewustwordingsprogramma’s maken gebruik van vernieuwende en creatieve middelen en zijn daardoor in -
staat de aandacht van de medewerkers voor beveiligingsissues vast te houden.
Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat beveiligingsbewust te handelen -
in alle voorkomende situaties.
1.4.2. Volwassenheidsniveaus van de doelgroep
Deze handreiking Security Awareness richt zich op (security managers van) bedrijven die zich qua “volwassenheid”
op de niveaus Laag of Middel bevinden, dus bedrijven die een bewustwordingsprogramma willen starten of een
bestaand programma willen uitbreiden. Aan de hand van korte casusbeschrijvingen zal de ervaring van bedrijven
die zich op het volwassenheidsniveau Hoog bevinden, worden meegenomen; deze korte beschrijvingen worden
in de tekstblokken weergegeven. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar
draagt ook bij tot het uitdragen van kennis, ervaring en creativiteit.
1.4.3. Stadia van bekwaamheid en bewustzijn
van medewerkers
Medewerkers maken bij het doorlopen van
het bewustwordingsprogramma, een groei
door tot een veilige medewerker via een viertal
stadia. Hierin zijn twee aspecten van belang:
(on)bewustzijn en (on)bekwaamheid die met
elkaar verbonden zijn volgens de hiernaast
getoonde diagram.
BEKWAAM
BEWUSTONBEWUST
ONBEKWAAM
1
2
4
3
Figuur: De stadia van bewustzijn
12
Kenmerkend voor een lage mate van beveiligingsbewustwording is dat mensen fouten maken zonder dat zij
zich er van bewust zijn (stadium 1. Onbewust onbekwaam). In dit stadium worden veel fouten gemaakt. Indien
er binnen de organisatie een regeling is om fouten te rapporteren, zal blijken dat er vaak geen oorzaak van kan
worden vastgesteld. Het is echter aannemelijker dat fouten helemaal niet herkend worden en dat het bedrijf er
zich dus niet van bewust is dat (vertrouwelijke) informatie verloren gaat of er grote risico’s gelopen worden.
Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten
maken of gemaakt hebben en te laten ervaren waarom dit handelen als fout getypeerd wordt (stadium 2. Bewust
onbekwaam). In dit stadium kunnen medewerkers zich realiseren dat hun gedrag potentieel gevaarlijk is voor de
veiligheid van de organisatie. Het is daarom noodzakelijk dat de organisatie uitstraalt dat gemaakte fouten niet
bestraft worden, maar gebruikt worden om toekomstig gedrag te verbeteren en daardoor de veiligheid te
vergroten. Aan dit belangrijke cultuuraspect wordt in komende hoofdstukken nader aandacht besteed.
Nadat het de medewerkers duidelijk is wat fout gedrag is, kan hen het juiste gedrag aangeleerd worden.
De medewerker wordt zich bewust van de risico’s van zijn gedrag en handelt zoals hem dit wordt aangeleerd
(stadium 3. Bewust bekwaam). De medewerker kan nu veiligheidsbewust handelen, maar hij zal in dit stadium
nog steeds moeten nadenken om dit te realiseren. Langzamerhand zal het aangeleerde gedrag en het besef van
de onderliggende risico’s, leiden tot een meer natuurlijk gedrag van de medewerkers.
In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel
van zijn dagelijks functioneren. Hij herkent verdachte situaties en handelt in overeenstemming met wat hem is
geleerd. Hij is in staat om het aangeleerde ook in andere vergelijkbare situaties toe te passen zonder dat hij
daarbij bewust moet nadenken (stadium 4. Onbewust bekwaam).
Een alternatieve maar krachtige manier om de eerste twee stadia te omschrijven is:
wie niets weet en weet dat hij niets weet -
weet veel meer dan iemand -
die niets weet en niet weet dat hij niets weet. -
1.4.4. Doelgroep (on)bekwaam en (on)bewust
Deze handreiking richt zich op een bewustwordingsprogramma dat gericht is op medewerkers die onbewust
onbekwaam zijn (nog niet weten dat zij fouten maken) of al bewust onbekwaam zijn (weten dat zij fouten
maken). Voor beide doelgroepen geldt dat zij door middel het programma gebracht worden naar de situatie
waarin zij weten hoe gehandeld moet worden, waar de risico’s liggen en dat ten minste bewust uitvoeren
(dus bewust bekwaam zijn).
Strenge maatregelen bij bewust overtreden van voorschriften
Bruce Schneier:
“Fire someone who breaks security procedure, quickly and publicly. That’ll increase security awareness faster
than any of your posters or lectures or newsletters. If the risks are real, people will get it.”
13
1.5. Relatie met andere literatuurBewustwordingsprogramma’s zijn er in vele geuren en kleuren. Ze hebben allemaal gemeen dat ze
geschreven zijn voor een bepaald bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en risico’s.
Bewustwordingsprogramma’s kunnen daarom niet zonder meer worden gekopieerd van andere bedrijven maar
moeten dus vaak zelf ontwikkeld of aangepast worden. Handleidingen om te komen tot de ontwikkeling van een
bewustwordingsprogramma die zich specifiek richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet.
Natuurlijk is er wel veel over geschreven in diverse publicaties, maar de benodigde informatie is te verspreid om een
eenduidig beeld te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. In het literatuur-
overzicht zijn voorbeelden opgenomen van publicaties die waardevolle aanvullende informatie kunnen geven.
De handreiking SA van het NAVI is niet hetzelfde als het NCTb-programma “Zeker van je Zaak” dat in oktober 2009
is gepresenteerd. De handreiking en het programma richten zich op verschillende niveaus binnen de organisatie
maar vullen elkaar daardoor prima aan. Meer informatie over het NCTB-programma staat in de bijlage met voor-
beelden.
1.6. Verbeteringen na het eerste openbare conceptZoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die
breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van
de ontwikkeling van deze handreiking is begonnen in 2008. De vervolgstap, namelijk het verwerken van het
binnengekomen commentaar tot een breder gedragen en toepasbare handreiking heeft inmiddels plaatsgevonden.
Uit de commentaren is gebleken dat de (concept) handreiking op hoofdlijnen en in de details voldoet aan een
behoefte. Op een aantal onderwerpen is meer diepgang gewenst, of is het wenselijk om meer en uitgebreidere
voorbeelden te geven. Verder is de behoefte geuit om aan te geven hoe een bewustwordingsprogramma kan
worden opgenomen in een meerjarenplanning of als “doorlopend” programma in stand kan worden gehouden.
De uitwerking van dit onderwerp wordt in het hoofdstuk 6 (Evaluatie- en onderhoudsfase) beschreven.
Het mag duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de
petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is.
Toch is gebleken dat deze handreiking generiek toepasbaar is ook al leidt het opzetten van een bewustwordings-
programma tot een totaal verschillend resultaat per bedrijf of vitale sector.
It is not my problem
Professionals en hun organisaties zijn bereid om grote investeringen te doen om technische maatregelen te
implementeren (techniek): veelal de eerste volwassenheidsfase. Professionals komen er achter dat techniek alleen
niet genoeg is. Procedures dienen volledig te zijn, gecommuniceerd te worden – kortom: beveiliging dient
georganiseerd te worden. De tweede volwassenheidsfase. En als het dan georganiseerd is, en de techniek is
afgesteld, dan blijkt veelal dat mensen ‘het gewoon niet zo doen’. En Nederlanders al helemaal niet. Nederlanders
hebben een hekel aan beveiligingsmaatregelen: “Waar is het voor nodig?”, “Hier gebeurt nooit wat”, “Laten ze
maar eerst bij zichzelf beginnen” en andere uitvluchten, samen te vatten tot “It Is Not My Problem”.
Bron: Lezing van het Platform voor Informatiebeveiliging
14
1.7. LeeswijzerDeze paragraaf geeft de lezer een handvat om de handreiking makkelijker te gebruiken. Het beschrijft, als aanvulling
op de inhoudsopgave, in welk hoofdstuk welke onderwerpen aan de orde komen en hoe die in het proces van
het komen tot een bewustwordingsprogramma passen.
In deze handreiking worden vier kritische fasen onderkend om te komen tot een bewustwordingsprogramma.
Nadat in het hierna volgende Hoofdstuk 2 de componenten van SA: training, bewustzijn en opleiding worden
beschreven, worden deze vier fasen behandeld;
1. De ontwerpfase waarin het doel en de behoefte wordt bepaald en waarin een strategie wordt ontwikkeld
(hoofdstuk 3);
2. De ontwikkeling van trainingsmateriaal, afgestemd op de mogelijkheden, het budget en de beschikbare kennis
(hoofdstuk 4). In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video,
workshops, etc;
3. De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 5);
4. Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 6).
In hoofdstuk 7 wordt gedetailleerder ingegaan op een methode om door middel van Social Engineering een
nul-meting te houden. Deze vorm van security audit kan op heldere manier duidelijk maken waar het veiligheids-
bewustzijn van mensen tekortschiet en leidt tot ‘onveilig’ gedrag.
In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder voorbeelden
van posters en een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door
medewerkers aan onbekende personen.
In de gekleurde tekstboxen die her en der in het document zijn opgenomen, vindt u steeds voorbeelden van
creatieve oplossingen van bedrijven of andere relevante informatie. In een aantal tekstboxen wordt Bruce Schneier
geciteerd. Schneier is een autoriteit op het gebied van (informatie)beveiliging, is auteur van een groot aantal
boeken over dit onderwerp en staat vooral bekend om zijn pragmatische insteek bij het oplossen van problemen.
Het poldermodel in security
Veiligheidsregel van bedrijven worden soms onbewust maar ook regelmatig bewust overtreden. In tegenstelling
tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen mening omtrent security ook toe
te passen in de bedrijfsomgeving. Regels waarvan nut en noodzaak niet bekend zijn of niet onderschreven wordt,
worden dan bewust niet opgevolgd. Bij het opzetten van een programma moet daarom niet alleen op de focus
op de inhoud liggen, maar ook op de noodzaak van het opvolgen van veiligheidsregels en de sancties/
consequenties van het overtreden van de regels.
15
16
17
2. De componenten van SA: Training, bewustzijn en opleiding
In dit hoofdstuk wordt besproken uit welke componenten een goed bewustwordingsprogramma is opgebouwd en
hoe de verschillende componenten van een succesvol SA programma zich tot elkaar verhouden.
