Tip 1: Houd de drempel om te melden zo laag mogelijk

Annemarie: “Mensen moeten vooral niet bang zijn dat hun handelen wordt beoordeeld in termen van goed en fout. Iedereen kan struikelen. Vanuit het oogpunt van informatieveiligheid is het belangrijk dat je niet zwijgt als je iets ‘raars’ ziet of per ongeluk hebt gedaan. En dat je dit durft te melden bij de ICT-servicedesk, de functionaris gegevensbescherming, de CISO of je leidinggevende. Ik probeer daarom alle meldingen vrolijk en open te benaderen. Zodat de drempel om te melden zo laag mogelijk is. Samen kijken we dan wat er aan de hand is. En lossen we het op als er een probleem is.”

Zichtbaar in de organisatie

Annemarie maakt ook gebruik van allerlei interne bijeenkomsten om informatieveiligheid onder de aandacht te houden en zelf benaderbaar te zijn. Annemarie: “De WDW-Academie is een platform waar collega’s leren van elkaar. Onder andere via bijpraatsessies tijdens de lunch. Zelf houd ik daar soms een praatje over informatieveiligheid, maar ik leer er vooral waar andere mensen in de organisatie mee bezig zijn. Daarnaast biedt een praatje van een collega vaak ook een kans direct op informatieveiligheidsaspecten van dat onderwerp in te springen.”

Tip 2: Help managers het belang van informatieveiligheid uit te dragen

Iedere manager zal zeggen dat informatieveiligheid belangrijk is. Maar daar praktisch handen en voeten aan geven, is nog best lastig. Het is in veruit de meeste gevallen immers niet hun vakgebied. Daar kunnen ze dus wel wat hulp bij gebruiken. Annemarie: “Dat gaat om bijpraten, inzicht geven in waarmee we bezig zijn en ze te helpen het belang van informatieveiligheid naar hun medewerkers uit te dragen. Ik merk daarbij zelf dat hoe vaker je leidinggevenden over dit onderwerp spreekt, hoe meer ze het oppakken en zelf met vragen komen.”

Praktische zaken

Verder kun je managers helpen met praktische zaken rond informatieveiligheid. Annemarie: “Dat begint uiteraard met duidelijk maken aan welke richtlijnen hun afdelingen zich moeten houden. En welke gegevens ze moeten aanleveren voor audits. Maar het gaat ook om basale dingen als het vergrendelen van je pc als je even van je plaats gaat. Daarin moeten ze op de eerste plaats zelf consequent het goede voorbeeld geven. Een ludiek middel om medewerkers hierop te attenderen zijn visitekaartjes met de mededeling ‘oeps, je hebt je scherm niet vergrendeld’. Die kun je achterlaten op een toetsenbord van een medewerker die die vergrendeling vergeten is. Zo houd je informatieveiligheid op een leuke manier onder de aandacht.”

5 ‘nepincidenten’ waarmee je meer aandacht voor informatieveiligheid creëert

Als CISO is het lasing om bij iedereen in je organisatie informatieveiligheid onder de aandacht te houden. Het is nu eenmaal een onderwerp dat mensen eerder als ‘een moetje’ dan als ‘leuk’ en noodzakelijk beschouwen. Om deze verantwoordelijkheid van de CISO wat gemakkelijker te maken, helpt het om zo nu en dan een ludieke actie op touw te zetten. We delen een paar toepasbare ideeën uit de praktijk.

Lees meer

Tip 3. Neem het belang van digitalisering op in alle beleidsplannen

Helaas denken veel mensen nog altijd vooral aan ICT als het woord ‘digitalisering’ valt. Dit terwijl digitalisering over veel meer gaat. Hoe gebruik je die ontwikkeling om je in- en externe dienstverlening zo optimaal mogelijk te organiseren bijvoorbeeld. Annemarie: “Digitalisering moet daarom niet alleen onderwerp zijn in je informatiebeleidsplan, maar ook in bijvoorbeeld je organisatievisie of bedrijfsplan. En zeker ook in het coalitieakkoord. Met een duidelijke visie op digitalisering komt ook informatieveiligheid en privacybescherming vanzelf meer in het vizier. Waarmee vervolgens de middelen, capaciteit en bewustwording groeien.”

