Tip 107

Breng informatieveiligheid dichtbij

informatieveiligheid

Probeer echt ‘binnen’ te komen bij je collega’s met het onderwerp infomatieveiligheid. Als het aanspreekt en het ze raakt, dan is de kans groter dat gewenst gedrag volgt. Koppel daarom communicatie aan actualiteit of persoonlijke relevantie. Communiceer erover als er onderwerpen in het nieuws zijn, waarbij het veilig omgaan met persoonlijke gegevens een rol spelen. Of tijdens landelijke campagnes, zoals Alert Online. Of verbind het aan persoonlijke situaties, zoals vakanties. Benoem daarbij concrete, wenselijke handelingen. Bied daarin zoveel mogelijk maatwerk om echt aan te spreken. Gebruik voorbeelden, verhalen en tips van collega’s met een soortgelijke functie uit eenzelfde domein.

Voorbeelden

Alert online

Gebruik de nationale campagne Alert online om in de organisatie awareness op de kaart te zetten. Doel van de twee weken durende campagne is om burgers, bedrijven en andere instanties bewust te maken van on- en offline omgaan met persoonlijke informatie. Wij haken vanuit BZK aan en vertalen de campagne door naar de eigen organisatie. Door die landelijke campagne wordt het vuurtje aangewakkerd om ook bij BZK aandacht te vragen voor veilig online gedrag.

Annet van Veen

Adviseur, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Meer tips van Annet

Informatiebeveiliging dichterbij brengen met storytelling

Het informatiebeveiligingsdomein (IB-domein) regelt van alles rond techniek en technische beveiliging, maar mensen willen graag kunnen doen wat ze thuis ook doen. De getroffen beveiligingsmaatregelen ervaren ze als belemmerend waardoor ze om de beveiliging heen gaan werken. Daar worden de grootste risico’s gelopen. Wat het IB-domein wilde is een kijkje in de keuken bieden. Toen ben ik op het concept storytelling gekomen. Er zijn natuurlijk ontzettend veel mensen binnen de organisatie die werken met informatie. Dat begint in feite al bij een receptioniste die iemand ontvangt en de gegevens moet controleren. In het pand gaat het bijvoorbeeld om het vergrendelen van beeldschermen waarmee je de privacy van jezelf en van anderen waarborgt. Er zijn BZK-onderdelen zoals Logius, Dienst Huurcommissie en Rijksdienst voor identiteitsgegevens, die veel dichter in contact met de burger staan en met gegevens van burgers werken. Waar het bij storytelling om gaat, is dat je vanuit verschillende organisatieonderdelen van BZK laat zien: wat betekent informatiebeveiliging bezien vanuit jouw functie en jouw domein. Wat tref je op je werkplek aan, hoe ga je daarmee om? En wat voor tips heb je naar de lezer toe. Het gaat erom dat de lezer zich kan vereenzelvigen met de functionaris in het IB-domein en zich afvraagt: “Hoe doe ik dit eigenlijk in mijn praktijk”. Zo probeer ik informatiebeveiliging dichter bij medewerkers te brengen.

Annet van Veen

Adviseur, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Meer tips van Annet

Door lezing zelf voelen wat de gevolgen zijn van identiteitsfraude

We zijn bezig met sessies waarin iemand lezingen houdt. Nu is dat Maria Genova, schrijfster van het boek ‘komt een vrouw bij de h@cker’. Wat zij doet is het verhaal van het slachtoffer vertellen, bijvoorbeeld bij identiteitsfraude. Zeker voor gemeente- of andere overheidsmedewerkers die met erg gevoelige burgergegevens werken, is het goed om in gedachte te hebben, te voelen, wat het betekent als een burger geraakt wordt door identiteitsfraude. Voor een burger is het zo dat de bewijslast bij hem komt te liggen. Hij moet gaan verdedigen dat hij het niet was die bepaalde dingen gedaan heeft. Dat is een hele traumatische gebeurtenis voor veel mensen, die ook lang kan aanhouden, soms wel twee jaar. Als je dat beseft en voelt, je bent zelf ook altijd burger, dan kun je ook veel beter begrijpen waarom het belangrijk is dat je veilig omgaat met die gegevens. Dan ben je intrinsiek gemotiveerd. En vindt er een gedragsverandering plaats.

Joab de Lang

Concern Information Security Officer, Gemeente Rotterdam Meer tips van Joab

Speel in op actuele zaken, maar zonder in paniek te raken

Wat ik merk, is dat het slim is om in te spelen op actuele zaken. Als er deze week in het journaal aandacht wordt besteed aan cybercrime, en drie weken geleden ook, dan sluiten we met onze campagne daar mooi bij aan. Goed nadenken over de risico’s is essentieel, want niet elk risico is even groot of heeft impact. Maar we willen medewerkers wel bewust maken van wat er had kunnen gebeuren.