2.1. Is veiligheid wel belangrijk?Hoe is het gesteld met het aspect veiligheid in het bedrijf? Is het wel een belangrijk onderwerp en op grond
waarvan wordt dat geconstateerd? Om deze vraag goed te kunnen beantwoorden kunnen een aantal basisvragen
gesteld worden:
Staat het onderwerp veiligheid permanent op de agenda van de directie? -
Is er iemand verantwoordelijk gesteld voor veiligheid (Security Officer)? Zo ja, zit deze persoon hoog genoeg in -
de organisatie en adviseert hij rechtstreeks aan de directie?
Is de naleving van veiligheidsgerelateerde maatregelen onderwerp van het periodieke functioneringsgesprek? -
Wordt de aandacht voor veiligheid (naar belang) verdeeld over alle gebieden (productieveiligheid, fysieke -
veiligheid, ICT-veiligheid, personele veiligheid, etc.)?
Wordt er over veiligheid actief gecommuniceerd in bijvoorbeeld het bedrijfsblad? -
Als de antwoorden op deze vragen leiden tot een beeld dat veiligheid kennelijk meer in woorden dan in daden
beleden wordt, dan is het zaak om zich initieel in een bewustwordingsprogramma te richten op het management.
De directie moet er van bewust gemaakt worden dat veiligheid hoger, veel hoger, op de agenda moet komen
te staan. Als antwoorden op deze vragen leiden tot een beeld dat veiligheid wél belangrijk is, dan kan het
bewustwordingsprogramma zich richten op de medewerker. De directie zal in dat geval wel regelmatig het beeld
uitdragen dat grote waarde wordt gehecht aan veiligheid.
KSF1 : Het thema veiligheid heeft in de organisatie topprioriteit en is in de organisatie geborgd.
2.2. Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogrammaEen succesvol beveiligingsprogramma bestaat in de basis uit vier elementen:
een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd is op de bestaande -
en onderkende risico’s;
een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en organisatorische -
beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security
Plan (OSP)2 ;
medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in -
beveiligingsdocumentatie en procedures;
processen die het programma periodiek impulsen geven, bewaken en evalueren. -
Informele organisatie
De socioloog Erving Goffman beschrijft in zijn boek The Presentation of Self in Everyday Life op fascinerende wijze
de manier waarop we blijven geloven dat de mens zich schikt naar de formele realiteit: De wetten, de regels, de
Security Policies, de bewustwordingstrainingen, de seminars, etc. Er bestaat echter een informele, vaak ontkende
organisatie, waarin, zelfs in autoritaire instituties met “total control” (gevangenissen, psychiatrische ziekenhuizen,
het leger, religieuze ordes), mensen hun weg vinden om regels te buigen en hun eigen realiteit te creëren om
drugs, alcohol, sex, sigaretten etc. te bemachtigen. Dit buigen van regels is menselijk en gebeurt in elke
organisatie. Het is aan te raden om met deze informele organisatie rekening te houden bij het formuleren van
(soms complexe) veiligheidsprocedures.
1 KSF; Kritische Succes Factor, een voorwaarde voor het slagen van een programma.2 Voor hulp bij het opstellen van een SMS en een OSP heeft het NAVI handreikingen gemaakt. Deze zijn te downloaden van de website van het NAVI (www.navi-online.nl).
18
Een effectief bewustwordingsprogramma sluit aan bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte
instructiemateriaal is gebaseerd op de strategie en beveiligingsplannen van de organisatie, alsook de gebruikte
procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit
bij de belevingswereld van de medewerkers.
2.3. Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie
Een bewustwordingsprogramma richt zich niet alleen op de medewerker op de werkvloer maar op alle medewerkers
van een organisatie, inclusief de beheerders en het (top)management. Het management heeft daarbij de bijzondere
taak om voorbeeldgedrag te vertonen. Goed voorbeeldgedrag is een noodzaak om te communiceren dat het
management de navolging van veiligheidsregels belangrijk vindt en onderschrijft. Slecht voorbeeldgedrag van het
management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te
hoeven leven. De effectiviteit van een bewustwordingsprogramma is hier in grote mate van afhankelijk.
KSF: De betrokkenheid en het goede voorbeeldgedrag van alle niveaus, maar met name van het management, is
een voorwaarde voor het slagen van een bewustwordingsprogramma.
2.4. Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding
Veiligheidsvoorschriften en procedures zijn vaak voor alle medewerkers beschikbaar, op het Intranet of fysiek als
bundel in een archiefkast. Instructie over nut en noodzaak en de beoefening van de procedures wordt echter vaak
achterwege gelaten of overgelaten aan de medewerker zelf. De medewerker krijgt in dat geval opdracht om zich de
procedures zelf eigen te maken, maar zal daar geen prioriteit aan geven. Impliciet wordt dit ook vaak door het bedrijf
geaccepteerd (zie ook §2.2 Is veiligheid wel belangrijk?). Een bewustwordings- , opleidings- en trainingsprogramma is
essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben
om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van
veiligheidsmaatregelen.
2.5. Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen
Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een
medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de
veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een
sanctiemodel indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht
dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze
veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van
deze maatregelen en weten welke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen.
Praatje, plaatje, daadje
Hoe blijft de boodschap het beste hangen? De volgende wijsheid kan daarbij helpen:
“Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden. Laat het me doen en ik
zal het begrijpen.”
19
2.6. Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis
Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen
en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid.
Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast
kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd.
2.7. Een bewustwordingsprogramma is op maat gesnedenVoor een deel van de medewerkers volstaat een algemeen bewustwordingsprogramma alleen niet. Medewerkers
die specifieke of specialistische kennis op het gebied van beveiliging nodig hebben, volgen veelal een externe
opleiding die in veel gevallen zal leiden tot certificering. Op de Nederlandse markt is een groot aantal aanbieders van
internationaal erkende opleidingen actief die opleiden tot een eveneens internationaal bekende en erkende titel.
2.8. Een bewustwordingsprogramma bevat alle psychologische componentenEen goed bewustwordingsprogramma richt zich op alle relevante psychologische componenten: kennis (d.m.v. interne
of externe opleidingen), houding (bewustzijn en competenties) en gedrag (d.m.v. herhaalde oefening en training).
Indien aan één van deze drie componenten niet of onvoldoende aandacht wordt besteed, functioneert een
bewustwordingsprogramma niet naar behoren en is het op termijn gedoemd te mislukken.
20
21
3. Fase 1: De ontwerpfaseIn de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en moet
een strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van
een bewustwordings- en trainingsprogramma:
1. het ontwerp van het programma zelf;
2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken;
3. de feitelijke implementatie van het programma.
Vervolgens is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt
bewustwordings- en trainingsprogramma vergt een behoorlijke inspanning voordat het daadwerkelijk de veiligheid
en de waakzaamheid vergroot binnen een organisatie.
Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het
ontwerp van een programma.
3.1. InleidingEen bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een bewustwordingsprogramma zal
alleen voldoende aandacht krijgen als het in overeenstemming is met de missie, de directe belangen of de
veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en passen binnen zijn cultuur.
De meest succesvolle programma’s zijn die, waarbij gebruikers ook daadwerkelijk ervaren dat de onderdelen
bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook nadrukkelijk
onderkennen). Iets wat als wezensvreemd wordt ervaren wordt nooit uitgevoerd!
In de ontwerpfase worden de te beveiligen belangen en behoeften vastgesteld, de hiervoor relevante onderwerpen
en prioriteiten geïdentificeerd en vervolgens zaken als draagvlak, commitment en budget onderzocht en bepaald.
3.2. Structureren van een programmaBij het bepalen van de structuur van een programma, kan gebruik worden gemaakt van drie basismodellen, die
voornamelijk verschillen in de wijze waarop centraal of decentraal uitvoering wordt gegeven aan het programma.
Voor alle modellen geldt dat het beleid zelf centraal is vastgesteld. De modellen zijn:
Model 1: Gecentraliseerde strategie en uitvoering;
Model 2: Gecentraliseerde strategie en decentrale uitvoering;
Model 3: Decentrale strategie en uitvoering.
De keuze voor het model wordt bepaald door:
de geografische spreiding van onderdelen van de organisatie; -
de functie, taken en verantwoordelijkheden van een (deel)organisatie; -
de toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten). -
Gebruik eenvoudige maar effectieve hulpmiddelen
Dwingt uw netwerk af dat er gebruik wordt gemaakt van sterke, cryptische wachtwoorden (3 van de 4
mogelijkheden van grote en kleine letters, cijfers en leestekens) om ontdekking te voorkomen?
In veel gevallen wordt het wachtwoord dan “Piet2009”. Het voldoet aan de regels maar is het ook veilig genoeg?
Op het Internet zijn voldoende handleidingen te vinden om veilige wachtwoorden te maken. Gebruik ze binnen
uw bedrijf en ondersteun veilige wachtwoorden m.b.v. een tool die de kwaliteit weergeeft in kleuren of cijfers.
1VpK=/Zm (Een veilig password kiezen is niet zo moeilijk)
22
De keuze voor een bepaald model dient bij voorkeur te sporen met hetgeen in de reguliere bedrijfsvoering van de
organisatie gebruikelijk is. Een geheel gedecentraliseerde uitvoering van bewustwording binnen een voor het overige
volledige centraal geleide organisatie of vice versa zal weinig succesvol zijn. Dit is roeien tegen de stroom in.
3.3. Belangen- en behoeftebepaling op basis van een risicoanalyseAan een beveiligingsstrategie ligt een effectieve risicoanalyse ten grondslag. Hierin worden de belangen en
bedreigingen van de organisatie geïdentificeerd. De NAVI-handreiking Risicoanalyse kan hierbij behulpzaam zijn3.
Op basis van deze belangenanalyse dient vervolgens een behoeftebepaling plaats te vinden. Dit is een proces waarin
bepaald wordt in welke mate een organisatie (ook) behoefte heeft aan een bewustwordingsprogramma in het kader
van zijn beveiliging. Hierin wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld, maar ook wat
voor de overbrugging daarvoor noodzakelijk is.
