Gegevensveiligheid; hoe zorg je voor een stevige basis in de organisatie?

Het was een verdiepende discussie op 30 oktober 2019 tijdens de Round Table van Switch en Heliview. Het onderwerp was: hoe zorg je voor een stevige basis in je organisatie rond de veiligheid van gegevens? Beslissers rond security in de zorg voerden gedurende vier uur voor een mooie inhoudelijke discussie die inspirerend was en smaakte naar meer.

Een incident binnen de organisatie of bijvoorbeeld de gewenste NEN 7510-certificering zijn vaak aanleidingen om gegevensbeveiliging organisatiebreed beter op de kaart te zetten. Waarbij je overigens beter kunt spreken over gegevensveiligheid, omdat medewerkers het woord ‘beveiliging’ als een taak van IT opvatten en ‘veiligheid’ eerder als een taak van iedereen. Gegevensveiligheid gaat voornamelijk over gedrag.

Hoe pak je het aan, om van losse maatregelen en simpele gedragsregels te komen tot een stevige basis in de gegevensbeveiliging?

Het is belangrijk om te kijken naar de normen en waarden van de organisatie en om daarbij aan te sluiten. Ook het meenemen van de wet- en regelgeving is essentieel. De mate van IT-volwassenheid binnen de organisatie weegt vanzelfsprekend ook mee. Uiteindelijk moet je komen tot beleid en het formaliseren hiervan. Gelukkig zien steeds meer bestuurders het belang hiervan in.

Het volgende voorbeeld is wellicht inspirerend: een deelnemer vertelt hoe er drie workshops met medewerkers binnen de organisatie gehouden zijn waarin stellingen zijn besproken. Dit ging van het gebruik van de eigen telefoon bij inloggen tot het aantal cijfers dat een pincode moet hebben. Er kwamen vijftig punten uit die onder te verdelen waren in techniek, gedrag en processen.

Uiteindelijk moet je komen tot een informatiebeveiligingsplan waarin ook de risico’s en wet- en regelgeving zijn meegenomen. Ook kansen en gevolgen komen hierin aan bod, alsmede de prioritering en de menscapaciteit. Een tijdlijn zorgt ervoor dat het plan tot leven kan komen. Maar hoe breng je dit alles vervolgens de organisatie in? Een paar tips:

  • Stel gedragsregels op en herhaal deze regelmatig, het liefst een beetje ludiek. Voed ook de managers van de afdelingen met filmpjes en quizjes die hij/zij kan delen met  de medewerkers.
  • Betrek alles en iedereen: neem veiligheid bijvoorbeeld op in fysieke veiligheidscontroles, introductieprogramma’s, opleidingen, interne audits en crisisplannen.
  • Controleer regelmatig op naleving van de gedragsregels.

Hieronder gaan we nader op deze punten in.

Gedragsregels opstellen en delen met de organisatie

Wanneer er beleid is, gaat het vervolgens om bewustwording in de hele organisatie. Het blijkt dat je daar niet vroeg genoeg mee kunt beginnen. Er is daarom een goed communicatieplan nodig. Het kan beslist geen kwaad om hier een communicatieprofessional of tekstschrijver bij te betrekken om de boodschap aantrekkelijk te verwoorden voor de verschillende doelgroepen. En om medewerkers die vallen onder de doelgroep te laten oordelen of ze zich herkennen in de toon en manier van aanspreken. Wat betreft het soort communicatiemiddelen: dat is afhankelijk van de organisatie en de verschillende doelgroepen. De een gebruikt posters, de ander teksten, een derde korte video’s of een waaier met gedragsregels. Een vlog is natuurlijk helemaal aantrekkelijk. Vrijwel altijd is er een mix nodig van communicatiemiddelen. Kosten spelen hier natuurlijk ook een rol bij.

Benoem managers als gangmakers veiligheid

Betrek alles en iedereen

Uiteindelijk is het de verantwoordelijkheid van de werkgever dat de gegevensveiligheid goed geregeld is. Neem die daarom op in fysieke veiligheidscontroles, introductieprogramma’s, opleidingen, interne audits en crisisplannen. De verhalen van deelnemers wijzen erop dat managers en leidinggevenden zo dicht mogelijk bij de werkvloer betrokken moeten worden bij het creëren van bewustwording. ‘Benoem managers als gangmakers veiligheid.’ Er zijn ambassadeurs nodig, waarbij bestuurders een essentiële rol kunnen vervullen. Zorg voor bijvoorbeeld een commissie informatieveiligheid met iemand (of een mandaat) uit het bestuur en mensen uit de hele organisatie. Iedereen en elke afdeling moet voelen dat het belangrijk is om met gegevensveiligheid aan de slag te gaan. Zoals de HR-afdeling, die bij het uitreiken van devices aan nieuwe medewerkers ook informatie kan delen over de manier van omgaan met veiligheid in de organisatie. Maar ook de beveiligers die hun avondronde doen rond sloten en brand kunnen veiligheid meenemen bij hun rondje. Het advies is: haak aan bij processen en rollen die er al zijn.