Tip 4. Regel voldoende begeleiding bij nieuwe tools en acties

Wat geldt voor een lasser en zijn of haar lasapparaat, geldt ook voor een bureaumedewerker en zijn of haar digitale tools: veilig werken kan alleen als je weet hoe je de spullen die je daarbij nodig hebt op de juiste manier gebruikt. Goede uitleg en instructies bij de introductie van nieuwe tools zijn daarom enorm belangrijk. Net als een goed basisniveau aan digitale vaardigheden bij medewerkers. Het zijn aandachtspunten die ook in je introductieprogramma voor nieuwe medewerkers niet mogen ontbreken.”

Begeleiding en gebruiksvriendelijkheid

Annemarie: “Begeleiding is ook belangrijk als je vanuit informatieveiligheid dingen uitvoert die gebruikers merken. Vertel wat je doet, hoe en waarom. En wat ze moeten doen als ze bepaalde meldingen krijgen. Niets zo irritant voor medewerkers als wanneer dingen anders werken dan ze gewend zijn en ze niet weten waarom. Of als bepaalde functionaliteiten ineens zijn verdwenen. Sowieso mag je gebruiksvriendelijkheid nooit uit het oog verliezen. Als medewerkers dingen op het werk niet kunnen die ze thuis wel kunnen, en ze snappen niet waarom dat is, zoeken ze omwegen dat links- of rechtsom toch voor elkaar te krijgen. En die omwegen zijn vaak niet de meest veilige.”

5 principes voor effectief ontwikkelen digitale vaardigheden

Wat zijn digitale vaardigheden? Waarom zijn ze belangrijk? Wanneer gebruik je wat? Hoe doe je dat optimaal en veilig?

Lees meer

Tip 5. Zorg voor echte verandering

Een belangrijke vraag is hoe je in de gaten houdt of al je inspanningen ook effect hebben. Annemarie: “Voor mij is het een goed teken als ik als CISO meer aangesproken wordt over dit onderwerp. Of als de ICT-servicedesk meer meldingen of vragen krijgt die verband houden met informatieveiligheid. Verder gaan we regionaal werken met een ISMS (Information Security Management System) ter ondersteuning van onze PDCA-cyclus (plan, do, check, act) op het gebied van informatieveiligheid. Daarin wil je ook steeds vooruitgang zien.”

Stand van zaken

“Bij de WDW houden we soms ook enquêtes om een beeld te krijgen hoe het met de bewustwording rond informatieveiligheid staat”, vertelt Annemarie. “Met meerkeuzevragen als ‘wat is het veiligste wachtwoord?’, ‘welke van deze schermen is gehackt?’ et cetera. De hoeveelheid goede en foute antwoorden geeft een aardig idee van wat we goed doen en wat beter kan. En het is zowel bij de verspreiding van de enquête als bij de bekendmaking van de uitslag weer een extra momentje voor aandacht voor het onderwerp.”

Informatieveiligheid begint bij de mens

De rode draad door al deze vijf tips is dat informatieveiligheid iets is waar iedereen in een organisatie met elkaar voor moet zorgen. Annemarie: “De ‘harde kant’ van de nulletjes en eentjes kunnen de techneuten regelen. Maar voor het ‘zachtere’ toepassings- en omgangsdeel hebben we elkaar allemaal nodig. Dat maakt ook dat draagvlak voor de maatregelen die je neemt enorm belangrijk is. Misschien nog wel belangrijker dan 100% alles willen afdichten, want dat is praktisch gezien een utopie.”