De mate van bewustzijn binnen de organisatie en daarmee de behoefte wordt bepaald door het bevragen van
verschillende groepen medewerkers:
Strategisch management; -
Management verantwoordelijk voor beveiliging (fysiek e/o IT); -
Beveiligingsfunctionarissen, zowel management als uitvoering; -
Systeemeigenaren en administrators; -
Operationele managers en uitvoerders. -
Om de behoefte te bepalen kan gebruik worden gemaakt van o.a. diverse technieken:
Interviews met bovenstaande groepen; -
Onderzoek naar bestaande bewustwordings- en trainingsprogramma’s, trainingsschema’s en deelnemerslijsten; -
Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en –procedures; -
Incidentregistratie en de afhandeling; -
Trends in vakbladen; -
Wijziging in wet- en regelgeving; -
Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op beveiligingsgebied); -
Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT. -
Meetbare gegevens zoals de registratie van incidenten en de namen en aantallen deelnemers aan trainingen geven
een objectief inzicht in de stand van zaken en de behoefte voor evaluatie van een bestaand programma.
Analyse van de resultaten van de interviews en onderzoeken moet leiden tot beantwoording van de volgende vragen:
Wat is de behoefte aan een bewustwordings- en trainingsprogramma of opleiding? -
Op welke manier wordt op dit moment voorzien in de behoefte en hoe effectief is dit? -
3 Deze is te downloaden van de NAVI-website www.navi-online.nl
Bang voor illegale USB-sticks?
Meer dan 50% van mensen die een USB-stick vindt, brengt zijn computer in gevaar door ze aan te sluiten.
Misschien bent u wel 1 klik verwijderd van een groot netwerkprobleem. Is het binnen uw bedrijfsnetwerk
mogelijk om gebruik te maken van organisatie-vreemde usb-sticks? Overweeg dan eens om een test uit te voeren
met een zogenaamde honeystick. Hierbij worden door de organisatie geprepareerde USB-sticks schijnbaar
achteloos achtergelaten binnen en/of buiten het bedrijf. Zodra een USB-stick aangesloten wordt op het
bedrijfsnetwerk, wordt automatisch een verbinding tot stand gebracht met een systeem dat de USB-stick en de
gebruiker registreert en de gebruiker vervolgens op de hoogte brengt van de overtreden veiligheidsregel.
Voor meer informatie zie: http://honeystickproject.com
23
Wat is het verschil tussen de behoefte en wat momenteel wordt gerealiseerd (gap-analyse)? -
Welke onderwerpen wordt als het meest kritisch gezien? -
Langs welke weg kan de wenselijke situatie het best worden bereikt? -
In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er
gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten
de bedrijfscultuur een hindernis vormt, of de capaciteit en kwaliteit van het IT-netwerk van de organisatie een
Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te onderzoeken of
een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken naar een externe
locatie, enzovoort.
3.4. Opstellen van een planNadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke
bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat de
basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende onderwerpen:
De formele basis voor het programma met bestaande wet- en regelgeving, aangevuld met bedrijfseigen beleid -
en richtlijnen;
De aansturing van het programma en de inbedding in de managementlijn; -
De scope van het programma; -
De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de ontwikkeling -
en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die betrokken zijn bij de
uitvoering van het programma;
Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training, -
opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten;
Bepaling van de doelgroepen voor de onderdelen van het programma; -
Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname; -
Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma; -
Wijze van communiceren (CBT, instructielokaal, presentatie, posters, etc.); -
Documentatie, terugkoppeling en registratie van deelname; -
Wijze waarop de resultaten van het programma worden verankerd in de reguliere bedrijfsvoering en hoe aan -
onderhoud daarvan verder uitvoering kan worden gegeven;
Hoe evaluatie van en nazorg vanuit het programma zal plaatsvinden. -
Medisch Centrum zet bewakingspersoneel in
Bij het uitvoeren van een bewustwordingsprogramma zag een Medisch Centrum zich voor de uitdaging gesteld
om ook de avond- en nachtdienst van de verpleging te bereiken. Het betreffende MC heeft daarvoor de
beveiligers opgeleid die tijdens hun rondes en de pauzes van de verpleging op de afdelingen actuele
beveiligingsonderwerpen bespraken. Het resultaat was een duidelijke stijging in het aantal meldingen van
verdachte situaties en een verlaging van het aantal diefstallen.
24
3.5. Zet enthousiaste medewerkers inIn ieder bedrijf zijn mensen te vinden die een gevoel hebben bij veiligheidsaspecten, die risico’s of risicovolle
situaties herkennen en ook veiligheidsbewust handelen. Maak gebruik van deze medewerkers, nodig ze uit om mee
te denken, maak ze lid van de denktank. Zij zullen niet alleen in staat zijn mee te denken bij het opzetten van een
programma, maar zullen de ambassadeurs zijn die de doelstelling van het programma uitdragen, op de werkvloer,
dicht bij de medewerkers die u wilt bereiken met een bewustwordingsprogramma.
KSF: Geef medewerkers die geïnteresseerd zijn in veiligheid de kans en de middelen om mee te werken aan het
ontwerpen en het uitzetten van de noodzakelijke procedures en regels.
3.6. Stellen van prioriteitenAls de strategie en het plan zijn opgesteld kan bepaald worden op welke wijze de implementatie kan plaatsvinden.
Bij een omvangrijk programma kan dit in fasen gebeuren. Het is daarbij van belang om prioriteiten te stellen en om
belangrijke en urgente zaken voorrang te verlenen. De volgende overwegingen spelen daarbij een rol:
De beschikbaarheid van materiaal en personen; -
De rol van de organisatie en de complexiteit (of eenvoud) waarmee een programma kan worden gerealiseerd; -
De huidige stand van het niveau van bewustwording (de grote gaten eerst dichten); -
De vraag in hoeverre andere prioritaire projecten afhankelijk zijn van het bewustwordingsprogramma; -
De vraag welke medewerkers, die vanwege de ‘gevoeligheid van hun werk’ en dus de grootste risicofactor -
vormend, als eerste een training moeten volgen.
Over het algemeen geldt hier het volgende adagium: hoe meer focus, hoe groter de kans op succes. Een vaak
voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te
veel zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei
cultuurprogramma’s die beogen de bedrijfscultuur te veranderen. Te veel in korte tijd willen bereiken vergroot de
kans dat het proces tussentijds krakend tot stilstand komt en men daardoor uiteindelijk minder bereikt dan met een
duidelijke focus wellicht wel het geval zou zijn geweest.
3.7. Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk.
Een andere succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de
complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het
programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk:
de functie van de cursist en daarmee het opleidingsniveau; -
de benodigde kennis en vaardigheden die voor die functie nodig zijn. -
Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de
Kadootjes doen het goed
Nederlanders zijn als geen ander volk spaarders van zegeltjes, airmiles en freebees. Voor een klein kadootje doen
ze veel. Een ministerie wilde stimuleren dat het overgrote deel van de ambtenaren deel zou nemen aan een
bewustwordingsprogramma. Het bood aan alle deelnemers een CD (in creditkaartformaat) aan met gratis software
voor thuisgebruik waaronder een firewall, anti-virus software en programma’s tegen spam en ongewenste
advertenties. Ook werd software geleverd waarmee ouders hun kinderen konden beschermen tegen bezoeken
aan ongewenste sites. Daarnaast werd een cursus veilig PC-thuisgebruik op de CD aangeboden en bestond de
mogelijkheid een gekwalificeerde digitale handtekening aan te vragen. De deelname aan het
bewustwordingsprogramma, dat zich uiteraard richtte op de werkplek, overtrof alle verwachtingen!
En de kosten? Die bedroegen € 3,00 per CD.
25
over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het management
maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over het beleid en de
veiligheidsregels. Indien een bewustwordingsprogramma enige tijd loopt, kan differentiatie worden aangebracht in
de doelgroepen en kan de complexiteit van de informatie worden aangepast aan het niveau en de functie van de
deelnemers.
3.8. Commitment en draagvlak bij zowel management als medewerkersEen programma dat niet wordt gedragen, en dan met name door het management, is gedoemd te mislukken.
Het (top)management zal (zoals al eerder is aangegeven) actief en frequent zijn commitment moeten uitspreken
door aanwezig te zijn op belangrijke momenten in het programma zoals de start van het programma, de
openstelling van een website, de eerste presentatie, het uitreiken van prijzen etc. Alleen dan zal het draagvlak
creëren bij de medewerkers.
3.9. BudgetteringNadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget worden
bepaald. Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die
betrekking hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de
kosten die gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies
aan productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn:
een zeker percentage van het gehele opleidings- en trainingsbudget; -
budget per medewerker, afhankelijk van zijn rol; -
een percentage van het IT Budget (let op: Niet alle beveiliging is IT-gerelateerd); -
expliciete berekening van het gehele programma. -
Er zijn problemen te verwachten in het realiseren van beveiligingsbewustzijn indien de budgetten lager uitvallen
dan benodigd. Het is de expliciete verantwoordelijkheid van het management om voldoende budget beschikbaar
te stellen (zie ook §2.2 Is veiligheid wel belangrijk?). Het hanteren van het stappenplan en accorderen van het
resultaat van iedere stap (strategie, behoefte, plan) door het management, biedt de grootste mate van zekerheid om
het benodigde budget vrij te maken. Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de doelen
(behoefte) bij te stellen, een fasering aan te brengen of budgetten te herverdelen.
Commitment van de leiding, maar hoe?
De baas moet uitstralen dat hij het bewustwordingsprogramma belangrijk vindt en moet het dus ook uitdragen.
Een aantal voorbeelden hoe dat gerealiseerd kan worden:
Laat de baas de opening doen, kleed dat feestelijk aan en zorg voor een prominente spreker; -
Plaats een interview in het bedrijfsblad met de baas over zijn beleving van veiligheid en werkbaarheid; -
Laat de baas prijzen uitreiken aan de winnaars van een veiligheidsprijsvraag en plaats daar een artikel over. -
De baas onderwerpt zich (uiteraard) ook aan de regels. -
26
27
4. Fase 2: De ontwikkeling van materiaal Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een
bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal,
afgestemd op de mogelijkheden, het budget en de beschikbare kennis. In dit hoofdstuk worden diverse soorten
materiaal besproken zoals web-based training, video, workshops, etc.