Marco van Beek

Chief Information Security Officer, Gemeente Amsterdam Meer tips van Marco

Ronde-tafel-sessies over belangrijke veiligheid issues

We gaan ook ronde-tafel-sessies doen rondom informatieveiligheid. Waarbij we eerst een boodschap communiceren naar de medewerkers en vervolgens groepjes vormen waarin mensen erover gaan praten. En ook onderwerpen ter discussie mogen stellen. Dat kan bijvoorbeeld gaan over wat een persoonsgegeven is. Of: waarom moet ik mijn werkplek locken als er ook allemaal andere ambtenaren in het kantoor zijn. De gedachte is vaak: we hebben toch de ambtseed afgelegd, we kunnen elkaar toch allemaal vertrouwen? Maar wij hebben bij de gemeente Rotterdam zo veel medewerkers, dat er statistisch gezien altijd een crimineel tussen kan zitten. Natuurlijk ga je uit van vertrouwen, maar je moet ook de verantwoordelijkheid nemen voor de gevoelige gegevens waar je mee werkt.

Joab de Lang

Concern Information Security Officer, Gemeente Rotterdam Meer tips van Joab

Workshops en ambassadeurs

We proberen veel te doen met workshops om de bewustwording te verbeteren. Natuurlijk moet je onderwerpen op intranet zetten, flyers uitdelen en posters hangen in de gang. Maar probeer ook bij mensen binnen te komen, om zaken toe te spitsen op hun eigen werkproces, hun eigen taken in de organisatie en op de plek waar ze zitten. En in grote organisaties met veel verschillende taken en afdelingen en onderdelen is het nodig om het net even wat specifieker te maken. Wij hebben medewerkers die op kantoor werken. Maar we hebben ook medewerkers die bijvoorbeeld op straat met handhaving bezig zijn. Zij hebben met verschillende informatie te maken. Maar ook met verschillende omgevingen en andersoortige risico’s. Daarom hebben we per organisatieonderdeel een ambassadeur die kijkt wat precies nodig is en die kan helpen om zijn afdeling bewuster te maken. Je kan niet overal maatwerk voor maken, maar we proberen wel om in de campagne zo specifiek te zijn dat het iedereen aanspreekt.

Marco van Beek

Chief Information Security Officer, Gemeente Amsterdam Meer tips van Marco

Communiceer op natuurlijke momenten

Met informatieveiligheid kun je ook op de ‘natuurlijke’ momenten in het jaar ‘voorbij komen’, zoals de zomervakantie of de kerst. Dan ben je niet die kadersteller of wetgever. Er zijn natuurlijk ook regels voor veilig omgaan met informatie en over wat je wel en niet mag doen op je werkplek. Maar voor regels heeft men over het algemeen een behoorlijk natuurlijke allergie. Het is de kunst om daarover op een goede manier te communiceren. Mensen kijken uit naar hun vakantie. Dus als je een bericht afstemt op dat vooruitzicht, komt je boodschap heel anders over. Ga uit van een positieve beleving. Met de zomervakantie voor de deur, heb ik een artikel op het rijksportaal geplaatst met daarnaast een afbeelding met ‘fijne vakantie gewenst’ (PDF – 221 Kb). Een boodschap verbonden aan de komende vakantie. Dan open je het artikel als volgt: ‘Je manager verwacht niet dat je ook tijdens je vakantie bereikbaar bent. Dus is het niet nodig, laat je mobiele apparaten thuis. Dat is het meest veilig. Maar wil je ze dan toch meenemen, let dan daar en daar op’. Dat is heel goed ontvangen. Dus dat werkt wel.

Annet van Veen

Adviseur, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Meer tips van Annet

Onderzoek

Voor de Alert Onlinecampagne is onderzoek uitgevoerd naar het bewustzijn van cybergevaren en het onlinegedrag, o.a. onder ambtenaren. Wat blijkt?

Veel ambtenaren, buiten en binnen de Rijksoverheid, weten niet hoe persoonsgegevens bij hen beschermd zijn. En driekwart van hen maakt zich weinig zorgen over hun digitale veiligheid.

Bron: Bewustzijnsonderzoek 2017 – PDF 2,3 Mb

Hoe zijn de persoonsgegevens beschermd? 41% weet niet hoe dit geregeld is / niet van toepassing bij ons
Zorgen over digitale veiligheid op werk? 73% (zeer) weinig zorgen

Conclusie

Veel collega’s weten niet hoe persoonsgegevens op het werk zijn beschermd. Het kan zijn dat hun rol daarin dan ook niet helder is. Kijk dus, op functieniveau, in jouw organisatie welke informatie voor wie nodig is. De meesten maken zich ook geen zorgen over digitale veiligheid. Dat kan terecht zijn – het is goed geregeld – maar dat hoeft niet. Check dit. Maak informatieveiligheid persoonlijk en breng het zo dichtbij.

Meer tips over informatieveiligheid