1 HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlands...
HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt:
-
Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet.
-
Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
-
De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Deze handreiking is geschreven om gemeenten hun informatiebeveiliging naar een hoger plan te tillen door de inzet van bewustwording en de daarbij horende communicatie(middelen). Doelgroep Dit document is van belang voor de medewerkers van de afdelingen communicatie, personeelszaken en ICT-beheer. Relatie met overige producten •
•
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) •
Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten
•
Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten
Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, hoofdstuk 4 en §8.2
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Maatregel 3.1
Benoem verantwoordelijken
Maatregel 6.1.7
Contact met speciale belangengroepen
Maatregel 8.2.1
Directieverantwoordelijkheid
Maatregel 8.2.2
Bewustwording, opleiding en training ten aanzien van informatiebeveiliging
Maatregel 12.6.1
Beheersing van technische kwetsbaarheden
Maatregel 13.1.1
Rapportage van informatiebeveiligingsgebeurtenissen
Maatregel 13.2.1
Verantwoordelijkheden en procedures
Maatregel 14.1.1
Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met bewustwording, opleiding en training ten aanzien van informatiebeveiliging, zie hiervoor hoofdstuk 4 en paragraaf 8.2 in het voorbeeld gemeentelijk informatie beveiligingsbeleid en paragraaf 8.2 van de BIG. Gemeenten dienen continue aandacht te besteden aan kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging om zich hierop professioneel en krachtig neer te zetten. Dit kan worden gestimuleerd door de inzet van specifieke communicatiemiddelen die qua vorm en inhoud maximaal aan deze doelstelling bijdragen. Het is hierbij van belang dat gemeenten de samenwerking blijven zoeken met de Vereniging van Nederlandse Gemeenten (VNG) (op bestuurlijk niveau) en de Informatiebeveiligingsdienst voor gemeenten (IBD) (op tactisch en operationeel niveau) en met overige overheids- en ketenpartners die zich vanuit het onderwerp informatieveiligheid of informatiebeveiliging op de gemeentelijke overheidslaag richten. Naast deze externe gerichtheid, dient het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne ook een interne gerichtheid te adresseren. Dit communicatieplan informatiebeveiliging gemeenten dient de detailuitwerking van de gemeentelijke uitgangspunten met betrekking tot de communicatie over informatiebeveiliging te omvatten. In het kader van een eenduidige boodschap, gerichtheid in de communicatie en om verwarring te voorkomen is het van belang dat de communicatie over informatiebeveiliging binnen de gemeente goed te organiseren en de verantwoordelijkheden op het juiste niveau te beleggen. Dit zodat deze elkaar versterken en niet verzwakken. Beleg de verantwoordelijkheid met betrekking tot het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne bij de afdeling die verantwoordelijk is voor de coördinatie van het algemene gemeentelijk communicatiebeleid en het bewaken van de samenhang en de kwaliteit van verschillende communicatieplannen. De afdeling Personeelszaken is verantwoordelijk voor het functioneren van het personeel, inclusief bewustwording en gedrag.
1.1 Raakvlakken Overige raakvlakken die het communicatieplan informatiebeveiliging en bewustwording met de BIG hebben zijn: •
Voorbeeld Informatiebeveiligingsbeleid van de gemeente
•
Voorbeeld Incident management en Responsbeleid
•
Bedrijfscontinuïteitsplannen (BCP) / Disaster Recovery Plan (DRP)
•
Gedragsregels gebruiker
1.2 Aanwijzing voor gebruik Deze handreiking is geschreven om aandachtspunten met betrekking tot communicatie en bewustwording op het gebied van informatiebeveiliging aan te reiken, zodat invulling gegeven kan 6
worden aan de gemeentelijke informatiebeveiligingsbeleidsregels. Deze handreiking is geen volledige procesbeschrijving en bevat geen compleet uitgewerkt communicatieplan informatiebeveiliging en bewustwordingsprogramma. Echter het bevat wel voldoende informatie en handvatten om goede (beleids)keuzes te maken met betrekking tot het opstellen en uitvoeren hiervan. De gemeentelijke informatiebeveiligingsbeleidsregels met betrekking tot bewustwording en gedrag zijn onder andere:1 •
De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen. De clusterdirectie stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn).