4.1. InleidingNadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij de
ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden:
Welk gedrag willen we versterken? -
Welke vaardigheden willen we aanleren en toe laten passen? -
Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en horen in hun dagelijkse werk te
implementeren, als zij het gevoel hebben dat het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten
bij de belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit houdt in dat materiaal ontwikkeld
moet worden dat voor iedere medewerker toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op
een specifieke doelgroep.
Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past
het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de
doelgroepmedewerkers bij de ontwikkeling indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat
veel mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat
allerlei aanvullende zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag.
4.2. Selecteren van onderwerpen voor bewustwording Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld
moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie
beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten, vakbladen en
nieuwsbrieven van diverse beveiligingsorganisaties en instellingen, bijvoorbeeld:
Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van verandering, -
geheimhouding, hoe om te gaan bij meerdere systemen;
Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat doet die -
kwaadaardige software en hoe blijft de virusscanner up-to-date. Leg hierbij ook de relatie naar het thuisgebruik;
Beleid; implementatie in projecten en compliancy; -
Onbekende e-mails en/of bijlagen; -
Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van gebruikershandelingen; -
Hoe om te gaan met SPAM berichten; -
Opslag van gegevens en de wijze van backup door de organisatie; -
Social Engineering; misbruik van vertrouwen van medewerkers door kwaadwillenden; -
Incidenten; wat te doen, bij wie te melden; -
Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”; -
Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water, stof, -
vuur, tijdelijk uitgeschakelde toegangscontrole, etc.);
Snelle reactie op verloren USB-stick
Het ministerie van Defensie kwam enige tijd geleden in het nieuws door het verlies van een USB-stick met zeer
gevoelige informatie. Het ministerie reageerde daarop direct door extra aandacht te vragen voor dit onderwerp in
bestaande bewustwordingsprogramma’s.
28
Risico’s tijdens verhuizingen; -
Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen; -
Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.); -
Gebruik van vercijfering van gegevens tijdens transport en opslag; -
Laptops en USB-sticks tijdens reizen; risico’s van diefstal van apparatuur en gegevens; -
Installeren van updates; -
Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers; -
Toegang tot bedrijfssystemen; -
Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie; -
Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie; -
Desktop beveiliging; screensavers, clear desk en clear screen; -
Geheimhouding van vertrouwelijke informatie; -
Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik. -
4.3. De vorm van het bewustwordingsmateriaalUit een scala aan technieken en vormen kan gekozen worden om de boodschap uit te dragen. Dit hangt af
van het type boodschap, de organisatie en zijn cultuur en de complexiteit van de boodschap. Bij de start van
een bewustwordingsprogramma is het van belang de focus te leggen op de meest belangrijke risico’s die een
organisatie loopt en zich te richten op alle medewerkers. Een overdosis aan onderwerpen, de wijze waarop het
programma gecommuniceerd wordt of te grote differentiatie naar type medewerkers, zal afleiden van de essentie
van het programma. Lees hierover meer in hoofdstuk 7, waarin een meerjarenplanning of rolling programma
beschreven wordt. Nadat initieel een bewustwordingsprogramma gehouden is voor alle medewerkers met de meest
prangende onderwerpen, kan differentiatie plaatsvinden naar medewerkers (uitvoerders, staf, midden- en strategisch
management), de wijze waarop de onderwerpen gecommuniceerd worden (webgebaseerde training, presentaties,
nieuwsbrieven). Onderstaand overzicht biedt een aantal voorbeelden:
Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen, post-it briefjes, sleutelhangers, keycords, klokken; -
Posters met informatie over wat te doen of juist niet te doen; -
Screensavers met wisselende teksten; -
Nieuwsbrieven; -
E-mail berichten; -
Videoberichten; -
Webgebaseerde informatie of trainingen; -
Presentaties door een instructeur; -
Security-dagen; -
Security-tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een -
bevestiging weer verdwijnen);
Kruiswoordpuzzels; -
Prijsvragen. -
In alle gevallen is het van belang om de boodschap op meerdere manieren over te brengen. Dit versterkt de kracht
van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord
behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt.
4.4. Bronnen voor materiaalHet aantal en de verscheidenheid van bronnen die materiaal kunnen leveren voor een bewustwordingsprogramma
is groot. Veel van dit materiaal is beschikbaar op het Internet als openbare bron. In een aantal gevallen zal het zelfs
mogelijk zijn om te beschikken over complete bewustwordingsprogramma’s. Daarbij is echter een kanttekening op
zijn plaats: Het programma is ontwikkeld met andere uitgangspunten dan die van het bedrijf en voldoet dus waar-
schijnlijk niet helemaal aan de behoefte. Kopieer daarom niet klakkeloos maar selecteer die onderwerpen die ook in
het eigen proces geïdentificeerd zijn en pas ze aan de eigen behoefte aan.
29
Enkele voorbeelden van bronnen van materiaal:
Handleidingen voor zakelijk en privé gebruik van Internet en e-mail zoals die in nieuwsgroepen beschikbaar zijn; -
Nieuwsbrieven van security organisaties en magazines; -
http://www.schneier.com/crypto-gram.html.
Een gratis maandelijkse nieuwsbrief met daarin overzichten, analyses, inzichten en commentaren over
security-onderwerpen op het gebied van computers en andere zaken.
http://www.biometrics.org/
Whitepapers en ander materiaal dat op websites beschikbaar wordt gesteld door organisatie van vakgenoten -
(voor leden en/of niet-leden);
http://www.pvib.nl/ van het Platform voor InformatieBeveiliging.
Websites met online nieuwsberichten; -
http://www.security.nl
Materiaal van conferenties, seminars en cursussen; -
Professionele organisaties die bewustwordingsprogramma’s ontwikkelen. -
4.5. YouTube als informatiebronDe populariteit van YouTube is groot. Daarmee is het ook voor Security Awareness een grote bron van informatie
en nieuwe ideeën. Het grote voordeel van YouTube als informatiebron is dat de video’s over het algemeen niet
auteursrechtelijk beschermd zijn (Controleer dit voordat ze gebruikt
worden!). Op YouTube is onder andere een aantal video’s te vinden
over Tiger Teams; teams die de beveiliging van bedrijven en
organisaties testen. Het is zeker de moeite waard om te beoordelen
of deze video’s kunnen bijdragen aan het verhogen van het
bewustzijn. Er zijn maar weinig bedrijven en organisaties die openlijk
communiceren over de zwakheden in hun beveiliging en ook al
betreft het in de video’s Amerikaanse bedrijven, de analogie met
Nederlandse organisaties is groot. Gebruik binnen YouTube
(www.youtube.com) de zoekterm “Tiger team”4 en beoordeel zelf de
kwaliteit van een professionele diefstal van gegevens.
4.6. Uitbesteden of zelf doen?Het ontwikkelen van een bewustwordingsprogramma kost veel tijd, energie en geld. Op enig moment zal de vraag
gesteld worden of u het allemaal zelf wel kunt en wilt. Onderstaande overwegingen kunnen gebruikt worden rond
deze besluitvorming:
Heeft de organisatie zelf de kennis en capaciteit beschikbaar? Hebben deze mensen de juiste vaardigheden en -
ervaring? Zijn de mensen voor deze opdracht beschikbaar?
Is het meer kosteneffectief om het programma zelf op te zetten of uit te besteden? -
Zijn er budgetten beschikbaar? -
Is de organisatie in staat om eenmaal aangeleverde programma’s zelf te onderhouden? -
Staat de gevoeligheid van de inhoud van het programma uitbesteding wel toe? -
Past uitbesteding in het beoogde tijdsplan? -
Behoud van benodigde kennis. -
4.7. Partnerschap met soortgelijke organisatiesWaarom zelf ontwikkelen als anderen u al voor gegaan zijn? Het ontwikkelen van een programma kan gebaat zijn
bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan worden
uitgewisseld, maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet alleen de
kosten maar bevordert ook het uitwisselen van creatieve ideeën.
4 Ten tijde van de verschijning van deze Handreiking in oktober 2009 was op YOUTUBE een
korte serie “Tiger Team 101” beschikbaar over de diefstal van klant- en creditcardgegevens van
een autodealer en de diefstal van dure auto’s.
30
31
5. Fase 3: De implementatiefaseNa de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een
bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de implementatie van het programma en de
rol van communicatie daarin.
5.1. Wijze van communicerenHet bewustwordingsprogramma moet binnen de organisatie uitgelegd en gecommuniceerd worden. Het doel is
begrip en ondersteuning te realiseren voor de uitvoering van het programma en duidelijkheid te geven over de
bijdrage die van de medewerkers verwacht wordt. De communicatie zal moeten verduidelijken wat de
verwachtingen van het management zijn en de te verwachten resultaten voor de organisatie. De wijze waarop
het project bekostigd wordt (centraal budget of doorbelasting) moet voor het management duidelijk zijn.
Verder is het van belang dat iedereen in de organisatie die betrokken is bij het programma, zijn eigen taken en
verantwoordelijkheden kent, maar ook die van de andere deelnemers. Als aanvulling hierop moeten ook tijdschema’s
en beoogde resultaten (in aantal deelname en percentage geslaagden per onderdeel) gecommuniceerd worden.
In §6.2 wordt een aantal basismodellen besproken voor het bepalen van de structuur van een programma. De
basismodellen verschillen voornamelijk in de wijze waarop centraal of decentraal uitvoering wordt gegeven aan
het programma. Het spreekt voor zich dat de wijze waarop de communicatie moet worden ingericht (centraal of
decentraal) moet aansluiten bij de keuze die in §6.2 gemaakt wordt.
KSF: Voorzie noodzakelijke communicatiekanalen op en over alle niveaus heen. Breng hierbij de
veiligheidsboodschap op een creatieve en positieve manier. Zorg dat er kanalen bestaan om goede feedback
mogelijk te maken, geef er gevolg aan en maak snel duidelijk waarom iets wel of juist niet kan.
5.2. Technieken om de boodschap over te brengenIn hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden overgebracht.
In onderstaande paragraaf worden in aanvulling hierop verschillende technieken besproken.
De techniek die gebruikt gaat worden om de boodschap
op de medewerker over te brengen moet voldoen aan
een aantal criteria:
Eenvoud in gebruik; gebruiks- en -
onderhoudsvriendelijk (updates);
Schaalbaarheid; verschillende kennisniveaus van de -
gebruikers, grootte van de deelnemersgroepen en
verschillende locaties (klaslokaal en auditorium);
Vastleggen van meetgegevens; aantal deelnemers, -
scores, tijdsbesteding, correlaties tussen
deelnemersgroepen en resultaten;
Beschikbaarheid op de markt; aantal potentiële -
leveranciers.
