Verhogen securitybewustzijn

of 14/14
Verhogen van het securitybewustzijn bij medewerkers Annebeth Wierenga januari 2014

Embed Size (px)

description

Verhogen securitybewustzijn bij medewerkers

Transcript of Verhogen securitybewustzijn

  • 1. Verhogen van hetsecuritybewustzijn bijmedewerkersAnnebeth Wierengajanuari 2014

2. InleidingOrganisaties kunnen de integriteit, vertrouwelijkheid enbeschikbaarheid van informatie in IT systemen ennetwerken en de veiligheid van personeel, materieel,gebouwen en processen niet garanderen zonder dat iederemedewerker zijn rol en verantwoordelijkheid begrijpt enadequaat is opgeleid.De menselijke factor is een dermate grote kritiekesuccesfactor dat het noodzakelijk is om de organisatie eenbewustwordingsprogramma te laten volgen.T h e o n l y r e a l s e c u r i t y t h a t a m a n c a nh a v e i n t h i s w o r l d i s a r e s e r v e o fk n o w l e d g e , e x p e r i e n c e a n d a b i l i t y . ( HenryFord) 3. Situatiebeschrijving Organisatiebewustzijn over informatieveiligheid en beveiliging zeer laag. Kennis over eigen handelingsperspectief is beperkt Risico-self assessments vinden (in beperkte mate)plaats Aanwezige richtlijnen zijn onvoldoende ontsloten endaarmee onvoldoende bekend Technische programmas zijn onvoldoende zichtbaar Te weinig gerichte aandacht voor security bewustzijnen handelingsperspectief. 4. OpdrachtOntwikkel interne communicatieaanpak die het gewenstebewustzijn en gedrag op het gebied van informatie-veiligheid enbeveiliging (vanaf nu security) bevordert.De medewerkerbegrijpt en ervaart het belang van securitybegrijpt en herkent de belangrijkste security risicos voorzijn/haar dagelijkse werkzaamhedenlevert zijn/haar bijdrage aan het vereiste beveiligingsniveauvan de organisatiesignaleert en meldt (potentile) incidentenBeoogde resultaatIn twee jaar van een nagenoeg onbewust onbekwameorganisatie naar een organisatie die zich bewust is van derisicos en pro-actief handelt om deze te voorkomen dan wel opte lossen. 5. Risicos en remedies (1)Geen flankerende ondersteuningSecurity-medewerkers (front line) moeten heldere instructiesen klantvriendelijke handvatten hebben voor het helpen vanmensen bij meldingen. Uitgangspunt moet persoonlijkecommunicatie zijn (niet systemische).Eerst organiseren, dan communiceren.Ongeorganiseerd antwoord op weerstandVaak is weerstand een vorm van betrokkenheid. In het gevalvan beveiliging is weerstand dikwijls onbekendheid met dematerie of luiheid.niet oplossen met meer communicatie maar met eenpassend handhavingsbeleidDiscrepantie gepercipieerde en werkelijke staat securityEr bestaat vaak discrepantie tussen de perceptie vanspecialisten over de technische staat van beveiliging vansystemen en het daadwerkelijke beveiligingsniveauopstellen van en communiceren over security vereisten (ookleveranciers) 6. Risicos en remedies (2)(Informatie)beveiliging beperkt je in je dagelijks werkgeef goede handelingsperspectieven en alternatieveoplossingen voor zaken die niet meer mogen daar zit eengebruikersbehoefte achter, niet per definitie onwil om mee tewerken.Het melden van incidenten geeft gedoe, kost tijd en kanop klikken lijkenmaak het meldproces zo simpel mogelijk, geef feedback overde melding en oplossing; zorg voor vertrouwelijke afhandelingvan de melding.Eigen middelen, persoonlijk gebruik bedrijfsmiddelenWerk en priv lopen in elkaar over. Organisaties bieden nietiedereen de middelen waar men graag mee werkt. Veelmensen werken (ook) met eigen middelen.maak duidelijk wat de specifieke beveiligingseisen en-middelen zijn voor eigen middelen 7. StrategieInterdisciplinair en gentegreerdOm bewustzijn en gedrag (handelingsbekwaamheid)effectief te kunnen sturen is gebruik gemaakt van hetTriade-model. Dit model stoelt op drie pijlers: motivatie(willen), capaciteit (kunnen) en gelegenheid (mogen).IntrinsiekExtrinsiekMotivatie InteresseBehoefteBeloning/strafwaarderingCapaciteit Kennis, IQ, vaardighedenFysieke eigenschappenHulp(middelen)InformatieGelegenheid Zelf gekozenTijd/ruimte/faciliteitenBeschikbare tijd/ruimte/ faciliteitenMaatregelen op n van de pijlers zijn zinloos als deoorzaak van inactiviteit of foutief handelen liggen aangebrek aan capaciteit (vaardigheden) of gelegenheid(tijd, faciliteiten of toestemming) 8. Strategie Versterking van deze continue stroom door het biedenvan interventies die handelingsbekwaamheid (gedrag)vergroten, afgestemd op specifieke doelgroepen enpassend bij de cultuur. Bewustzijn en handelingsbekwaamheid verhogen ineen organisatie is een langjarig proces. Kortstondigeimpulsen (al dan niet thematisch) beklijven niet. Een continue stroom van berichtgeving onderstreeptnaast inhoudelijke boodschappen dat security eenonderwerp is dat hoog op de agenda van deorganisatie staat. 