Communi­ceer wat wel mag

We proberen in onze awareness campagne voor gedragsverandering rondom informatieveiligheid niet alleen bezig te zijn met inhoud. Niet alleen mensen bijpraten over phishingmail, over hoe je dat kunt herkennen. Wat we ook willen doen, is dat we het bijna vanuit een reclamebenadering proberen aan te pakken. We willen het positief brengen: wat er allemaal kan als je veilig werkt.

Rotterdam is bezig met een speciaal traject “100 Resilient Cities”. Daar doen 100 steden over de hele wereld aan mee. Het doel is om meer veerkrachtig en flexibel te zijn. We willen proberen Rotterdammers aan te moedigen om diezelfde karaktereigenschappen uit te dragen. Dat als er iets gebeurt, je zo’n praktische instelling hebt dat je weer opkrabbelt en verder gaat. Dat je ervan leert, zodat je het een volgende keer kunt vermijden. Rotterdam is daar een mooie stad voor, gelet op wat er gebeurd is in de Tweede Wereldoorlog. Toen zijn heel veel dingen plat gegooid. Maar daar hebben we ook weer iets heel moois van gemaakt, met de prachtige skyline die we nu hebben. Dus je kunt van iets negatiefs wat op je afkomt ook iets positiefs maken, als je daar veerkrachtig en flexibel mee omgaat. Dat willen we ook doen met cyberveiligheid. In eerste instantie door mensen gewoon bewust te maken: waar moet je op letten, waar moet je aan denken, welke gevaren zijn er? En de creatieve groep mensen aanspreken binnen de gemeente. Een voorbeeld uit Amerika: in een buurt met veel criminaliteit bevonden zich belangrijke zaken. Om de criminaliteit te verminderen heeft men een donutstand geplaatst op die plek met belangrijke zaken. Doordat er een donutstand was, kwamen daar vaak politieagenten wat halen voor de lunch. En was er dus meer politietoezicht. Op een hele creatieve manier kan je zo toch aan meer veiligheid werken.

Een belangrijk aspect van informatieveiligheid is het creëren van iBewustzijn. Voor iBewustzijn vind ik drie punten belangrijk: kennis, houding en gedrag. Medewerkers die kennis hebben van het beleid en weten welke risico’s de organisatie loopt op het gebied van informatieveiligheid zullen beter opletten. Een positieve houding aannemen ten opzichte van informatieveiligheid is ook belangrijk. Als medewerkers begrijpen waarom informatieveiligheid belangrijk is en hoe zij hieraan kunnen bijdragen, zijn ze eerder geneigd dit te doen. En ze moeten het gewenste gedrag vertonen in overeenstemming met ons beleid.

Lees meer op Platform Overheid.

Informatiebeveiliging gaat eigenlijk altijd over wat je niet mag. Maar heel weinig over wat je wel mag. Dat betekent dat we eigenlijk altijd aan het regelen zijn dat we iets niét kunnen. Iets niét verkeerd mag gaan. Maar we vergeten vaak dat mensen op de werkvloer gewoon hun werk moeten kunnen doen. Dus vind ik dat informatiebeveiliging een zaak van faciliteren moet zijn. Zorg er voor dat mensen hun werk veilig kunnen doen. Als je bijvoorbeeld wilt voorkomen dat er een virus in je organisatie komt dan kan je spamfilters installeren, een antivirus oplossing er tegenaan gooien. Je kunt allerlei dingen voorkomen: gebruikers kunnen geen programma’s meer opstarten die ze niet mogen opstarten, ze kunnen geen code uitvoeren, ze kunnen geen intelligente webformulieren meer invullen. Dat kunnen ze allemaal niet. Maar uiteindelijk moeten ze wel hun werk doen. Dus je kunt het wel allemaal dichtzetten, maar daarmee gaan mensen op zoek naar manieren om hun werk toch te kunnen doen. Als je teveel verbiedt gaan mensen een andere weg zoeken, want ze willen hun werk uitvoeren. Dat is misschien helemaal geen veilige weg. Dus je moet ze juist faciliteren dat ze hun werk veilig kunnen doen. Je moet de beveiliging inrichten vanuit de taken die mensen moeten uitvoeren. Soms blijft er dan een risico over, maar dan moet je mensen bewust maken van dat risico en dat ze blijven nadenken bij wat ze doen.

Wat ik heel erg belangrijk vind, en waar ik mijn best voor doe, is informatiebeveiliging te koppelen aan innovatie. Om te laten zien dat we er echt zijn om dingen mogelijk te maken. Dus vanuit een positieve benadering.

Soms hangt er rond het onderwerp informatieveiligheid een beetje een negatieve sfeer. Zo van: het moet wel maar iets anders is belangrijker. Of: het is een moeilijk en lastig onderwerp, en het leidt tot het verbieden van zaken die we nu nog wél mogen. Maar je kunt het ook omdraaien, door het positief te framen. We proberen niet te roepen wat allemaal niet mag. We reiken juist handige dingen en tips aan die je kan gebruiken. Zo hebben we een lijst opgesteld met 10 gouden tips voor medewerkers. En die tips kun je ook thuis gebruiken!