De meest gebruikelijke technieken zijn:
Interactieve Video Training (IVT). Dit kan gebruikt -
worden voor leren en trainen op afstand en maakt
gebruik van technologie die tweerichtingsverkeer voor
interactieve audio en video mogelijk maakt.
De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan niet-interactieve vormen.
Een duidelijke boodschap die voor iedereen te begrijpen en te herkennen is? Gaat het om de scherpe kanten of de brug die gesloten is?
32
Webgebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo deelnemen -
aan het programma. Er kunnen test- en meetmomenten ingebouwd worden en de resultaten kunnen worden
teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het programma herhaald worden.
De techniek van de webgebaseerde training is sterk in ontwikkeling. Het is zelfs mogelijk dat instructeur en
deelnemers (of deelnemers onderling) interactief met elkaar kunnen communiceren;
Niet- webgebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal. Hierbij wordt -
materiaal beschikbaar gesteld op het intranet. Het programma wordt dan door iedere deelnemer vanaf zijn eigen
werkstation gevolgd, zonder interactie met een instructeur of andere deelnemers;
On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de begeleiding -
van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of auditorium, een
trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van kennisoverdracht. In
grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle medewerkers ook deel kunnen
nemen en kan geografische spreiding van medewerkers leiden tot lange reistijden of de instructie op meerdere
locaties.
De meest krachtige vorm bij kennisoverdracht is het gebruik van meerdere technieken. Zo kan een instructeur eerst
vertellen (presenteren) over een bepaald onderwerp waarna een videopresentatie gestart wordt ter ondersteuning
van het onderwerp. In een later stadium kan een deelnemer via een interactieve training meer kennis en vaardig-
heden opdoen vanaf zijn eigen werkplek.
5.3. Management en communicatieDe wijze van communiceren kan nog zo krachtig zijn, de boodschap die het management uitdraagt moet daarmee
wel in overeenstemming zijn. Het is zeker belangrijk om uw management eens te beoordelen op hun vaardigheden
om de boodschap uit te dragen, ofwel, te communiceren. Zelfs de beste managers maken gebruik van specialisten
op het gebied van communicatie. Als het nodig is dan moet het management aanvullende training krijgen om de
boodschap duidelijk te kunnen communiceren. Denk aan het belang van voorbeeldgedrag van het management dat
in §3.2 werd besproken.
KSF: Managers moeten in staat zijn om te communiceren en over de nodige vaardigheden beschikken. Zonodig
moeten zij daarin getraind worden.
5.4. Sancties en beloningenIn het bewustwordingsprogramma zal aandacht besteed moeten worden aan een sanctiemodel, dat wordt toegepast
indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich
houden aan de veiligheidsregels en deze naleven. Voorwaarde is dan wel dat zij op de hoogte zijn van deze veilig-
heidsregels en deze beoefend hebben.
Naast sancties bestaat er ook de mogelijkheid om positief gedrag te belonen. In beloning ligt juist de kracht die
anderen kan stimuleren om hun gedrag positief te beïnvloeden. Bij het te belonen positieve gedrag kun je denken
aan het voorkomen van een incident, het herkennen van een risicovolle situatie of het minst aantal fouten bij
de periodieke test via het Intranet. Beloon deze medewerkers en communiceer uitbundig over deze positieve
voorvallen, bijvoorbeeld op het Intranet of in het bedrijfsblad. Laat prijzen uitreiken door de directie, die daarmee
Het gaat om communicatie!
Bij een overheidsinstantie werd door een vooraangekondigde Social Engineering-actie (zie voor meer informatie
hoofdstuk 8) het wachtwoord van een hoge leidinggevende gestolen. Deze heeft vervolgens zijn ervaringen en
de genomen tegenmaatregelen uitgebreid beschreven in de periodiek nieuwsbrief. Openheid bevordert begrip!
33
zijn commitment opnieuw bevestigd. Zorg er dan wel voor dat de prijs ook begerenswaardig is en in verhouding
staat tot het te belonen voorval (bijvoorbeeld beveiligingssoftware, een wellness arrangement of een weekendje
in een vakantiepark). In de meer zakelijke sfeer zou je als beloning ook kunnen denken aan het volgen van een
(beveiligings?) opleiding, een extra vrije dag of zelfs een periodiek.
KSF: Waardeer de medewerkers die bijdragen aan betere prestaties en het verhogen van de bewustwording en
communiceer daar uitbundig over.
Een sanctie is soms noodzakelijk om betrokkene duidelijk te maken dat de organisatie het risicovolle gedrag niet
accepteert. In de praktijk blijken sancties echter niet vaak voor te komen. In veel gevallen worden veiligheidsincidenten
niet eens meegenomen in de periodieke beoordeling. Het ligt daarom meer voor de hand (en past vaak beter in de
bedrijfscultuur) om positief gedrag te bevestigen door er de nadruk op te leggen.
KSF: Benadruk positieve bevestiging. Waardeer veilig gedrag, geef positief commentaar op veilige handelingen. Het
zal de veiligheidsstandaard van uw organisatie versterken.
Sancties?
Veiligheidsregels zijn lastig en worden niet altijd begrepen. De naleving van de veiligheidsregels heeft voor
de medewerker vaak geen consequenties waardoor het hem aan motivatie ontbreekt. Bij het opzetten van
een bewustwordingsprogramma moet met top- en middenmanagement, personeelsafdeling en eventueel de
ondernemingsraad worden afgesproken op welke wijze naleving van veiligheidsregels onderdeel worden van
het beoordelingssysteem en welke correctieve maatregelen gebruikt kunnen worden. Dit kan bijvoorbeeld door
privileges op te schorten of daadwerkelijk strafmaatregelen te nemen (b.v. korting op een bonus).
Voorwaarde is een gedegen onderzoek bij een geconstateerd veiligheidsincident met hoor en wederhoor en
schriftelijke vastlegging.
34
35
6. Fase 4: De evaluatie- en onderhoudsfaseNa de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke uitvoering
van het bewustwordingsprogramma volgt de laatste fase in een bewustwordingsprogramma. Dit hoofdstuk
beschrijft deze laatste stap: de evaluatie- en onderhoudsfase van het programma. Deze beoordeelt of het effect van
het programma in overeenstemming is met het gedefinieerde ontwerp en het resultaat voldoet. De evaluatie- en
onderhoudsfase maakt van het gehele proces van de ontwikkeling van een bewustwordingsprogramma een cyclisch
en zich herhalend proces.
6.1. Meten van de deelname en de effectiviteitGedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden
over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om
informatie te verstrekken over:
cursus- en opleidingsdata; -
inhoud van de opleiding; -
deelname, zowel totalen als percentages per organisatieonderdeel; -
behaalde scores door de deelnemers (indien van toepassing); -
waarderingen uit de evaluatieformulieren van de deelnemers. -
De meetgegevens kunnen gebruikt worden voor rapportages
aan het management over de mate van compliance, de kwaliteit
en volwassenheid van het opleidings- en trainingsprogramma,
de bereidheid van afdelingen om deelnemers af te vaardigen en
kwaliteitsverbetering. De deelnamegegevens geven een rechtvaardiging
van beschikbaar gesteld budget en geven in detail aan of medewerkers
hebben deelgenomen aan het programma. Hieruit kunnen voor
zowel de medewerkers als voor afdelingsmanagement consequenties
volgen. Medewerkers die deelgenomen hebben aan een dergelijk
programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties.
Is deelname aan een bewustwordingsprogramma een functie-eis, dan
kan het niet deelnemen of niet slagen consequenties hebben voor de
uitoefening van de betreffende functie. De organisatie loopt in dat geval
een te groot risico op schade door onachtzaam foutief handelen van
personeel dat geen training heeft gevolgd.
De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve acties moeten
worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan
het verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden
opgedragen. Er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt
aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak
om de correcties en aanpassingen uit te werken en te implementeren
Een voorbeeld van een niet werkende
beveiligingsmaatregel.
36
6.2. Evaluatie en feedback Formele evaluatie en feedback zijn kritische componenten van een bewustwordingsprogramma. Voortdurende
verbetering kan niet plaatsvinden als het ontbreekt aan inzicht in hoe een programma werkt. Vanaf de start van de
ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te tekenen, moet dus
nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden gemeten.
Er is een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te
stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van kwaliteit,
scope, gebruikte methoden (o.a. Interactieve Video training, web gebaseerd), moeilijkheidsgraad, eenvoud van gebruik,
duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en suggestie voor verbetering.
De meest gangbare methoden voor evaluatie en feedback zijn:
Het door de gebruikers in laten vullen van een evaluatieformulier. Gebruik daarbij zo veel mogelijk voorbedrukte -
teksten en normeringen zodat er weinig geschreven hoeft te worden om een waardering aan te geven;
Open forum discussie waar bovenstaande onderwerpen besproken kunnen worden. Deze vorm van evaluatie -
biedt de beste mogelijkheid op nieuwe ideeën en inzichten ter verbetering van het programma.
Selectieve interviews met deelnemers, waarbij in een 1-op-1 gesprekken de onderwerpen van de evaluatie -
besproken worden. De selectie van deze groep moet objectief blijven om de uitkomst niet te beïnvloeden.
Men moet er echter ook rekening mee houden dat deelnemers, om diverse redenen, niet altijd hun mening aan
(vertegenwoordigers van) het management van de organisatie willen vertellen. In deze vorm van evaluatie wordt
medewerkers wel de mogelijkheid geboden om hun mening te geven zonder dat zij zich in een groep daarvoor
moeten verantwoorden.
Onafhankelijke observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel. -
Formele statusrapporten door managers van deelnemers. -
Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere, soortgelijke -
organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties die de beschikking
hebben over uitgebreide gegevens van resultaten van bedrijven over een langere periode.
Wanneer medewerkers van het bedrijf worden bevraagd is het, voor de objectiviteit en het verkrijgen van -
eerlijke antwoorden, aan te raden de vragen anoniem te laten invullen en de evaluatie bij voorkeur door een
onafhankelijke persoon te laten uitvoeren.
