Bewustwording
Beleid, procedures, audits en regelgeving zijn niet genoeg om de informatieveiligheid op het gewenste niveau te brengen en te houden. De mens is de cruciale factor: het menselijk handelen is de essentiële schakel in de werkprocessen waarin privacy en informatieveiligheid in het geding kunnen komen.
Bewustwording en training is nodig in alle lagen van de organisatie: voor medewerkers, management en bestuur. Het is van groot belang dat zij zich bewust zijn van de risico’s die zijzelf, hun organisatie, en inwoners lopen en wat zij kunnen doen om deze zo klein mogelijk te maken. BMC helpt uw medewerkers, management en bestuur zich bewust worden te van deze risico’s.
Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.
Op deze pagina:
Onze dienstverlening op het gebied van bewustwording informatiebeveiliging
Het gedragsveranderingsmodel van Marcel Balm: willen, kennen en kunnen
Praktijkcases en oplossingen
Adviseur bewustwording informatiebeveiliging
Actueel
Toon allesOnze dienstverlening op het gebied van bewustwording
Onze adviseurs hebben veel ervaring met het opstellen van handreikingen en gedragsregels voor het veilig omgaan met informatie. Daarvoor gebruiken we een modelhandreiking, waarin voor medewerkers heel concreet is beschreven wat veilig is. Met deze modelhandreiking worden alle maatregelen over het gedrag van medewerkers afgedekt, die in de BIO, NEN7510 en ISO27001 zijn opgenomen.
Een uitdagend bewustwordingsprogramma
Ook zijn onze adviseurs volledig thuis in de publieke sector. Zij weten de verbinding te leggen tussen informatieveiligheid en privacy en allerlei andere vakgebieden, zoals ICT, het sociaal domein of HRM. Ze staan naast de medewerkers vanuit hun ervaring met het dagelijks werk binnen de gemeente. Altijd pragmatisch en resultaatgericht. BMC helpt u ervoor te zorgen dat medewerkers, management en bestuur zich bewust worden van deze risico’s, door middel van een planmatige aanpak en praktische tips. Wij bieden uw organisatie een veelzijdig, uitdagend bewustwordings- en opleidingsprogramma omtrent informatieveiligheid en privacy. Hierbij bieden we de juiste ondersteuning om bewustwording binnen uw organisatie te laten groeien en structureel te integreren in uw organisatiecultuur
Herhaling is de sleutel
Voor een adequate beveiliging heeft elke organisatie een continue aanpak van bewustwording nodig. Een bewustwordingsprogramma dat zich ieder jaar herhaalt, toegespitst op thema’s en doelgroepen die op dat moment urgent of relevant zijn. Dit is overigens ook een verplichting uit beveiligingsnormen, zoals de Baseline Informatieveiligheid Overheid (BIO), NEN7510 en ISO27001. Gedragsverandering vergt tijd. Door het inzetten van een bewustwordingsprogramma dat zich jaarlijks herhaalt, wordt het kennis- en bewustwordingsniveau van de medewerkers op peil gehouden en biedt het ook de mogelijkheid om het niveau te laten stijgen.
Het gedragsveranderingsmodel van Marcel Balm: willen, kennen en kunnen
Het doel van bewustwording is het veranderen van ongewenst, onveilig gedrag naar gewenst veilig gedrag. Ook moet dit gedrag bestendigd worden. Veel bewustwordingscampagnes beperken hierbij zich tot het zenden van kennis, terwijl mensen door meerdere factoren dan alleen kennis worden gedreven. Het weten wat je moet doen staat los van het daadwerkelijke gedrag van de medewerkers. Bewustwording en kennis van risico’s is dus niet genoeg. Daarom hanteren we een variant van het gedragsveranderingsmodel van Marcel Balm. Hierbij besteden we aandacht aan de volgende aspecten om daadwerkelijke gedragsverandering te bereiken:
Willen: de motivatie om veilig om te gaan met informatie
Centraal hierin staat het “Waarom”. Zien medewerkers het belang in van de organisatie en hun eigen rol hierin? Daarin sluiten we aan bij de intrinsieke motivatie van uw collega’s door het belichten van de huidige situatie en de mogelijke gevolgen voor inwoners, cliënten, leerlingen, de organisatie en haar medewerkers.
Kennen/begrijpen: weten wat er verwacht wordt
Om veilig om te kunnen gaan met informatie moeten medewerkers weten wat veilig gedrag is en wat de organisatie van hen verlangt. Handreikingen of gedragsregels helpen hierbij, maar zijn alleen effectief als belangrijke punten daaruit terug komen in herhaalde communicatie.
Kunnen: in staat zijn om veilig met informatie om te gaan
Het is hier van belang om goed te kunnen handelen bij eventuele hindernissen en dilemma’s. Ook is het belangrijk om (veilige) hulpmiddelen ter beschikking te stellen, zoals beveiligde e-mail of versleutelde USB-sticks.
Doen: de inbedding in de organisatie
Hierbij zijn een aantal zaken van belang: commitment en voorbeeldgedrag van leidinggevenden, bespreken van informatieveiligheid in werkoverleggen en informele en formele gesprekken.
Blijven doen: iedereen binnen de organisatie scherp houden
Om te zorgen dat we het goed en steeds beter doen is de uitdaging om iedereen scherp te houden. Dat kan door terugkoppeling te geven over inbreuken/datalekken in de eigen of in andere gemeenten en door het delen van observaties en indringpogingen. Denk hierbij aan mystery guests, phishing via e-mail of telefonisch, enquêtes over kennis en gedrag of door kwetsbaarheidsanalyses en penetratietests.
Praktijkcases en oplossingen
Toon allesAdviseur bewustwording
Meer weten over bewustwording informatiebeveiliging, onze bewustwordingscampagnes en trainingen? Neem dan contact op met één van onderstaande adviseurs:
Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Lisanne Knol, MA CISM
senior adviseur informatiebeveiliging
"Als senior adviseur zet ik mij in om mijn opdrachtgevers in te laten zien dat informatiebeveiliging geen belemmering hoeft te zijn in de organisatie, maar juist een aanvulling en een logische belangrijke schakel in het geheel, om de organisatie optimaal te laten fungeren als een betrouwbare dienstverlener."
Meer informatie over privacy
Deze expertise valt onder privacy binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein: