Waarom bewustwording niet werkt

Wifi-netwerk:

Wachtwoord:

Het is toegestaan om voor eigen gebruik foto’s te maken tijdens deze bijeenkomst. Foto’s mogen niet zondertoestemming van de afgebeelde deelnemers gepubliceerd worden.

29 maart 2018

Programma

• Inleiding over bewustwording

• Kwisje

• Cultuurverandering

• Koffie

• Verschillende workshop in groepjes

• Terugkoppeling

Doelstellingen van de middag

Aan het eind van de middag:

• Gaan jullie naar huis met 10 concrete tips om de factor mens adequaat te adresseren.

• Heeft de IBD scherp hoe ze gemeenten verder kunnen helpen op dit onderwerp.

• Heeft de IBD een lijstje met een aantal mensen die actief willen meedenken over toekomstige producten op dit onderwerp.

Waarom dit onderwerp?

• 157.000 mensen werken bij gemeenten

• 300.000 mensen bij gemeenten en toeleveranciers

• Mensen maken fouten

• Klikken op foute linkjes

• Verwarren het AAN-veld met het BCC-veld

• Verliezen laptops en telefoons

• Laten wachtwoorden slingeren

• …………..

Waarom gaat het mis met campagnes?

• Campagnes zijn niet in lijn met business risico’s, niet echt herkenbaar

• De voortgang noch de waarde voor de organisatie wordt gemeten

• Onrealistische verwachtingen over menselijk gedrag

• Onrealistische verwachtingen over campagnes

• De juiste skills/personen worden niet gebruikt

• Bewustwording wordt gezien als achtergrondruis

ISF : From Promoting Awareness toEmbedding Behaviours

Waarom vertonen mensen geen veilig gedrag?

Beveiligingsmaatregelen:

• Beperken ze in de mogelijkheid hun werk te doen

• Zijn een extra belasting

• Worden gezien als lastig

• Helpen toch niet

• Ze worden er niet voor betaald

• Ze worden er niet op afgerekend, werkt zelfs tegen je

• Ze kunnen slecht risico’s inschatten

Wat willen we bereiken?

• Doelen

• Een vinkje?

• Compliancy?

• Minder incidenten?

• Minder schade door incidenten?

• Voorkomen van boetes?

• Wat is daar voor nodig

• Blijvende meetbare verandering van gedrag

• Eigenlijk cultuurverandering

• filmpje met uitleg

Vier oorzaken en mogelijke remedies:

• Vergeten: We nemen ons iets voor, maar vergeten het daarna domweg.

• Remedie: werken met reminders in de werkomgeving.

• Uitstellen: Voornemens waaraan we ons niet echt committeren leiden vaak tot uitstel en afstel.

• Remedie: meer aandacht voor de motivatie van de betrokkenen.

• Verandering van mening: Geconfronteerd met andere input kom je tot een nieuwe opvatting.

• Remedie: interventies op de werkvloer, in direct overleg met de mensen die het nieuwe gedrag moeten vertonen.

• Hypothetische vertekening: Gaat vaak over toekomstige, denkbeeldige situaties. Als er later dan echt moet worden geïmplementeerd, dan daalt de bereidheid tot actie.

• Remedie: met betrokkenen samen ideeën ontwikkelen en meteen proberen

Tip

• Een veranderingsinterventie moet zo realistisch mogelijk zijn

• Een workshop, discussie of simulatie moet vergelijkbaar zijn met wat mensen in het echt tegenkomen.

• Idealiter doe je de workshop of interventie in de organisatie zelf, op de werkvloer, met de mensen met wie je dagelijks werkt. Dat biedt een veel grotere kans op succes.’

Menselijk gedrag beïnvloeden

• Gedragspsychologie

• Begrijp de geschiedenis en de bedrijfscultuur waar het gedrag vandaan komt

• Verander deze cultuur door gewenst bedrag te belonen

• Cognitieve Psychologie

• Biedt kleine, makkelijk te verwerken, stukjes informatie aan

• Zorg dat het gewenste gedrag geoefend kan worden

• Zorg dat mensen hun eigen voortgang kunnen meten

• Neuropsychologie

• Daag mensen voldoende uit

• Laat mensen liever zelf conclusies trekken en inzicht verwerven dan dat je ze“onderwijst”

• Zorg dat mensen gefocussed blijven op hun nieuwe inzichten

Informatiebeveiligingscultuur

• Complex systeem van gedeelde normen en waarden die het gedragvan individuele medewerkers bepalen.

• De houding t.o.v. Informatiebeveiliging en het gedrag kunnen op hunbeurt weer beïnvloed worden door wijzigingen in de IB-cultuur

• Wat is de cultuur in jullie gemeente?

Medewerkers zijn in de eerste plaats mensen

• Begrip voor de impact van de menselijke psyche, sociologische enculturele factoren zijn essentieel voor een susccesvollecultuurverandering.

• Dit cultuurconcept bevat :

• Groepsnormen

• Gewoontegedrag

• Ingebedde vaardigheden

• Gedeelde meningen

• Rituelen

Drie niveaus van cultuur

• Waarden

• Zichtbaar gedrag

• Onderliggende veronderstellingen

• Een cultuurverandering begint met een verandering van waarden enmoet leiden tot adoptie van gedragswijziging. Blijkt die gedragswijzigingsuccesvol dan wijzigen de onderliggende veronderstellingen ook

Verankering van cultuurverandering

• Management commitment

• management moet de toon zetten met statements, slogans, awareness campagnes, voorbeelden, beloningen en straffen

• Doe een 0-meting

• Cultuur uitgedrukt in waarden, beleid, praktijk en kennis

• Bepaal je doelen

• Langs dezelfde 4 lijnen

• Leid je medewerkers op

• Wat, hoe en waarom

• Kost tijd en inspanning om nieuw gedrag te internaliseren

• Feedback, beloning en straf

• Continue feedback is nodig van het management

• Evalueer en verfijn

Meten

Percentage mensen dat :

• in een phishing aanval trapt

• een phishingmail rapporteert

• bekend is met beleid

• handelt conform beleid

• clean-desk beleid naleeft

• een social engineering aanval herkent, stopt en rapporteert

• bedrijfsinfo post op social media

• het datavernietigingsproces naleeft

• anderen aanspreekt als ze geen pasje dragen

• Percentage devices dat is geupdate

• Percentage devices dat ge-encrypt is

• Aantal incidenten

Middelen

Online Hybride Offline

E-mail Scenario’s, Oefeningen Training sessies

Video’s Verhalen met goed gedrag Flyers FAQ’s

Serious games Beloningen, competities Workshops

Webinars Tip sheets Lunchbijeenkomsten

Online trainingen Nepaanvallen Posters

Intranet, social media

De rol van de top

• Hoger management moet cybersecurity als een risico behandelen waarverantwoording over moet worden afgelegd

• Informatieveiligheid niet zien als kosten maar als risicobeheersing

• Op basis hiervan moeten prioriteiten worden gesteld en meegegevenaan de CISO

• Voorbeeldgedrag vertonen

De rol van het lijnmanagement

• Middle management heeft een sleutelrol in het zetten van de toon, zijmoeten als eerste overtuigd worden van het nut van maatregelen enmoeten nauw betrokken worden bij de opzet van campagnes

• Middle management zou veilig gedrag moeten stimuleren door regelmatig feedback te geven en veilig gedrag te belonen

• Een veilige omgeving voor het melden van onveilige situaties creëren

• Luisteren naar medewerkers en hun tips opvolgen

Medewerkers

• Trainingen volgen en sessies bijwonen, verplichting?

• Escaleer onveilige situaties naar middle management

• Anderen aanspreken op onveilig gedrag

• Incidenten melden

Workshop

• Wat nodig is, is een gedragsveranderingscampagne. En die begint aan de bovenkant van de organisatie. De opdracht is om een campagne te bedenken die aansluit bij de beleving van de verschillende doelgroepen.

• De opdracht wordt uitgevoerd door 4 groepen:

• Groep 1: doelgroep burgemeester & wethouders

• Groep 2: doelgroep gemeentesecretaris en domeinhoofden

• Groep 3: doelgroep middle management

• Groep 4: doelgroep medewerkers van een bepaald domein (sociaal domein, ruimtelijk domein, werk & inkomen, veiligheid)

Opdrachten workshop

• Bedenk 5 voorbeelden die het belang aantonen van informatiebeveiliging in het dagelijks werk in de eigen organisatie.

• Wat zijn de beste manieren om de doelgroep te betrekken bij het opzetten van de campagne?

• Bedenk de beste middelen waarmee deze doelgroep kan worden bereikt, zet ze in volgorde van effectiviteit. Leg ook uit waarom.

• Wat zou de beste periode zijn om een campagne te houden voor deze doelgroep, en waarom?

10 tips om mee naar huis te nemen

• Koop niet zomaar een campagne

• Beschouw cultuurverandering alseen continue proces

• Wat is de cultuur in mijn gemeente?

• Begin bovenin de organsatie

• Bepaal het gewenste doelgedrag

• Begin met een 0-meting en blijf meten

• Stel realistische doelen

• Het is een lijnmanagementprobleem

• Vraag je bij iedere actie af wat je het beste kunt beïnvloeden

• Maak interventies zo realistisch mogelijkvoor de doelgroep

input• Hoe kunnen we jullie het beste

hiermee helpen

Nuttige links

• https://www.securityforum.org/research/from-promoting-awareness-to-embedding-behaviours/

• http://people.umass.edu/aizen/index.html

• https://www.enisa.europa.eu/publications/cyber-security-culture-in-organisations

Nassaulaan 122514 JS Den Haag

CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)CERT 24x7: Piketnummer (instructies via voicemail)

info@IBDGemeenten.nl / incident@IBDGemeenten.nl