6.3. Veranderingen in het bewustwordingsprogramma doorvoerenHet is noodzakelijk om het programma regelmatig bij te stellen en te verbeteren . Dit kan om meerdere redenen
noodzakelijk zijn, bijvoorbeeld omdat er nieuwe beveiligingstechnieken in gebruik genomen worden (ieder weer met
andere en nieuwe risico’s), of het kennisniveau en gedrag van de medewerkers verandert. Noodzakelijke wijzigingen
kunnen ook veroorzaakt worden doordat een organisatie zijn missie of doelstelling bijstelt of inzichten wijzigen hoe
de doelstellingen van het programma gehaald kunnen worden. Belangrijke landelijke of internationale ontwikkelingen,
of de komst van nieuwe wetgeving kunnen ook hun invloed hebben op een programma.
Veranderingen doorvoeren: NAVI coördineert uitwijkoefening
Begin 2009 werd het NAVI door een projectteam van een financiële instelling benaderd om te adviseren bij de
voorbereidingen voor een uitwijkoefening. De oefening was in de loop der jaren te veel een routineklus gewor-
den. Tijdens deze ‘vernieuwde’ uitwijkoefening wilde men het MT meer emotie laten voelen. Een projectleider
van het NAVI heeft met het projectteam van de financiële instelling een scenario bedacht, richting gegeven aan
de soort incidenten en activiteiten en sprekers gezocht die informatie konden verstrekken over de calamiteit van
die oefening: een poederbrief. Voor meer informatie zie de bijlage: Voorbeeld 3.
37
6.4. Verhogen van het niveau van het bewustwordingsprogrammaZoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op
de meest cruciale security aspecten binnen het bedrijf. Het moet zich richten op iedere medewerker, dus van (top)
management tot de medewerker op de werkvloer. Omdat het programma zich in eerste instantie richt op alle
medewerkers is het instapniveau laag. Nadat het beoogde eerste niveau gehaald is, zal de volgende stap gezet
moeten worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op
te zetten voor alle medewerkers, maar ook door differentiatie aan te brengen naar type medewerker. Hierbij zordt
gekeken naar zijn niveau, zijn taken en verantwoordelijkheden. In dit laatste geval wordt er differentiatie aangebracht
naar doelgroepen, die ieder hun niveau toegesneden programma gaan volgen. Op deze wijze zal het programma
groeien in volwassenheid. Het verdient aanbeveling om het verhogen van het niveau in het ontwerp van het
programma mee te nemen en te baseren op meetbare gegevens. Een norm voor het verhogen van het niveau zou in
dat geval een deelname aan de eerste ronde van het programma van ten minste 85% van de medewerkers en een
slagingspercentage van 90% kunnen zijn.
Tijdens het uitvoeren van een programma verdient het aanbeveling om voortdurend de ontwikkelingen op de markt
van bedreigingen, technologie, good practices en benchmarking bij te houden. Hierdoor ontstaan mogelijkheden om
proactief de kwaliteit en/of effectiviteit van het programma te verbeteren.
6.5. Commitment van het management CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente
verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het
programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat de keten zo sterk is als de zwakste
schakel. Beveiliging van een organisatie is een teaminspanning en dient door alle medewerkers van een organisatie
gedragen te worden, te beginnen bij het management.
Deze lijst bevat indicatoren om een inschatting te maken van de ondersteuning en de acceptatie (commitment) door
het management van een programma.
Is er voldoende budget beschikbaar gesteld om de geaccordeerde doelstellingen te halen? -
Is de organisatie rond het programma ingericht met medewerkers van voldoende kwaliteit? -
Is het programma een regelmatig terugkerend onderwerp op de agenda van het management? -
Neemt het management deel aan de training? -
Hoe hoog is het percentage deelname? -
Draagt verantwoordelijke management gemotiveerd (de doelstellingen van) het programma uit? -
Is er brede ondersteuning voor de distributie van materiaal? -
Again: not my problem
Niet dat beveiliging niet als een probleem wordt gezien, alleen niet dat van mij. En vraag me niet van wie wel,
want dat weet ik niet precies. Van medewerker tot directielid is dit een veel gehoorde reactie: NMP.
Bron: Lezing van het Platform voor Informatiebeveiliging
Commitment van de leiding
Bij een ministerie was de draagplicht van de personeelspas reeds lange tijd ingevoerd maar werd de maatregel
niet altijd consequent uitgevoerd. Als onderdeel van een bewustwordingsprogramma werd extra aandacht aan
de noodzaak voor deze maatregel besteed en werd de uitvoering van strenger gecontroleerd. Personeel dat
de pas niet bij zich had werd de toegang tot de kantine ontzegd en personeel dat de pas niet zichtbaar droeg
werd gecorrigeerd. De meeste indruk maakte echter een van de topfunctionarissen die collega’s direct aansprak
en hen corrigeerde.
38
6.6. MeerjarenplanningIn voorgaande fasen is bepaald welke onderwerpen in een bewustwordingsprogramma noodzakelijk zijn en met
welke middelen de boodschap uitgedragen wordt. Onderwerpen met een hoge urgentie krijgen daardoor niet alleen
voorrang maar zullen ook vaker herhaald worden, bij voorkeur d.m.v. meerdere communicatievormen. Het mag
duidelijk zijn dat dit om een planning vraagt die ook op de wat langere termijn zekerheid biedt dat alle onderwerpen
aan bod komen. Voor de ontwerpen van een dergelijk planning moet rekening gehouden worden met de volgende
aandachtspunten:
Overweeg hoe frequent de aandacht gevestigd moet worden op een bewustwordingsonderwerp (vb: eens per -
twee maanden). Bepaal tevens hoeveel onderwerpen gelijktijdig behandeld moeten worden (in onderstaand
voorbeeld zijn dat drie);
Besteed aan urgente onderwerpen in het begin op iedere moment aandacht en laat de frequentie gaandeweg -
afnemen (in het voorbeeld prioriteit Hoog (rood));
Varieer met het middel waarop urgente onderwerpen behandeld worden (nieuwsbrief, enquête bij de ingang, -
bezoeken op de werkplek, controle na kantoortijd, etc.);
Voeg in de aandachtsmomenten de onderwerpen met minder urgentie afwisselend toe (in het voorbeeld -
prioriteit Middel (geel));
Laat ruimte voor actuele onderwerpen zoals een actuele virusdreiging of een incident dat zich heeft voorgedaan; -
Bepaal welke onderwerpen met lage prioriteit behandeld kunnen worden indien er geen actuele onderwerpen -
zijn (in het voorbeeld prioriteit Laag (groen)).
Pas het schema tweemaandelijks aan. De aan- of afwezigheid van actuele onderwerpen heeft invloed op het -
vervolgschema.
2010 2011 2012
Onderwerp feb apr juni aug okt dec feb apr juni aug okt decfeb apr juni aug okt decPrioUSB-sticks
Virussen
Actueel
Wachtwoorden
Thuis-PC
Draagplicht pasjes
Begeleiden bezoekers
Clear desk
Kasten afsluiten
Meeliften
Uitlenen van pasjes
Private FireWall
Sociale netwerken
hoog
hoog
hoog
middel
middel
middel
middel
middel
middel
laag
laag
laag
laag
Hierboven is een voorbeeld opgenomen van een meerjarenplanning. Bovenstaande aandachtspunten zijn in dit schema verwerkt.
39
40
41
7. Social Engineering als nul-meeting7.1. InleidingIn hoofdstuk 3 werd gesproken over een security audit in de vorm van Social Engineering (SE), als startpunt van een
bewustwordingprogramma. Door middel van SE wordt gemeten hoe het gesteld is met het naleven van veiligheids-
maatregelen in een organisatie. Dit hoofdstuk beschrijft op hoofdlijnen de psychologische mechanismen waardoor
mensen misleid kunnen worden.
7.2. Social Engineering en psychologieSocial Engineering (SE) heeft als doel vertrouwelijke informatie te verkrijgen, door middel van list en bedrog,
manipuleren, psychologische trucs en valse voorwendselen.
Waarom en hoe kan het menselijk gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om
vertrouwelijke informatie te verstrekken, wordt ingewilligd? In de psychologische literatuur5 zijn de mechanismen
beschreven die gebruikt worden om invloed op andere personen uit te oefenen. Dit zijn:
wederkerigheid (geven en nemen); -
commitment en consistentie; -
sociale bewijskracht; -
sympathie; -
autoriteit -
schaarste. -
In de volgende paragrafen worden deze mechanismen beschreven en wordt ingegaan op hoe men ze kan
herkennen en zich ertegen kan wapenen.
Uit het dagboek van de Social Engineer:
“Ik stond om 06.50 uur voor het nog gesloten gebouw van de gemeente. Een vroege ambtenaar opende het
gebouw en liet me vriendelijk binnen zonder iets te vragen. Ik had de gehele dag de tijd om op de tien etages
rond te neuzen en mijn voorbereidingen te treffen voor die avond. Als ik werd aangesproken dan vertelde
ik dat ik ARBO-coördinator van de betreffende gemeente was en een aantal overleggen had, waarvan er
één was uitgevallen. Tijdens het rondlopen was ik me aan het voorbereiden op mijn volgende vergadering.
Ik had allerlei ARBO-spulletjes bij me om mijn rol te bevestigen. Tegen lunchtijd maakte ik buiten bij de
ingang een praatje met de portier over zijn nare gewoonte; hij wilde stoppen met roken. Blijkbaar had ik een
gevoelige snaar geraakt want hij begon honderd uit te vertellen. Toen ik merkte dat we een band hadden
opgebouwd vroeg ik hem naar de procedure van het afsluiten van het gebouw omdat mijn laatste vergadering
vermoedelijk pas ’s avonds na 19.00 uur afgelopen zou zijn. Hij vertelde me de plaats van de sleutels, de
lichtschakelaars, het telefoonnummer om door te geven dat het gebouw leeg was en de procedure om de
sluitronde aan te vragen, waarna de alarmering ingeschakeld zou worden. Die middag heb ik me verborgen
in een niet gebruikte vergaderkamer. Toen ik om 18.00 uur uit mijn schuilplaats kwam was het gebouw leeg
en kon ik in alle rust kantoren, bureaus, kasten en ladenblokken doorzoeken zonder gestoord te worden.