•
Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden.
•
De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording rondom informatiebeveiliging.
•
Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract.
•
In werkoverleggen wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover relevant worden hierover afspraken vastgelegd in planningsgesprekken.
1
Zie ook het ‘Voorbeeld Informatiebeveiligingsbeleid gemeenten’: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/13-0919-voorbeeld-informatiebeveiligingsbeleid-gemeenten-1.0.pdf 7
2
Informatiebeveiligingsbewustzijn
Bewustwording is van essentieel belang wanneer het gaat om informatiebeveiliging. Een gemeente kan nog zo veel technische maatregelen nemen, wanneer medewerkers er niet naar handelen hebben deze maatregelen uiteindelijk aanzienlijk minder effect. De gebruiker ziet niet altijd het belang in van informatiebeveiliging. Zo worden wachtwoorden vergeten of op een Post-it onder het toetsenbord geplakt, computers en/of laptops onbeheerd achtergelaten en bezoekers niet begeleid door het pand. Bewustwording heeft als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico’s die de gemeente loopt en ook van de wijze waarop zij zich hiertegen kunnen beschermen. Om vast te stellen welke bewustwordingsactiviteiten ontplooid dienen te worden bij een gemeente dient het huidige en gewenste kennis- en bewustzijnsniveau bepaald te worden. Het belangrijkste doel is uiteindelijk het veranderen van het gedrag van medewerkers als gevolg van het verhogen van het kennisniveau en de mate van bewustwording. Om dit te verwezenlijken is inzicht in welk gedrag (on)gewenst is en welke kennis noodzakelijk is, onmisbaar. Verandering in houding en gedrag Het bereiken van gedragsverandering bij medewerkers is vaak een lastige aangelegenheid. Uit onderzoek blijkt dat het gedrag niet vanzelf in de gewenste richting verandert als je zorgt voor meer kennis en een positieve houding bij mensen. Om gedrag te veranderen moet je je ook echt op gedrag richten. Dit blijkt onder andere uit de studie ‘Gedragsverandering via campagnes’2. Hierin komt naar voren dat de campagnes van de rijksoverheid succesvol zijn in het bereiken van kennisoverdracht. Veranderingen in houding en gedrag blijken moeilijker te realiseren en voornamelijk de effecten op gedrag zijn in het algemeen beperkt. In het eindrapport worden handvatten gegeven hoe de effectiviteit vergroot kan worden. Bewustwordingsprogramma Het bepalen van het huidige kennis- en bewustzijnsniveau kan op diverse manieren. Onder andere het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten3, leveren inzicht op met betrekking tot informatiebeveiligingsbewustzijn (zie ook paragraaf 3.1 ‘Meten van informatiebeveiligingsbewustzijn’). Inzicht verkrijgen in het huidige kennisniveau en de mate van beveiligingsbewustzijn van gemeentelijke medewerkers is noodzakelijk. Op basis van dit inzicht en de gestelde doelen met betrekking tot het gewenste gedrag, kan een specifieke aanpak voor een bewustwordingsprogramma worden bepaald. Om het informatiebeveiligingsbewustzijn en de kennis op het gebied van informatiebeveiliging te vergroten, om zo de gewenste gedragsverandering te bereiken, is het uitvoeren van een bewustwordingsprogramma noodzakelijk. Het opstellen van een bewustwordingsprogramma bestaat in hoofdlijnen uit de volgende stappen:
2 Literatuuronderzoek ‘Gedragsverandering via campagnes’ (18 mei 2011) in opdracht van Dienst Publiek en Communicatie, Ministerie van Algemene Zaken. Den Haag (http://www.rijksoverheid.nl/onderwerpen/overheidscommunicatie/documenten-enpublicaties/brochures/2011/05/18/gedragsverandering-via-campagnes.html). Het doel van deze studie was om te onderzoeken hoe de effectiviteit van campagnes vergroot kunnen worden door meer gericht te sturen op gedrag. 3 In bijlage 2 van dit document vindt u een voorbeeld enquêteformulier informatiebeveiliging.
