Het maatschappelijk belang van informatie wordt steeds groter, met name omdat organisaties steeds afhankelijker worden van informatietechnologie. Het beveiligen van informatie is door de explosieve groei van gegevensuitwisseling via internet en door het gebruik van mobiele apparaten is in een stroomversnelling geraakt. Denk aan Het Nieuwe Werken, het gebruik van portalen, bestanden in de cloud en social media. Digitaal is het nieuwe normaal. Onvoldoende aandacht voor informatiebeveiliging kan leiden tot verlies of corruptie van gegevens, kosten, reputatieschade en gevolgen voor de bedrijfscontinuïteit. Door de wijziging van de Wet bescherming persoonsgegevens (Wbp) per 1 januari 2016 is er binnen woningcorporaties steeds meer aandacht voor het thema informatiebeveiliging.

Beleid

Het is belangrijk om als organisatie informatiebeveiligingsbeleid op te stellen in lijn met bestaande NEN-normeringen over informatiebeveiliging. Voor woningcorporaties is dit de NEN-norm 27001/27002, die is uitgewerkt in de Baseline Informatiebeveiliging Corporaties. In het beleid behoren zaken als beleidsprincipes, het beleidsproces en de organisatie van informatiebeveiliging uitgewerkt te worden.

Maatregelen

Naast het implementeren van beleid is het van belang om actief aan de slag te gaan met de uitvoering van informatiebeveiliging door het nemen van maatregelen die de informatiebeveiliging vergroten. Voor het opstellen van maatregelen zal er nagedacht moeten worden over de risico’s. Wat je als organisatie acceptabel vindt of niet is afhankelijk van de aanwezige risico en de risk appetite die je als corporatie hebt.

Vaak worden technische ICT-oplossingen ingezet om de informatie te beveiligen. Deze zijn noodzakelijk, maar vormen slechts een vangnet. Onderzoeken tonen aan dat het grootste gevaar vaak van binnen de organisatie komt: de mens. Het onzorgvuldig omgaan met informatie is een van de meest voorkomende veiligheidsissues. Bewustzijn en gedrag dus! Informatiebeveiliging is daardoor veel meer een organisatievraagstuk dan een technisch ICT-probleem. Voor de medewerkers van organisaties is het daarom essentieel dat zij zich bewust zijn van de mogelijke risico’s op het gebied van informatiebeveiliging.

Bewustzijnscampagne

Om dit bewustzijn ten aanzien van informatiebeveiliging te creëren bij medewerkers kan een organisatie een bewustzijnscampagne starten. Informatiebeveiligingsbewustzijn creëer je niet door het onderwerp informatiebeveiliging eenmalig onder de aandacht te brengen. Het is daarom aan te bevelen om de campagne over bijvoorbeeld één tot twee jaar te organiseren, door iedere twee maanden een activiteit te plannen met een bepaald thema. Maar waar moet je dan aan denken?

Er zijn vele thema’s die onderwerp kunnen zijn van de campagne; je kunt denken aan: 1integriteitsprotocol en geheimhoudingsplicht, 2waar moet ik bij informatiebeveiliging aan denken, 3wachtwoordgebruik en hackers, 4clean desk en clear screen beleid, 5toegangsbeveiliging, 6hergebruik van apparaten, 7gebruik van USB, 8gebruik van Trello, Dropbox, Wetransfer en Yammer, 9het gebruik van persoonlijke devices, 10malware, 11melden van incidenten, 12calamiteitenplan, 13Wbp, 14datalekken, etc.

Voorbeelden acties

Hierna volgen voor enkele thema’s concrete acties die onderdeel van de campagne kunnen worden:

  • Het organiseren van een themalunch met daarin een quiz over informatiebeveiliging. Hierin kunnen vragen/stellingen komen als: ‘Mag je een kopie opslaan van een identiteitsbewijs?’, ‘Informatiebeveiliging is de verantwoordelijkheid van de ICT afdeling’ en ‘Corporaties mogen zelf bepalen hoelang zij persoonsgegevens bewaren’.
  • Een informatief artikel op het intranet over het gebruik van bijvoorbeeld Trello, Dropbox, Wetransfer en Yammer en mogelijke alternatieven.
  • Het versturen van een phishing mail naar medewerkers en vervolgens het presenteren van de resultaten hiervan en informeren over hoe medewerkers een phishing mail kunnen herkennen.
  • Door middel van een filmpje uitleg geven over een (mogelijk) datalek en de dan te volgen procedure.
  • Een mystery guest uitnodigen om te proberen toegang te krijgen tot beveiligde zones in kantoren en gevoelige informatie die daar aanwezig is (bijvoorbeeld informatie op bureaus, uit openstaande kasten en vanaf niet vergrendelde computers). Vervolgens is het van belang om de bevindingen van de mystery guest terug te koppelen naar de organisatie.
  • Een filmpje delen met collega’s over het gebruik van wachtwoorden en het (niet) opslaan van wachtwoorden.

Je kan deze acties richten op de do’s en don’ts ten aanzien van de thema’s, bijvoorbeeld in de vorm van regels. Dat levert een vorm van bewustzijn op. De campagne is echter nog effectiever als deze ook gericht is op het waarom. Het is van belang om bij medewerkers tussen de oren te krijgen waarom informatiebeveiliging belangrijk is (bijvoorbeeld: je bezit waardevolle informatie van huurders die je graag wilt beschermen). Dat zorgt ervoor dat mensen bereid zijn om zich aan regels te houden en juist te handelen als ergens nog geen regels voor zijn. Je kunt ook niet alles dicht regelen…

Meer weten?

Wilt u meer weten over informatiebeveiliging? Neem dan gerust contact met ons op. Als onafhankelijk adviseur kunnen wij uw organisatie hierbij helpen.