Het resultaat was overweldigend: alle personeelsdossiers van de ambtenaren, vertrouwelijke dossiers over
reïntegratieprocessen, beoordelingsdossiers, geld, laptops, PDA’s en GSM’s en het dossier van alle hypotheken
met de afgegeven gemeentegaranties voor koopwoningen. Om 21.00 uur heb ik het lege kantoorpand verlaten
en de sluitprocedure in werking gesteld om er voor te zorgen dat de veiligheid en vertrouwelijkheid van alle
gemeentelijke gegevens gewaarborgd zou zijn.”
5 Cialdini, O’Conner en Sagarin
42
7.3. Wederkerigheid: het aloude geven en nemen… en nemenDe mens gedraagt zich soms naar de regel van wederkerigheid. Het mechanisme geeft ons de opdracht te
compenseren wat andere mensen ons hebben gegeven. Door het gevoel te hebben iemand anders iets verschuldigd
te zijn, wordt veel makkelijker aan een verzoek voldaan dan anders. De regel van wederkerigheid is zelfs sterker dan
gevoelens van afkeer of sympathie.
Social Engineers maken dankbaar gebruik van dit mechanisme door het slachtoffer eerst iets kleins te geven en
vervolgens een veel grotere gunst terug te vragen.
Voorbeeld:
Je geeft een bloemetje aan iemand en zegt erbij dat het geweldig is hoe hij/zij altijd klaarstaat voor anderen. -
Kort daarna vraag je om een gunst. Dat kan toch niet geweigerd worden?
Je belt als medewerker van de ICT-afdeling naar een medewerker en zegt dat er grote virusuitbraak is. Je hebt die -
medewerker net behoed voor het verlies van alle mail maar hebt nu wel even zijn wachtwoord nodig om de
mailbox te controleren op restanten van het virus. Zal hij het doen? Jawel; negen van de tien mensen staan hun
wachtwoord af!
7.4. Commitment en consistentie: innerlijke spookbeeldenDe mens is geneigd in overeenstemming te handelen met dat wat hij daarvoor gedaan heeft. Als we een mening
verkondigen of een keuze maken, zijn we ook geneigd om daarmee in overeenstemming te handelen. Door onszelf
te overtuigen van de juistheid van het genomen besluit, voelen we ons beter over de genomen beslissing.
De mens heeft dus de neiging consistent te zijn en dit is een zeer effectief sociaal beïnvloedingswapen. Wie
consistent is, wordt intelligent, oprecht en evenwichtig genoemd. Omdat consistentie belangrijk is, zijn we ook
geneigd om er een automatisme van te maken. Nadenken kan negatieve gevolgen hebben die we liever niet willen
tegenkomen. De drang om consistent gedrag te vertonen kan misbruikt worden door profiteurs.
Consistentie wordt door commitment bepaald. Zodra je iemand een standpunt laat innemen of een keuze laat maken,
zal deze in de toekomst overeenkomstig handelen. Profiteurs kunnen gevoelens van verplichting eenvoudig uitbuiten.
Voorbeeld:
Als je merkt dat iemand graag praat over collega’s, ga dan het gesprek aan om over een geweldige of juist -
vreemdsoortige collega te praten en buig het gesprek om naar een onderwerp dat betrekking heeft op het
gedrag, bijvoorbeeld het omgaan met vertrouwelijke informatie.
7.5. Sociale bewijskrachtDit principe betekent dat ons oordeel over correct of incorrect gedrag samenhangt met het gedrag van anderen.
Wanneer veel mensen een handeling op gelijke wijze uitvoeren, bestempelen we deze als correct. Hierin ligt
tegelijkertijd ook de zwakte van het principe: het maakt ons kwetsbaar voor profiteurs. Het principe van sociaal
bewijs is zeer sterk. Wanneer we onzeker zijn over bepaalde handelingen, zijn we snel geneigd om naar anderen te
kijken om ons gedrag te bepalen. Wanneer echter niemand weet wat de juiste handelingen zijn, moet je je in dat
geval tot slechts één iemand richten en deze persoon duidelijk maken wat voor hulp je nodig hebt.
Voorbeeld:
Als iemand zijn wachtwoord niet wil afstaan (om een dringend probleem op te lossen) dan is die persoon snel- -
ler geneigd dat wachtwoord wél te vertellen indien hem duidelijk wordt gemaakt dat zijn/haar directeur (noem
deze vooral bij de voornaam!) en andere collega’s dat wél hebben gedaan. En hun probleem is al opgelost!
Het principe van sociale bewijskracht werkt onder twee omstandigheden optimaal:
- Onzekerheid: waneer iemand zelf niet weet hoe hij zich moet gedragen, ontleent hij zijn gedrag aan dat van anderen.
Gelijksoortigheid: het gedrag van mensen die op ons lijken maakt ons het beste duidelijk hoe we ons zouden -
moeten gedragen.
43
7.6. Sympathie: de vriendelijke diefNaast wederkerigheid en verplichting is er een nieuw beïnvloedingswapen: de sympathie. Het niet voldoen aan een
morele verplichting is onvriendelijk. Er wordt druk uitgeoefend door sympathie en verbondenheid. Het is namelijk
moeilijk om een verzoek te weigeren als deze van een goede vriend afkomstig is. Bij een andere succesvolle
methode wordt gerefereerd aan een vriend of kennis; het verzoek kan nu nog maar met moeite worden geweigerd.
Voorbeeld:
“Hallo, je moet de groeten hebben van Mariska, onze gemeenschappelijk vriendin. “Zij heeft me naar jou -
doorverwezen omdat je mij misschien verder kunt helpen. Zou je voor mij ….”
7.7. AutoriteitUit onderzoek is gebleken dat elk mens nagenoeg iedere opdracht uitvoert als een autoriteit dit van hem verlangt.
Vanaf de geboorte wordt ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het gehoorzamen aan
autoriteiten levert ons ook voordelen op. Doordat zij zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten
te gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd iets oplevert, bestaat de kans dat we er
een automatisme van maken.
Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met de symbolen die we met hen verbinden, zoals
titels, kleding en bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen.
Mensen willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen
kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen.
Voorbeeld:
“Henk Willems, onze directeur, heeft mij opdracht gegeven om zo snel mogelijk informatie te verzamelen over de -
voortgang van onze offerte voor ZPN. Kun je mij aangeven voor welk bedrag wij gaan aanbieden?”
7.8. Schaarste: de regel van het tekortGesteld kan worden dat we sommige dingen meer gaan waarderen naarmate er minder van beschikbaar is. Ook is
het opvallend dat mensen eerder in actie komen wanneer ze denken iets te verliezen, dan wanneer hetzelfde hen
iets zou kunnen opleveren.
Het schaarsteprincipe is dus een veel gebruikt beïnvloedingswapen. Dit wapen werkt door twee kenmerken van schaarste:
Producten die schaars zijn, zijn over het algemeen ook daadwerkelijk beter dan producten die wel eenvoudig te -
verkrijgen zijn.
Beperking van de beschikbaarheid betekent beperking van de keuzevrijheid. -
Als we iets nu juist niet willen, is het dat onze keuzevrijheid ingeperkt wordt. Wanneer onze keuzevrijheid bedreigd
of verkleind wordt, wordt de behoefte aan keuzevrijheid juist groter dan deze daarvoor was. Daarbij gaat het om het
opleggen van de beperking zelf.
Het schaarsteprincipe werkt onder twee omstandigheden optimaal:
Bij plotselinge schaarste. Juist bij plotselinge schaarste wordt fel gereageerd. -
Bij conflicten om schaarse goederen, willen we het nog liever in ons bezit -
krijgen. Dit maakt ons extra gemotiveerd.
Voorbeeld:
De blouse kost € 110 maar de adviesprijs is eigenlijk € 150. Nu worden de -
laatste restanten blouses verkocht met een voordeel van maar liefst € 50!
Afgeprijsd van € 150 naar € 100. Het resultaat: Dolle dagen!
44
45
Bijlage: Voorbeelden In deze bijlage worden voorbeelden gegeven van onderwerpen die in voorgaande hoofdstukken behandeld zijn. Het
zijn vooral voorbeelden van de vorm waarin de boodschap gegoten wordt, met het doel om een ‘gevoel’ te geven
hoe een middel er uit zou kunnen zien.
Voorbeeld 1: Enkele voorbeelden van posters
Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet
beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren.
Voorbeeld 2: Een bewustwordingstoolkit
(uit Adviesrapport “Veiligheidsbewustzijn”van DJI)
Om de lezer een idee te geven hoe een bewustwordingstoolkit wordt opgebouwd geven we hier het voorbeeld van
de veiligheidsbewustzijnscampagne van het Ministerie van Justitie en het Openbaar Ministerie. Dit programma wordt
momenteel gehanteerd en uitgevoerd ten behoeve van een veiligheidsbewustzijnscampagne op het gebied van
informatiebeveiliging. De toolkit is modulair op te bouwen. Een organisatie bepaalt zelf welk thema of onderwerp in
de campagne op welk moment centraal staat, maar de wijze van werken is steeds identiek.
Hieronder wordt een beeld geschetst waaruit de toolkit bestaat.
1. Structuur en plan van aanpak
Deze module geeft een algemeen beeld van het bewustwordingsprogramma en de activiteiten die de organisatie
dient uit te voeren om in staat te zijn, het programma te implementeren.
2. Management commitment
Deze module dient voor het creëren van draagvlak voor het bewustwordingsprogramma bij het topmanagement en
het verzorgen van een goede aansturing.
3. Geïntegreerde assesment
Deze module bevat diverse verschillende assesments. Zoals een assesment van de huidige bewustwordingssituatie,
van de vereiste situatie en een risicoanalyse van de bedreigingen. De resultaten van het geïntegreerde assesment
worden gebruikt in workshops.
46
4. Instructie gebruik modules
Deze module bevat een handleiding om de programmamanager bekend te maken met de modules van de toolkit. In
deze module wordt tevens aangegeven, hoe het programma kan worden aangepast aan de eisen van de organisatie.
5. Programmamanagement
Deze module bestaat uit een plan van aanpak dat de programmamanager kan gebruiken bij het uitvoeren van het
bewustwordingsprogramma. Het bestaat uit een fasen- en stappenplan en bevat ondersteunende checklists en
draaiboeken.
6. Communicatieplan
Deze module geeft aan welke informatie, via welke middelen, op welk moment naar welke doelgroepen
gecommuniceerd dient te worden. Het communicatieplan is uitgewerkt in 12 mogelijke stappen die toegesneden
worden op de organisatie.