8
Figuur 1 Stappenplan opstellen van een bewustwordingsprogramma
•
Stap 1 – Het opstellen van een plan van aanpak (communicatieplan informatiebeveiliging) De eerste stap is het opstellen van een plan van aanpak (communicatieplan informatiebeveiliging). In dit plan wordt onder andere de communicatiedoelstelling, -strategie, -doelgroepen, –middelen en de activiteitenplanning beschreven met betrekking tot het verhogen van het bewustzijn op informatiebeveiligingsvlak. Zie bijlage 1 voor een voorbeeld communicatieplan informatiebeveiliging.
•
Stap 2 - Verzamelen informatie bewustwordingsprogramma De volgende stap is het verzamelen van materiaal die u kunt gebruiken bij het op- en samenstellen van de communicatiemiddelen. Hierbij kan gebruik worden gemaakt van het gemeentelijke informatiebeveiligingsbeleid, de gedragscodes en de personeelshandboeken. Ook uit externe bronnen, zoals publicaties van de IBD4 en de Campagne iBewustzijn Overheid5, kunt u inspiratie halen.
•
Stap 3 - Uitwerken communicatiemiddelen Met behulp van de in de vorige stap verzamelde informatie kunnen de verschillende communicatiemiddelen worden uitgewerkt.
•
Stap 4 - Uitvoeren communicatieplan informatiebeveiliging Gedurende deze stap worden de communicatieactiviteiten die in het communicatieplan informatiebeveiliging zijn beschreven conform planning uitgevoerd. Hou ruimte in de planning met het feit dat er onverwachte gebeurtenissen kunnen plaatsvinden, waarover de gemeente moet worden geïnformeerd.
•
Stap 5 - Evaluatie bewustwordingsprogramma Uiteindelijk dient het bewustwordingsprogramma regelmatig geëvalueerd te worden, om vast te stellen of de beoogde doelen zijn bereikt (gedragsverandering). Als dit niet het geval is, dan is het noodzakelijk om het bewustwordingsprogramma bij te stellen.
Verantwoordelijkheden De verantwoordelijkheid voor werving, selectie en algemene zaken rond het functioneren van personeel ligt bij de afdeling personeelszaken. Dit is inclusief bewustwording en gedrag. De directie en de verschillende afdelingen zijn verantwoordelijk voor het bevorderen van de algehele communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement speelt bij de uitvoering hiervan een belangrijke rol en dient te bevorderen dat gemeenteambtenaren, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen: •
Algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, in overeenstemming met het vastgestelde beleid.
•
Zich houden aan beveiligingsrichtlijnen.
Om dit te borgen dienen hierover afspraken te worden vastgelegd in het managementcontract. Activiteiten uit de Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten die een relatie met bewustwording en gedrag hebben zijn, onder andere: •
Zorgen dat alle gemeentemedewerkers, voor zover van toepassing, ingehuurd personeel en externe gebruikers: o
zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen.
o
op de hoogte zijn van de procedures voor het melden (rapporteren) van gebeurtenissen en escalatie.
o
regelmatig attent worden gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de gemeente, voor zover relevant voor hun functie.
o
geschikte trainingen en regelmatige bijscholing krijgen met betrekking tot beleid en procedures van de gemeente, voor zover relevant voor hun functie.
o
training krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden.
•
Zorgen dat in werkoverleggen periodiek aandacht wordt geschonken aan informatiebeveiliging.
•
Zorgen dat tijdens functionerings- en beoordelingsgesprekken het onderwerp informatiebeveiliging wordt besproken. Dit geldt in het bijzonder voor gemeentemedewerkers die risicovolle functies bekleden.
•
Calamiteitenplannen gebruiken in de jaarlijkse bewustwording-, training en testactiviteiten.
•
Maatregelen treffen voor detectie, preventie en herstellen, om gemeentelijke ICT-infrastructuur te beschermen tegen virussen. Tevens behoren er geschikte procedures te worden ingevoerd om het bewustzijn van de gebruikers te vergroten.
2.1 Meten van informatiebeveiligingsbewustzijn De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) stelt dat bewustzijn in een aantal gevallen een randvoorwaarde is. Het is dan ook zinvol om het informatiebeveiligingsbewustzijn van de gemeentelijke medewerkers te meten en op deze manier vast te stellen of aan deze randvoorwaarde is voldaan. Als eerste dient de gemeente te bepalen wàt ze precies wil meten. Als dat bekend is, kan de gemeente kijken hoe ‘dat’ te meten. Tot slot: wat te doen met de uitkomsten? Het doel waarvoor 10
de gemeente de uitkomsten wil gebruiken, stelt eisen aan (de bruikbaarheid van) datgene dat moet worden gemeten. Informatiebeveiligingsbewustzijn is een bepalende en belangrijke factor in de bijdrage die een gemeentelijke medewerker levert aan het niveau van informatiebeveiliging van de gemeente. Daarom is de noodzaak tot inzicht in hoe het zit met het informatiebeveiligingsbewustzijn binnen de gemeente van belang. Een andere reden om een bewustzijnsmeting uit te voeren is om de aandachtspunten van een bewustwordingsprogramma te bepalen. Het heeft geen zin om tijd en aandacht te besteden aan zaken die al op orde zijn. Uitgangspunten bij de meetmethode zijn onder meer: •
Het resultaat dient niet (te sterk) afhankelijk te zijn van de persoon die de meting uitvoert.
•
De meting dient met een zelfde nauwkeurigheid op latere tijdstippen te kunnen worden herhaald, zodat met een zekere betrouwbaarheid verbetering (of verslechtering) valt vast te stellen.
•
De meting dient toepasbaar en uitvoerbaar te zijn.
Observatie en het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten, leveren inzicht op met betrekking tot het informatiebeveiligingsbewustzijn. Naast de hoeveelheid aan informatie die deze meetmethoden opleveren, kleven er ook nadelen aan. Het grootste nadeel van vragenlijsten is de (voorbereidings)tijd en de vele keuzes die hierbij gemaakt dienen te worden bij het opstellen van de vragenlijst (zie bijlage 2 voor een voorbeeld enquêteformulier informatiebeveiliging). Denk hierbij aan: •
In welke vorm moeten de vragen worden gesteld? Meerkeuze, open vragen, et cetera.
•
In welke vorm wordt de vragen lijst aangeboden? Op papier of online via het intranet.
•
Namens wie wordt de uitnodiging verstuurd? De burgemeester, wethouder met informatiebeveiliging in zijn portefeuille, het college van Burgemeester en Wethouders (college van B&W) of de Chief Information Security Officer (CISO).
Net als bij de vragenlijsten, is de inspanning die vraaggesprekken met medewerkers vergen het nadeel. Naast de tijd die je kwijt bent voor het voeren van de gesprekken vergt het uitwerken van de gesprekken ook een behoorlijke (tijds)inspanning. Het nadeel van een mystery guest is dat het resultaat in enige mate afhankelijk is van de kwaliteiten van de tester, de ‘mystery guest’. Een voorbeeld van een meetinstrument voor het informatiebeveiligingsbewustzijn is de quickscan ‘Security Awareness in uw organisatie’.6 Met deze quickscan wordt een eerste indruk van het informatiebeveiligingsbewustzijn bij de medewerkers in uw gemeente gegeven. Heeft uw gemeente een bewustwordingsprogramma en voldoet dit? En indien een dergelijk bewustwordingsprogramma er nog niet is, loopt u dan geen onnodig risico? De quickscan laat zien waar verbetering mogelijk is.
