Verhogen van het securitybewustzijn bij medewerkers

Annebeth Wierengajanuari 2014

Inleiding

Organisaties kunnen de integriteit, vertrouwelijkheid en beschikbaarheid van informatie in IT systemen en netwerken en de veiligheid van personeel, materieel, gebouwen en processen niet garanderen zonder dat iedere medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is opgeleid.

De menselijke factor is een dermate grote kritieke succesfactor dat het noodzakelijk is om de organisatie een bewustwordingsprogramma te laten volgen.

The only real security that a man can have in

this world is a reserve of knowledge,

experience and ability. (Henry Ford)

Situatiebeschrijving

• Organisatiebewustzijn over informatieveiligheid en –beveiliging zeer laag.

• Kennis over eigen handelingsperspectief is beperkt

• Risico-self assessments vinden (in beperkte mate) plaats

• Aanwezige richtlijnen zijn onvoldoende ontsloten en daarmee onvoldoende bekend

• Technische programma’s zijn onvoldoende zichtbaar

• Te weinig gerichte aandacht voor security bewustzijn en handelingsperspectief.

OpdrachtOntwikkel interne communicatieaanpak die het gewenste bewustzijn en gedrag op het gebied van informatie-veiligheid en –beveiliging (vanaf nu ‘security’) bevordert.

De medewerker•begrijpt en ervaart het belang van security•begrijpt en herkent de belangrijkste security risico’s voor zijn/haar dagelijkse werkzaamheden•levert zijn/haar bijdrage aan het vereiste beveiligingsniveau van de organisatie •signaleert en meldt (potentiële) incidenten Beoogde resultaatIn twee jaar van een nagenoeg onbewust onbekwame organisatie naar een organisatie die zich bewust is van de risico’s en pro-actief handelt om deze te voorkomen dan wel op te lossen.

Risico’s en remedies (1)

Geen flankerende ondersteuningSecurity-medewerkers (front line) moeten heldere instructies en klantvriendelijke handvatten hebben voor het helpen van mensen bij meldingen. Uitgangspunt moet persoonlijke communicatie zijn (niet systemische).Eerst organiseren, dan communiceren.

Ongeorganiseerd antwoord op weerstandVaak is weerstand een vorm van betrokkenheid. In het geval van beveiliging is weerstand dikwijls onbekendheid met de materie of luiheid. niet oplossen met meer communicatie maar met een passend handhavingsbeleid

Discrepantie gepercipieerde en werkelijke staat securityEr bestaat vaak discrepantie tussen de perceptie van specialisten over de technische staat van beveiliging van systemen en het daadwerkelijke beveiligingsniveauopstellen van en communiceren over security vereisten (ook leveranciers)

Risico’s en remedies (2)

(Informatie)beveiliging beperkt je in je dagelijks werkgeef goede handelingsperspectieven en alternatieve oplossingen voor ‘zaken die niet meer mogen’ – daar zit een gebruikersbehoefte achter, niet per definitie onwil om mee te werken.

Het melden van incidenten geeft gedoe, kost tijd en kan op ‘klikken’ lijkenmaak het meldproces zo simpel mogelijk, geef feedback over de melding en oplossing; zorg voor vertrouwelijke afhandeling van de melding.

Eigen middelen, persoonlijk gebruik bedrijfsmiddelenWerk en privé lopen in elkaar over. Organisaties bieden niet iedereen de middelen waar men graag mee werkt. Veel mensen werken (ook) met eigen middelen.maak duidelijk wat de specifieke beveiligingseisen en -middelen zijn voor eigen middelen

Strategie

Interdisciplinair en geïntegreerd

Om bewustzijn en gedrag (handelingsbekwaamheid)effectief te kunnen sturen is gebruik gemaakt van het Triade-model. Dit model stoelt op drie pijlers: motivatie (willen), capaciteit (kunnen) en gelegenheid (mogen).

Maatregelen op één van de pijlers zijn zinloos als deoorzaak van inactiviteit of foutief handelen liggen aan gebrek aan capaciteit (vaardigheden) of gelegenheid (tijd, faciliteiten of toestemming)

  Intrinsiek 

Extrinsiek

Motivatie InteresseBehoefte

Beloning/strafwaardering

Capaciteit Kennis, IQ, vaardighedenFysieke eigenschappen

Hulp(middelen)Informatie

Gelegenheid Zelf gekozenTijd/ruimte/faciliteiten

Beschikbare tijd/ruimte/ faciliteiten

Strategie

• Versterking van deze continue stroom door het bieden van interventies die handelingsbekwaamheid (gedrag) vergroten, afgestemd op specifieke doelgroepen en passend bij de cultuur.

• Bewustzijn en handelingsbekwaamheid verhogen in een organisatie is een langjarig proces. Kortstondige impulsen (al dan niet thematisch) beklijven niet.

• Een continue stroom van berichtgeving onderstreept naast inhoudelijke boodschappen dat security een onderwerp is dat hoog op de agenda van de organisatie staat.

Tactiek

Een strategie waarbij gekozen is om het bewustzijn en handelings-perspectief zo veel mogelijk in te bedden inhet dagelijks werk en actualiteit vergt discipline.

• Zoveel mogelijk via de lijn (meeste impact)• Zoveel mogelijk dialoog (draagvlak en duurzame

verandering)• Zo min mogelijk nieuwe middelen (voorkomt

verwarring & versnippering)• Voortdurende alertheid op (in- en externe)

aanknopingspunten• ‘Gaten’ in de communicatiestroom opvullen met

onderwerpen die onafhankelijk van actualiteit ingeschoten kunnen worden (i.e. content ‘op de plank’).

• Slimme en alerte inzet interne social media

Interventies (uitgangspunten)

Variatie: de verschillende activiteiten dienen te variëren

Origineel: de activiteiten dienen origineel te zijn is een manier om te verrassen

Consequent: de boodschap dient consequent te zijn en te worden herhaald

Updated: de inhoud dient actueel, gedegen en concreet te zijn

Sympathiek: de activiteiten dienen sympathie op te wekken t.a.v. het onderwerp

Interventiematrix

    MOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen)    Intrinsiek:

- interessantwensen/verlangens/ behoeften- doeleinden-saldo positieve/negatieve gevolgen

Extrinsiek:Belangstelling opgeroepen door buiten de persoon gelegen oorzakenBeloning/straf waardering

Intrinsiek:- financiën- kennis- IQ- fysieke eigenschappen

Extrinsiek:Hulp van buitenaf:- financieel- hulp(middelen)- informatie

Intrinsiek:Zelfgekozen tijd, ruimte, faciliteiten   

Extrinsiek:Beschikbare tijd, ruimte, faciliteiten 

Doelgroep Doel            Senior management

Kennen de persoonlijke verantwoordelijkheden.

kennis van strategische security risico’s

kennen rol bij rol security crisis

  Veiligheidsdag   Risico-assessment afdelingen

  Gevarieerd aanbod van instrumenten, richtlijnen e.d. waarmee mensen gefaciliteerd worden

Medewerkers met klantcontact

Privacy aspecten herkennen en weten hoe hierbij te handelen

Kennis hebben van security aspecten in relatie tot klanten

     

  e-learning Richtlijnen Serious Game  

Security

specialisten

 

 

Weten welke relatie er is tussen het niet volgen van processen en onbeschikbaarheid van processen en diensten.

 

Hackdemonstraties Vakimpulsen bij gespecialiseerde bedrijven

  Generieke security opleiding

   

Nieuwe

medewerkers

 

 

Omgaan met vertrouwelijke informatie.

Gebruik van security richtlijnen.

Security onderdeel van de reguliere introductiedag. 

      Serious Game  

Middelen

Vakimpulsen •Korte, krachtige – niet vrijblijvende – bijeenkomsten door aansprekende specialisten gericht op voor het werkgebied relevante informatie en kennis

Online middelen•Themapagina intranet (beleidsdocumenten FAQ’s, meldingsapplicaties)•Digitale nieuwsbrief•Tijdlijn (in van de talkstream (door iedereen in te zetten)

Veiligheidsdag (Senior Management)

Senior management bewust maken van security risico’s en hun rol in het terugdringen van die risico’s (wet- en regelgeving, techniek, fysiek en gedrag)•Lezing cyber-autoriteit, live demo hacking, rollenspel security crisis, phising expeditie etc.)

Middelen

Instructies front line security-medewerkers•Uitvraagscripts, gesprekstechnieken

Fysiek materiaal•personeelsmagazine•Flyer 10 Golden Rules

Presentaties, debatten •(Senior) Management meetings•Security vast thema Introductieprogramma nieuwe medewerkers

Video•Narrowcasting •‘YouTube’-kanaal op intranet

Middelen

Mystery Guest actieActie om zwakke plekken in de fysieke beveiliging te vinden en benutten om zo de kwetsbaarheid van bedrijfsgevoelige informatie aan te kunnen tonen en het bewustzijn bij directie en medewerkers.•Rapportage bevindingen•Mystery Guest filmpje. Deels met verborgen camera’s opgenomen, deels scripted. Confronterend op inhoud, niet op personen; educatief.

LeeroplossingenSerious Game. Het vermaak versterkt de beleving en daarmee de overdracht van informatie•E-learnings•Security quizjes