Verhogen securitybewustzijn
-
Upload
annebeth-wierenga -
Category
Leadership & Management
-
view
70 -
download
0
description
Transcript of Verhogen securitybewustzijn
Verhogen van het securitybewustzijn bij medewerkers
Annebeth Wierengajanuari 2014
Inleiding
Organisaties kunnen de integriteit, vertrouwelijkheid en beschikbaarheid van informatie in IT systemen en netwerken en de veiligheid van personeel, materieel, gebouwen en processen niet garanderen zonder dat iedere medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is opgeleid.
De menselijke factor is een dermate grote kritieke succesfactor dat het noodzakelijk is om de organisatie een bewustwordingsprogramma te laten volgen.
The only real security that a man can have in
this world is a reserve of knowledge,
experience and ability. (Henry Ford)
Situatiebeschrijving
• Organisatiebewustzijn over informatieveiligheid en –beveiliging zeer laag.
• Kennis over eigen handelingsperspectief is beperkt
• Risico-self assessments vinden (in beperkte mate) plaats
• Aanwezige richtlijnen zijn onvoldoende ontsloten en daarmee onvoldoende bekend
• Technische programma’s zijn onvoldoende zichtbaar
• Te weinig gerichte aandacht voor security bewustzijn en handelingsperspectief.
OpdrachtOntwikkel interne communicatieaanpak die het gewenste bewustzijn en gedrag op het gebied van informatie-veiligheid en –beveiliging (vanaf nu ‘security’) bevordert.
De medewerker•begrijpt en ervaart het belang van security•begrijpt en herkent de belangrijkste security risico’s voor zijn/haar dagelijkse werkzaamheden•levert zijn/haar bijdrage aan het vereiste beveiligingsniveau van de organisatie •signaleert en meldt (potentiële) incidenten Beoogde resultaatIn twee jaar van een nagenoeg onbewust onbekwame organisatie naar een organisatie die zich bewust is van de risico’s en pro-actief handelt om deze te voorkomen dan wel op te lossen.
Risico’s en remedies (1)
Geen flankerende ondersteuningSecurity-medewerkers (front line) moeten heldere instructies en klantvriendelijke handvatten hebben voor het helpen van mensen bij meldingen. Uitgangspunt moet persoonlijke communicatie zijn (niet systemische).Eerst organiseren, dan communiceren.
Ongeorganiseerd antwoord op weerstandVaak is weerstand een vorm van betrokkenheid. In het geval van beveiliging is weerstand dikwijls onbekendheid met de materie of luiheid. niet oplossen met meer communicatie maar met een passend handhavingsbeleid
Discrepantie gepercipieerde en werkelijke staat securityEr bestaat vaak discrepantie tussen de perceptie van specialisten over de technische staat van beveiliging van systemen en het daadwerkelijke beveiligingsniveauopstellen van en communiceren over security vereisten (ook leveranciers)
Risico’s en remedies (2)
(Informatie)beveiliging beperkt je in je dagelijks werkgeef goede handelingsperspectieven en alternatieve oplossingen voor ‘zaken die niet meer mogen’ – daar zit een gebruikersbehoefte achter, niet per definitie onwil om mee te werken.
Het melden van incidenten geeft gedoe, kost tijd en kan op ‘klikken’ lijkenmaak het meldproces zo simpel mogelijk, geef feedback over de melding en oplossing; zorg voor vertrouwelijke afhandeling van de melding.
Eigen middelen, persoonlijk gebruik bedrijfsmiddelenWerk en privé lopen in elkaar over. Organisaties bieden niet iedereen de middelen waar men graag mee werkt. Veel mensen werken (ook) met eigen middelen.maak duidelijk wat de specifieke beveiligingseisen en -middelen zijn voor eigen middelen
Strategie
Interdisciplinair en geïntegreerd
Om bewustzijn en gedrag (handelingsbekwaamheid)effectief te kunnen sturen is gebruik gemaakt van het Triade-model. Dit model stoelt op drie pijlers: motivatie (willen), capaciteit (kunnen) en gelegenheid (mogen).
Maatregelen op één van de pijlers zijn zinloos als deoorzaak van inactiviteit of foutief handelen liggen aan gebrek aan capaciteit (vaardigheden) of gelegenheid (tijd, faciliteiten of toestemming)
Intrinsiek
Extrinsiek
Motivatie InteresseBehoefte
Beloning/strafwaardering
Capaciteit Kennis, IQ, vaardighedenFysieke eigenschappen
Hulp(middelen)Informatie
Gelegenheid Zelf gekozenTijd/ruimte/faciliteiten
Beschikbare tijd/ruimte/ faciliteiten
Strategie
• Versterking van deze continue stroom door het bieden van interventies die handelingsbekwaamheid (gedrag) vergroten, afgestemd op specifieke doelgroepen en passend bij de cultuur.