9. TactiekEen strategie waarbij gekozen is om het bewustzijn enhandelings-perspectief zo veel mogelijk in te bedden inhet dagelijks werk en actualiteit vergt discipline. Zoveel mogelijk via de lijn (meeste impact) Zoveel mogelijk dialoog (draagvlak en duurzameverandering) Zo min mogelijk nieuwe middelen (voorkomtverwarring & versnippering) Voortdurende alertheid op (in- en externe)aanknopingspunten Gaten in de communicatiestroom opvullen metonderwerpen die onafhankelijk van actualiteitingeschoten kunnen worden (i.e. content op deplank). Slimme en alerte inzet interne social media 10. Interventies (uitgangspunten)Variatie: de verschillende activiteiten dienen te varirenOrigineel: de activiteiten dienen origineel te zijn is eenmanier om te verrassenConsequent: de boodschap dient consequent te zijn ente worden herhaaldUpdated: de inhoud dient actueel, gedegen en concreette zijnSympathiek: de activiteiten dienen sympathie op tewekken t.a.v. het onderwerp 11. InterventiematrixMOTIVATIE (willen) CAPACITEIT (kunnen) GELEGENHEID (mogen)Intrinsiek:Extrinsiek:Intrinsiek:Extrinsiek:Intrinsiek:- interessantBelangstelling- financinHulp van buitenaf:Zelfgekozen tijd,wensen/verlangens/opgeroepen door- kennis- financieelruimte,behoeftenbuiten de persoon- IQ- hulp(middelen)faciliteiten- doeleindengelegen oorzaken- fysieke- informatie-saldo positieve/Beloning/strafeigenschappennegatieve gevolgenwaarderingExtrinsiek:Beschikbare tijd,ruimte,faciliteitenDoelgroep DoelSeniormanagement Kennen depersoonlijkeverantwoordelijkheden. kennis vanstrategischesecurity risicos kennen rol bij rolsecurity crisisVeiligheidsdag Risico-assessmentafdelingenGevarieerdaanbod vaninstrumenten,richtlijnen e.d.waarmee mensengefaciliteerdwordenMedewerkers metklantcontact Privacy aspectenherkennen enweten hoe hierbij tehandelen Kennis hebben vansecurity aspecten inrelatie tot klantene-learning Richtlijnen Serious GameSecurityspecialisten Weten welke relatieer is tussen het nietvolgen vanprocessen enonbeschikbaarheidvan processen endiensten.Hackdemonstraties Vakimpulsen bijgespecialiseerdebedrijvenGenerieke securityopleidingNieuwemedewerkers Omgaan metvertrouwelijkeinformatie. Gebruik vansecurity richtlijnen.Security onderdeelvan de reguliereintroductiedag.Serious Game 12. MiddelenVakimpulsenKorte, krachtige niet vrijblijvende bijeenkomsten dooraansprekende specialisten gericht op voor het werkgebiedrelevante informatie en kennisOnline middelenThemapagina intranet (beleidsdocumenten FAQs,meldingsapplicaties)Digitale nieuwsbriefTijdlijn (in van de talkstream (door iedereen in te zetten)Veiligheidsdag (Senior Management)Senior management bewust maken van security risicos en hunrol in het terugdringen van die risicos (wet- en regelgeving,techniek, fysiek en gedrag)Lezing cyber-autoriteit, live demo hacking, rollenspel securitycrisis, phising expeditie etc.) 13. MiddelenInstructies front line security-medewerkersUitvraagscripts, gesprekstechniekenFysiek materiaalpersoneelsmagazineFlyer 10 Golden RulesPresentaties, debatten(Senior) Management meetingsSecurity vast thema Introductieprogramma nieuwemedewerkersVideoNarrowcastingYouTube-kanaal op intranet 14. MiddelenMystery Guest actieActie om zwakke plekken in de fysieke beveiliging te vinden enbenutten om zo de kwetsbaarheid van bedrijfsgevoeligeinformatie aan te kunnen tonen en het bewustzijn bij directie enmedewerkers.Rapportage bevindingenMystery Guest filmpje. Deels met verborgen camerasopgenomen, deels scripted. Confronterend op inhoud, niet oppersonen; educatief.LeeroplossingenSerious Game. Het vermaak versterkt de beleving en daarmeede overdracht van informatieE-learningsSecurity quizjes