2.2 Informatiebeveiligingsbewustzijn bij uitbesteding Informatiebeveiligingsbewustzijn is onmisbaar voor iedere organisatie, ook bij uitbestedingen.7 Echter bij een uitbesteding heeft het informatiebeveiligingsbewustzijn een aantal extra dimensies. Zo dient de gemeente de dienstverlenende onderneming of toeleverancier bij het aangaan van een overeenkomst, naast een groot aantal andere aan beveiliging gerelateerde zaken, in korte tijd op de hoogte te stellen van het informatiebeveiligingsbewustzijn binnen de gemeente. Omdat er sprake is van twee verschillende organisaties kan er sprake zijn van een verschil in kennis en inzicht tussen de twee organisaties. Een manier om bij het aangaan van een overeenkomst8 het informatiebeveiligingsbewustzijn van een dienstverlenende onderneming of toeleverancier te testen, is het vragen van een 'pas toe of leg uit' verklaring met betrekking tot het informatiebeveiligingsbeleid van de gemeente. Hierbij dient de dienstverlenende onderneming of toeleverancier aan te geven in welke mate aan het informatiebeveiligingsbeleid van de gemeente kan worden voldaan en dient zij uitleg te geven over wanneer hiervan afgeweken wordt. Hierbij dient bij de beoordeling niet alleen gekeken te worden naar de hoeveelheid groene vlakjes (‘pas toe’) maar is het interessanter om te kijken naar de argumenten die bij non-compliance (‘leg uit’) gegeven worden.
7 Zie hiervoor ook het operationele product ‘Uitbesteding ICT-diensten en inhuur’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product ‘Bewerkersovereenkomst’ en ‘inkoopvoorwaarden en informatiebeveiligingseisen’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
12
Bijlage 1: Voorbeeld communicatieplan informatiebeveiliging gemeente 1. Inleiding Informatiebeveiliging is mensenwerk. Management en medewerkers dienen zich bewust te zijn van de risico’s die samenhangen met de omgang met vertrouwelijke gegevens en van de noodzaak van informatiebeveiliging. Hiervoor zijn communicatieactiviteiten ontwikkeld, die in dit communicatieplan informatiebeveiliging gemeente gestructureerd zijn vastgelegd. Er wordt onderscheid gemaakt in communicatiestrategie, -doelstellingen, -bouwstenen, -doelgroepen, -kernboodschappen, -activiteiten en -middelen. 1.1 Aanleiding Voor gemeenten is door de Informatiebeveiligingsdienst voor gemeenten (IBD) de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) opgesteld. Deze baseline geeft aan dat communicatie over informatiebeveiliging van groot belang is voor een succesvolle implementatie van informatiebeveiliging. Om tot een succesvolle implementatie van de BIG te komen, worden hiertoe in dit communicatieplan informatiebeveiliging activiteiten voorgesteld. Dit communicatieplan informatiebeveiliging is bedoeld voor iedere gemeentelijke medewerker binnen de gemeente . Met als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico’s die de gemeente loopt, de samenhang met het gebruik van computers en netwerken en van de noodzaak van beveiliging van informatie. Hiermee wordt beoogd om informatiebeveiliging bij zoveel mogelijk gemeentelijke medewerkers tot een punt van blijvende aandacht te maken. Er kunnen voor de gemeente meerdere redenen zijn om te werken aan het verhogen van het kennis- en bewustzijnsniveau van de medewerkers. Hieronder volgen enkele voorbeelden: •
Een streven naar kwaliteitsverbetering Door het verhogen van het besef van de waarde van informatie voor de gemeente houden gemeentelijke medewerkers zich beter aan procedures op dit gebied, waardoor het aantal fouten wordt verkleind.
•
Het verkrijgen/behouden van een betrouwbaar imago Voor de gemeente is vertrouwen één van de basisprincipes. Hierdoor is het van groot belang dat de gemeente betrouwbaar overkomt. Informatiebeveiligingsincidenten hebben een negatief effect op de betrouwbaarheid van de gemeente. Door een verhoging van het beveiligingsbewustzijn neemt het aantal informatiebeveiligingsincidenten af.
•
Het versterken van de zwakste schakel Hoewel er veel technische mogelijkheden zijn om informatie te beveiligen, blijft de mens de zwakste schakel in de keten. Technische maatregelen zijn zinloos als het beveiligingsbewustzijn bij de gemeentelijke medewerkers ontbreekt. Naast het versterken van de zwakste schakel, zou natuurlijk ook gekeken kunnen worden of de mens nog wel onderdeel van de keten dient uit te maken. Is het beoogde resultaat te behalen zonder tussenkomst van de mens? Bijvoorbeeld door het aanpassen van processen, procedures en/of informatiesystemen.