• Bewustzijn en handelingsbekwaamheid verhogen in een organisatie is een langjarig proces. Kortstondige impulsen (al dan niet thematisch) beklijven niet.
• Een continue stroom van berichtgeving onderstreept naast inhoudelijke boodschappen dat security een onderwerp is dat hoog op de agenda van de organisatie staat.
Tactiek
Een strategie waarbij gekozen is om het bewustzijn en handelings-perspectief zo veel mogelijk in te bedden inhet dagelijks werk en actualiteit vergt discipline.
• Zoveel mogelijk via de lijn (meeste impact)• Zoveel mogelijk dialoog (draagvlak en duurzame
verandering)• Zo min mogelijk nieuwe middelen (voorkomt
verwarring & versnippering)• Voortdurende alertheid op (in- en externe)
aanknopingspunten• ‘Gaten’ in de communicatiestroom opvullen met
onderwerpen die onafhankelijk van actualiteit ingeschoten kunnen worden (i.e. content ‘op de plank’).
• Slimme en alerte inzet interne social media
Interventies (uitgangspunten)
Variatie: de verschillende activiteiten dienen te variëren
Origineel: de activiteiten dienen origineel te zijn is een manier om te verrassen
Consequent: de boodschap dient consequent te zijn en te worden herhaald
Updated: de inhoud dient actueel, gedegen en concreet te zijn
Sympathiek: de activiteiten dienen sympathie op te wekken t.a.v. het onderwerp
Interventiematrix
MOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen) Intrinsiek:
- interessantwensen/verlangens/ behoeften- doeleinden-saldo positieve/negatieve gevolgen
Extrinsiek:Belangstelling opgeroepen door buiten de persoon gelegen oorzakenBeloning/straf waardering
Intrinsiek:- financiën- kennis- IQ- fysieke eigenschappen
Extrinsiek:Hulp van buitenaf:- financieel- hulp(middelen)- informatie
Intrinsiek:Zelfgekozen tijd, ruimte, faciliteiten
Extrinsiek:Beschikbare tijd, ruimte, faciliteiten
Doelgroep Doel Senior management
Kennen de persoonlijke verantwoordelijkheden.
kennis van strategische security risico’s
kennen rol bij rol security crisis
Veiligheidsdag Risico-assessment afdelingen
Gevarieerd aanbod van instrumenten, richtlijnen e.d. waarmee mensen gefaciliteerd worden
Medewerkers met klantcontact
Privacy aspecten herkennen en weten hoe hierbij te handelen
Kennis hebben van security aspecten in relatie tot klanten
e-learning Richtlijnen Serious Game
Security
specialisten
Weten welke relatie er is tussen het niet volgen van processen en onbeschikbaarheid van processen en diensten.
Hackdemonstraties Vakimpulsen bij gespecialiseerde bedrijven
Generieke security opleiding
Nieuwe
medewerkers
Omgaan met vertrouwelijke informatie.
Gebruik van security richtlijnen.
Security onderdeel van de reguliere introductiedag.
Serious Game
Middelen
Vakimpulsen •Korte, krachtige – niet vrijblijvende – bijeenkomsten door aansprekende specialisten gericht op voor het werkgebied relevante informatie en kennis
Online middelen•Themapagina intranet (beleidsdocumenten FAQ’s, meldingsapplicaties)•Digitale nieuwsbrief•Tijdlijn (in van de talkstream (door iedereen in te zetten)
Veiligheidsdag (Senior Management)
Senior management bewust maken van security risico’s en hun rol in het terugdringen van die risico’s (wet- en regelgeving, techniek, fysiek en gedrag)•Lezing cyber-autoriteit, live demo hacking, rollenspel security crisis, phising expeditie etc.)
Middelen
Instructies front line security-medewerkers•Uitvraagscripts, gesprekstechnieken
Fysiek materiaal•personeelsmagazine•Flyer 10 Golden Rules
Presentaties, debatten •(Senior) Management meetings•Security vast thema Introductieprogramma nieuwe medewerkers
Video•Narrowcasting •‘YouTube’-kanaal op intranet
Middelen
Mystery Guest actieActie om zwakke plekken in de fysieke beveiliging te vinden en benutten om zo de kwetsbaarheid van bedrijfsgevoelige informatie aan te kunnen tonen en het bewustzijn bij directie en medewerkers.•Rapportage bevindingen•Mystery Guest filmpje. Deels met verborgen camera’s opgenomen, deels scripted. Confronterend op inhoud, niet op personen; educatief.
LeeroplossingenSerious Game. Het vermaak versterkt de beleving en daarmee de overdracht van informatie•E-learnings•Security quizjes