Educatie en persoonlijk benaderen

Scholing is hierbij natuurlijk nodig. Tijdens introductiedagen maar ook op regelmatige basis tussendoor. E-learning wordt hiervoor steeds meer gebruikt. Herhalen, herhalen, herhalen: dit is de sleutel tot het veranderen van gedrag.

Mensen worden ook bewuster wanneer ze persoonlijk geraakt worden. ‘Hoe zou je het zelf vinden als dit met jouw gegevens zou gebeuren?’ is een krachtige vraag. De impact op privacy is voor mensen soms lastig voor te stellen: het gaat niet om een fysieke bedreiging, zoals op een petrochemisch terrein. Ze voelen het wél wanneer er bijvoorbeeld een foto van hun niet-afgesloten computer op intranet staat. Vertellen waarom iets moet gebeuren is ook belangrijk. Alleen al het noemen van de AVG blijkt soms al voldoende. Een deelnemer vertelt hoe hij een medewerker liet zien hoe hij gemakkelijk een ontslagbrief op zijn computer zou kunnen schrijven toen die niet was afgesloten. Een krachtig leermoment.

Herhalen is cruciaal

Draag bij met techniek

Adoptie van veiligheidsregels gaat gemakkelijker als het werk er makkelijker en sneller van wordt of als medewerkers minder administratieve lasten krijgen. Als inloggen binnen 30 milliseconden gebeurd is, is het dichtklappen van je laptop veel minder een probleem dan als je vijf minuten moet wachten. Gebruikersvriendelijkheid by design is dus zeker een onderdeel van gegevensveiligheid.

Met mobile application management kun je ook gedeelten van privé devices beheren. Sommige mensen blijken het moeilijk te vinden om hun privételefoon voor werk in te zetten, maar juist die gehechtheid aan het apparaat maakt het gebruik aantrekkelijk bij bijvoorbeeld twee-factorauthenticatie: een token vergeten ze, hun telefoon ligt nooit verder dan twee meter weg. ‘Ze zijn er zuiniger op dan op hun partner.’

Phishing mails

Deelnemers zijn over het algemeen enthousiast over phishing testen, al hangt het ervan af hoe je die insteekt. Teveel spelen op emoties of het winnen van een prijs kan zorgen voor boosheid. Je moet dus zorgen voor een balans tussen irritatie en bewustwording. Stuur ook niet de hele organisatie in een keer de mail, want dan gaat het als een lopend vuurtje rond en werkt het niet. Medewerkers moeten ook leren waar ze phishing mails aan kunnen herkennen. De schrijfstijl en het mailadres zijn bijvoorbeeld aanwijzingen. Wanneer mensen wel klikken op een link kun je hun manager hen daarop laten aanspreken en bijvoorbeeld een verplichte e-learning aanbieden.

Controle op de naleving

Blijf controleren, offline en online, ook ga dan ga je trends zien. Offline controleren kan heel eenvoudig zijn: tweejaarlijks een rondje over de afdelingen lopen, compleet met beloningskaartjes óf kaartjes met een duim omlaag. In het laatste geval kun je de manager van de betreffende afdeling inlichten, die daarop maatregelen kan nemen. Het is belangrijk om de naleving consequent en systematisch aan te pakken. Eerst tolerant en dan steeds wat strenger: van bewustwording naar zero tolerance. Op een gegeven moment is er een punt bereikt van: dat had je kunnen weten. Thuis doe je toch ook de deur op slot?

Terugkijken op de bijeenkomst is er een terugkerend patroon te zien: van bewustwording naar communicatie en dan naar naleving. En dan weer opnieuw. Met het besef dat gedragsverandering nu eenmaal tijd kost, vinden de deelnemers na deze sessie dat ze al goed op weg zijn. Ook hebben ze weer nieuwe inspiratie gekregen om de veiligheid in hun eigen organisatie nog beter te waarborgen.