7. Basisniveau veiligheidsbewustzijn
Hierin wordt een blauwdruk met een minimale opzet van een basisniveau veiligheidsbewustzijn beschreven. Het is
aan te bevelen dat deze organisatie operationeel is voordat een programma uitgevoerd kan worden.
8. Meetinstrument
Deze module bevat software om kennis, houding en gedrag van medewerkers op het gebied van veiligheidsbe-
wustzijn te meten. Aan de medewerkers worden vragen gesteld die aansluiten bij de belangrijkste aspecten van
veiligheidsbewustzijn. Er kan worden gemeten voor en na het programma en resultaten per (organisatie) onderdeel
kunnen hierbij worden vastgesteld.
9. Topmanagement workshop
Deze module bevat een presentatie, een film en een instructie voor het topmanagement met als doel, ervoor te
zorgen dat zij in staat is om het programma binnen de organisatie te stimuleren.
10. Lijnmanagement workshop
Deze module bevat materiaal voor het geven van een workshop aan het lijnmanagement en een instructie voor het
geven van een briefing aan de medewerkers. De workshops zijn gebaseerd op het train-de-trainers principe.
11. Medewerker workshop
Deze module bevat materiaal voor een briefing aan medewerkers in een werk- of afdelingsoverleg.
12. Bedrijfsfilm
In de bedrijfsfilm komen in gedramatiseerde vorm aspecten en mogelijke gevolgen van veiligheidsbewustzijn aan de
orde (per thema). Deze films zijn modulair van opbouw en kunnen eenvoudig worden aangevuld met beelden uit de
eigen organisatie/of per organisatieonderdeel.
13. Gouden regels
In deze module worden de belangrijkste aspecten voor veiligheidsbewustzijn samengevat. Uit een set van 15 gouden
regels kunnen er bijvoorbeeld zes tot tien worden uitgezocht die het beste bij de organisatie passen.
14. Film met inbreuken in relatie tot gouden regels
Deze module, in de vorm van een bedrijfsfilm, geeft uitleg over meer dan 30 inbreuken die in de bedrijfsfilm
voorkomen en brengt deze inbreuken in relatie met de gouden regels.
47
15. Interne promotie
Deze module bestaat uit een groot aantal middelen (leaflet, brochure, posters, uitnodigingen, standaardbrieven,
artikelen etc.) om het bewustwordingsprogramma te ondersteunen.
Deze toolkit laat zien dat een aantal determinanten bewust meegenomen worden in een programma ter bevordering
van het veiligheidsbewustzijn:
commitment van het hoge management (- leiderschap) -
onderzoek (- medewerkerstevredenheid) -
het aanstellen van een projectmanager (- procesontwerp) -
train-de-trainers principe (- opleiding en samenwerking ) -
e-learning (- opleiding en monitoring) -
meetinstrument (- procesontwerp) -
gouden regels (- visie/missie/strategie) -
interne promotie (- communicatie) -
Voorbeeld 3: NAVI coördineert uitwijkoefening
Dit voorbeeld beschrijft hoe een financiële instelling het veiligheidsbewustzijn bij het management heeft verhoogd.
Uitwijkoefening moest realistischer worden.
Begin 2009 werd het NAVI door een projectteam van een financiële instelling benaderd om samen te werken bij een
uitwijkoefening. De oefening was in de loop der jaren te veel een routineklus geworden. Tijdens de nieuwe uitwijk-
oefening wilde men het management team (MT) meer emotie laten voelen en sterker betrekken bij de uitvoering.
Scenario bedenken
Het NAVI bood bij deze uitwijkoefening ondersteuning bij het tot stand komen van het scenario. Jan de Boer (sr.
Projectleider bij het NAVI) heeft samen met het projectteam van de financiële instelling een scenario bedacht, richting
gegeven aan het soort incidenten en activiteiten, en sprekers gezocht die informatie konden verstrekken over de
calamiteit van die oefening: een poederbrief.
Poederbrief tijdens een dagje uit
Het managementteam van een financiële instelling heeft begin april een management dag. Rond het middaguur
vertrekken ze per bus naar een bijeenkomst op een voor hen onbekende locatie. In de bus liggen folders van Sea Life
in Scheveningen. Wanneer de bus een kwartier onderweg is, wordt de General Manager gebeld met de mededeling
dat er op de afdeling Customer Services een poederbrief geopend is. De politie en brandweer zijn inmiddels
gewaarschuwd en in aantocht. De beller vertelt er wel duidelijk bij dat het een oefening betreft.
Uitwijken
Het MT kan niet terugkeren naar het mogelijk besmette hoofdkantoor en besluit de uitwijkprocedure in werking te
stellen. De buschauffeur krijgt de opdracht om van route te veranderen en richting de uitwijklocatie te gaan. Een
kwartier later is het MT druk bezig om zich een voorstelling te maken van de situatie en pleegt veelvuldig telefonisch
overleg met de medewerkers op het hoofdkantoor. Onverwachts stopt de bus op een grote parkeerplaats langs de
snelweg om drie extra passagiers in te laten stappen.
Extra passagiers
Terwijl de bus de rit voortzet worden twee passagiers geïntroduceerd. Hugo-Jan Jansen van het Ministerie van
Defensie is microbioloog en werkt bij de Bedrijfsgroep Gezondheidszorg als senior adviseur op het gebied van
Infectieziektebestrijding. Hieronder vallen biologische wapens en alle ziekten die militairen bij hun optreden in het
buitenland kunnen tegenkomen. Henk van Rooij is Master of Crisis and Disaster Management, 25 jaar brandweer-
48
officier en commandant geweest en momenteel actief bezig met CBRN-vraagstukken (Chemisch, Biologisch en
Radiologisch en Nucleair).
Jansen geeft in de bus een lezing over het verloop van de ziekteverschijnselen van Anthrax en de manier waarop
Anthrax wordt onderzocht op locatie. Van Rooij vertelt over de acties van de brandweer bij een dergelijke besmetting
en vertoont een korte film over de procedures, het tijdschema en het materiaal dat daarbij wordt ingezet. Op deze
wijze wordt het MT uitgebreid geïnformeerd over de situatie en activiteiten binnen de besmette locatie.
Nieuwe problemen
Wanneer het MT bij de uitwijklocatie aankomt, blijken de toegangspassen al gereed te liggen en zijn de deuren van
het uitwijkcentrum geopend. De PC’s worden opgestart en er wordt gecontroleerd of de bedrijfsprocessen vanuit de
uitwijklocatie uitgevoerd kunnen worden. De leden van het MT houden veelvuldig contact met de achtergebleven
medewerkers en worden steeds met nieuwe problemen geconfronteerd. Het besmette hoofdkantoor is namelijk op
last van de brandweer afgesloten. Hoewel de situatie niet levensbedreigend is, lijdt toch een aantal personeelsleden
onder de grote stress en is niet meer in staat te functioneren. Het blijkt dat de poederbrief op meerdere afdelingen is
geweest. Ook één lid van het MT is met de brief in aanraking gekomen. Het MT wordt steeds gevoed met de laatste
stand van zaken en moet continu plannen bijstellen. Na een uur zijn de plannen zodanig gereed dat het duidelijk is
op welke manier de uitwijk verder wordt uitgevoerd. Dan is het de tijd om de uitwijkoefening te beëindigen en kan
de evaluatie beginnen.
Opvallende bevindingen
Uit deze oefening werden al meteen twee bevindingen duidelijk:
Aan het eind van de dag was het management zich veel mee dan voorheen bewust van hoe een crisis verloopt en -
dat er met hele andere zaken rekening gehouden dient te worden dan er aan de tekentafel bedacht kan worden.
Het is voor een reële beleving van een crisis en het hiermee creëren van bewustwording bij het management -
erg aan te raden om regelmatig te oefenen en niet alleen scenario’s door te spreken.
Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven
De Nationaal Coördinator Terrorismebestrijding (NCTb) heeft in samenwerking met de Politieacademie en de TU Delft
een workshop Security Awareness voor bedrijven en instellingen ontwikkeld.
De workshop Zeker van je Zaak laat medewerkers zien dat er ook op de werkplek verdachte situaties kunnen zijn die
de bedrijfsvoering ernstig kunnen verstoren. Hierbij gaat het om acties of voorbereidingen door criminelen, vandalen,
extremisten en terroristen. De workshop leert medewerkers hoe ze alert kunnen zijn op ongewenste verstoringen op
de werkvloer én wat ze daartegen kunnen doen.
Workshopmateriaal
De NCTb stelt het workshopmateriaal gratis ter beschikking aan bedrijven en instellingen die aangesloten zijn op het
Alerteringssysteem Terrorismebestrijding (ATb) van de NCTb of die werken met chemische, biologische, radiologische
en nucleaire middelen. Ook biedt de NCTb deze organisaties de mogelijkheid om twee medewerkers een training
van een dagdeel te laten volgen, die hen in staat stelt de leidinggevenden in hun organisatie te begeleiden bij het
geven van de workshop aan hun medewerkers. Na afloop krijgen de deelnemers het workshopmateriaal uitgereikt,
bestaande uit een DVD, een werkboekje en een handleiding.
Meer informatie is beschikbaar op http://www.nctb.nl/Informatie_voor/bedrijven/Security_awareness/.
49
50
51
Literatuuroverzicht Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of
Standards and Technology)
Information Technology Security Training Requirements van het NIST (National Institute of Standards and Technology)
Bruce Schneier, Beyond Fear
Bruce Schneier, People understand risks – but do security staff understand people? The Guardian, 05 augustus 2009
K.D. Mitnick, The art of deception; the human factor in Information Security
Robert B. Cialdini, Using the Science of Influence to Improve the Art of Persuasion
Y. Lafrance, Psychology: A precious security tool
Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD
Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007
Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI waarin
een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische (digitale) en
organisatorische beveiligingsmaatregelen wordt vastgelegd
Adviesrapport Veiligheidsbewustzijn van de Taskforce & Kerngroep Veiligheid DJI (Dienst Justitiële Inrichtingen van
het Ministerie van Justitie) van januari 2008
Afstudeer scriptie van Jan de Boer MSIT
NAVI-Nieuws, derde jaargang, nummer 10, juni 2009