13
Een aantal randvoorwaarden dienen te zijn ingevuld om een effectieve en efficiënte invulling te kunnen geven op de vraag: Hoe kan het kennis- en bewustzijnsniveau van de medewerkers blijvend gestimuleerd, verhoogd en gestuurd worden op het gebied van informatiebeveiliging? Deze randvoorwaarden zijn: •
Commitment van de directie en het management De cruciale voorwaarde voor een succesvolle uitvoering van een bewustwordingsprogramma binnen de gemeente is commitment. Zonder dat aan deze voorwaarde wordt voldaan is de slagingskans van een dergelijk programma beperkt.
•
Geen eenmalige exercitie Bewustwording van gemeentelijke medewerkers binnen de gemeente is geen eenmalige zaak. Het is noodzakelijk dat er continu gestimuleerd, gestuurd en gemeten wordt. Zo wordt er constant aandacht besteed aan de ontwikkeling van het kennis- en bewustzijnsniveau. Hierbij is het wel van belang om vooraf het gewenste en het huidige kennis-, bewustzijnsniveau en gedrag in kaart te brengen. Tot slot dient het bewustwordingsprogramma ook aan te sluiten bij de organisatiecultuur van de gemeente .
2. Communicatieaspecten In dit hoofdstuk wordt het kader van het communicatieplan informatiebeveiliging geformuleerd. Welke doelen willen we bereiken met dit communicatieplan informatiebeveiliging ((beoogde) verbetering), welke bouwstenen worden hierbij ingezet en wat zijn de gehanteerde uitgangspunten en randvoorwaarden. 2.1 Doelen Met betrekking tot de communicatie over informatiebeveiliging wordt onderscheid gemaakt naar kennis, houding en gedrag. 2.1.1 Kennis over informatiebeveiliging Het doel is dat gemeentelijke medewerkers op de hoogte zijn van de voor hen geldende taken, regels en hulpmiddelen voor informatiebeveiliging. Voor het management geldt de doelstelling dat de beleidsstukken met betrekking tot informatiebeveiliging bij hen bekend zijn. 2.1.2 Houding en gedrag met betrekking tot informatiebeveiliging Het uitgangspunt is dat het management en de gemeentelijke medewerkers van de gemeente zich onvoldoende bewust zijn van de risico's die samenhangen met het gebruik van computers en netwerken en van de noodzaak van informatiebeveiliging. Dit bewustzijn varieert natuurlijk binnen de verschillende afdelingen en onder individuele gemeentelijke medewerkers. Verder vertonen niet alle gemeentelijke medewerkers het gewenste gedrag voor informatiebeveiliging. De communicatieactiviteiten dienen ertoe bij te dragen dat de individuele gemeentelijke medewerkers een positieve houding hebben ten aanzien van informatiebeveiliging en dit ook vertalen in het gewenste gedrag. Concreet betekent dit bijvoorbeeld dat: •
Werkplekken niet onbeheerd worden achtergelaten.
•
Wachtwoorden geheim worden gehouden.
•
Individuele wachtwoorden en persoonlijke accounts niet worden gedeeld.
•
Vertrouwelijke gegevens niet onbeveiligd via e-mail worden verzonden. 14
•
Dossiers van gemeentelijke medewerkers en burgers vertrouwelijk worden behandeld.
•
Geen vertrouwelijke informatie wordt verstrekt via de telefoon.
•
‘Aanvallen’ zoals, phishing, spam en hoaxes worden herkend.
Voor het management wordt beoogd dat de communicatieactiviteiten ertoe bijdragen dat deze groep een positieve houding heeft ten aanzien van informatiebeveiliging. Zo fungeren zij als voorbeeldfunctie voor de gemeentelijke medewerkers, spreken zij gemeentelijke medewerkers aan op ongewenst gedrag en steunen zij de betrokkenen in de activiteiten voor de verbetering van informatiebeveiliging binnen de gemeente . 2.2 De communicatiebouwstenen Om kennis, houding en gedrag van de betrokken doelgroepen maximaal positief te stimuleren, leert ervaring dat het zinvol is om bij de communicatieaanpak rekening te houden met enerzijds het communiceren van feiten en anderzijds de vertaalslag te maken naar de concrete werksituatie en belevingswereld van de collega’s. Het is uiteraard belangrijk dat de toon en de vorm van de communicatie naar de verschillende doelgroepen vanuit een herkenbare gemeentelijke-huisstijl gebeurt. Dit vergroot de consistentie, de herkenbaarheid en acceptatie onder de doelgroepen en zorgt mede voor het basis-vertrouwen wat noodzakelijk is om een betrouwbare (kennis)partner te kunnen zijn. 2.3 Uitgangspunten Bij de uitvoering van dit communicatieplan informatiebeveiliging worden de volgende uitgangspunten gehanteerd: •
Om het beoogde effect te bereiken wordt een combinatie van communicatiemiddelen ingezet.
