Breng incidenten telkens opnieuw onder de aandacht

Een aantal incidenten rond informatieveiligheid is zeer uitgebreid in het nieuws geweest. Denk bijvoorbeeld aan de cyberhack bij de gemeente Hof van Twente of de ransomware-aanval op de Universiteit van Maastricht. Omdat iedereen deze voorbeelden kent, is het goed ze te blijven noemen in je communicatie binnen de organisatie. Wat daar is gebeurd, kan overal gebeuren. Vind je nieuwe voorbeelden die minder uitgebreid in de pers komen? Deel die dan ook in je organisatie. Je boodschap blijven herhalen hoort erbij als je je collega’s alert wilt houden.

Informatiebeveiliging: de 4 urgente dilemma’s voor gemeenten

Burgers en medewerkers willen graag gebruikmaken van nieuwe technische mogelijkheden. Tegelijkertijd wordt de informatiebeveiliging steeds complexer, zowel het technische als het organisatorische deel. Hoe breng je dit alles in balans? En welke dilemma’s, opgaven en keuzes kom je daarbij tegen?

Lees meer

Laat je collega’s de risico’s ervaren

Iedere scriptschrijver kent de regel: ‘Show, don’t tell’. Door iets te tonen in plaats van te vertellen, raakt de kijker nauwer bij het verhaal betrokken. Deze techniek kun je ook gebruiken om je collega’s meer bij informatieveiligheid te betrekken. Laat ze ervaren hoe gemakkelijk en snel kwaadwillenden dingen kunnen uitspoken die een enorme impact hebben. Enkele voorbeelden van incidenten die je kunt creëren:

• Laat een mystery guest door je gebouw lopen
  Kijk bijvoorbeeld in hoeverre hij door de fysieke beveiliging kan breken. Of op een andere manier informatie kan buit maken.

• Verstuur een phishing e-mail in je organisatie
  Monitor hoe vaak hierop wordt ingegaan.

• Huur een ethische hacker in
  Laat je technische beveiliging eens serieus testen.

Ludiek, persoonlijk en terugkoppeling

Maak het ludiek, zodat er onderling veel over wordt gesproken. En maak het persoonlijk, zodat iedereen voelt wat de risico’s zijn, welke impact die hebben en wat men kan bijdragen om die risico’s te beheersen. Zorg dat de acties en aanbevelingen die uit je gecreëerde incidenten voortvloeien flink in de schijnwerpers staan. Ga daarbij in gesprek met medewerkers, maar ook met het MT en B&W over welke rol zij hebben in de informatiebeveiliging van de gemeente.

Activeer de sleutelfiguren in je organisatie

Als CISO geef je gevraagd en ongevraagd advies. Je bent dus vrij om overal iets van te vinden en dat te laten weten. Over het algemeen ben je echter géén budgethouder voor de wijzigingen die volgens jou nodig zijn. Je hebt dus anderen nodig om jouw adviezen op te volgen en uit te voeren. Focus je hiervoor op de sleutelfiguren in je organisatie, degenen die nodig zijn om de noodzakelijke veranderingen door te voeren en veiligheidsincidenten op te lossen. Denk daarbij aan:

• Eindverantwoordelijken voor (een cluster van) processen
  Meestal zijn dit teamleiders of afdelingshoofden. Adviseer deze eindverantwoordelijken over de juiste mate van beveiliging van de informatie die binnen hun processen wordt gebruikt. De eindverantwoordelijken hebben als taak te zorgen voor budget, kennis, middelen en capaciteit om deze adviezen te implementeren.

• Inhoudsdeskundigen van (een cluster van) processen
  Meestal zijn dit key-users of uitvoerders van de processen. Als CISO heb je hun proceskennis nodig om samen te beoordelen waar de grootste risico’s zitten en welke impact deze risico’s met zich meebrengen. Verder is het belangrijk om samen met hen de balans tussen beveiliging en gebruiksgemak te bewaken.

• Functioneel beheerders (van kernapplicaties)
  Zij zijn verantwoordelijk voor de inrichting van processen in een applicatie en vaak ook voor het toekennen en wijzigen van autorisaties, rechten en rollen. Met deze groep heb je als CISO regelmatig contact, bijvoorbeeld om autorisatiematrices op te stellen. Functioneel beheerders kunnen je ook helpen om inzicht te krijgen welke informatie op welke manier wordt uitgewisseld bij koppelingen tussen applicaties. Daarnaast zijn ze jouw ‘voelsprieten’ in de organisatie.

Functioneel beheerder: van systeemtechneut naar spin in het dataweb

Momenteel zien we dat het werk van functioneel beheerders flink aan het verschuiven is. Welke trends daarvoor verantwoordelijk zijn, hoe het werk van functioneel beheerders precies verandert en welke stappen je als gemeente kunt nemen om het functioneel beheer met de veranderingen te laten meegroeien, lees je in dit artikel.

Lees meer

• Rollen die van belang zijn voor de fysieke veiligheid (bodes, gebouwenbeheer)
  De fysieke binnenruimte goed inrichten is ook een belangrijk onderdeel van informatiebeveiliging. Denk aan diverse zones met verschillende toegangsrechten voor verschillende groepen medewerkers en bezoekers. Maar ook aan kluisjes, baliebeveiliging, bezoekers logboeken, etc.

• De Change Advisory Board (CAB)
  Bij de meeste organisaties beoordeelt de CAB wijzigingsverzoeken in het applicatielandschap. Als CISO wil je dit ook in beeld hebben. Dus aanhaken bij dit gezelschap levert je veel informatie op. En het geeft je de kans vooraf de juiste vragen te stellen en adviezen te geven.

• Gemeentesecretaris/directeur en portefeuillehouder informatieveiligheid B&W (De escalatielijn)
  De gemeentesecretaris is verantwoordelijk voor de integrale veiligheid van de bedrijfsvoering en dienstverlening van de organisatie. Die rol is dus daarmee je escalatielijn. Voor het bestuur is dit de portefeuillehouder in het college, zeker als er imago-schade kan ontstaan. Zorg ervoor dat jouw adviezen snel op dat niveau kunnen doordringen.

Leg de afspraken vast

Leg de afstemmingsmechanismen met deze sleutelfiguren in de organisatie vast in een document. En laat dit document vaststellen door B&W. Dit helpt om iedereen in de organisatie zich bewust te maken van zijn verantwoordelijkheid om de informatiebeveiliging op een hoger niveau te brengen.

Laat jezelf inspireren

Je bent de enige CISO in je organisatie. Dat is soms misschien wat eenzaam. We inspireren je graag met mooie praktijkvoorbeelden en je te helpen het in de praktijk toe te passen.