•
Bij de communicatie wordt zoveel mogelijk gebruik gemaakt van zowel bestaande in- als externe kanalen en middelen (, intranet, werkoverleg, campagne iBewustzijn Overheid, et cetera).
•
Om de herkenbaarheid van de boodschap voor informatiebeveiliging te vergroten wordt bij alle communicatieactiviteiten de volgende adagium/slogan gehanteerd: ‘’.
•
De communicatie over informatiebeveiliging wordt doelgroepgericht ingezet (zie hoofdstuk 4 voor de te onderscheiden doelgroepen).
•
Het effect van de communicatieactiviteiten wordt gemeten door een steekproefsgewijze controle op de aanwezigheid van het gewenste kennis- en bewustzijnsniveau en gedrag. Bijvoorbeeld door het afnemen van interviews of het laten invullen van vragenlijsten.
2.4 Randvoorwaarden Voor een succesvolle uitvoering van dit communicatieplan informatiebeveiliging gelden de volgende randvoorwaarden: •
Er dient voldoende commitment bij het management te zijn voor de uitvoering van de voorgestelde communicatieactiviteiten. Deels is het verkrijgen van commitment voor informatiebeveiliging natuurlijk een doelstelling van de communicatie over informatiebeveiliging.
•
Middelen die gemeentelijke medewerkers dienen in te zetten om het gewenste gedrag te kunnen vertonen, dienen beschikbaar en bekend te zijn. Voorbeelden van deze middelen zijn beveiligingsmiddelen voor veilig e-mailen via internet, screensaver op de werkplek, afsluitbare kasten, et cetera.
•
Met betrekking tot de voorgestelde communicatieactiviteiten geldt dat het geheel meer is dan de som der delen. Dit houdt in dat het niet uitvoeren van bepaalde communicatieactiviteiten de 15
gehele communicatiestrategie ontkracht, waardoor de realisatie van de beoogde doelstellingen in gevaar komt. •
Er dienen voldoende mensen en middelen ter beschikking te worden gesteld (zie paragraaf 8.2 Financiën).
3. De communicatiedoelgroepen Omdat bewustzijn op informatiebeveiligingsvlak pas succesvol is als binnen de gemeente van hoog tot laag, in evenwicht, aandacht is voor zowel de techniek- als voor de menskant. 3.1 De primaire communicatiedoelgroepen Met betrekking tot communicatie over informatiebeveiliging worden de volgende primaire communicatiedoelgroepen onderscheiden: 1. Burgemeester, college van burgemeester en wethouders (B&W), de gemeenteraad, de verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management 2. De gemeentelijke medewerkers 3. Specifieke medewerkers, zoals: •
Nieuwe medewerkers
•
Archiefbeheerders
•
ICT-medewerkers, bijvoorbeeld projectleiders, applicatiebeheerders en systeembeheerders.
3.2 De secundaire communicatiedoelgroepen Met betrekking tot communicatie over informatiebeveiliging worden de volgende secundaire communicatiedoelgroepen onderscheiden: 1. Burgers 2. Leveranciers en partners van leveranciers, bijvoorbeeld hosting-, audit-, pentestpartijen en adviseurs. 3. Media, bijvoorbeeld journalisten.
4. Communicatiedoelstelling De doelstelling kan als volgt geformuleerd worden: ‘Het optimaal informeren, involveren en inspireren van de eigen gemeentelijke medewerkers aangaande het onderwerp informatiebeveiliging’. Dit wordt gedaan zodat: •
De verantwoordelijkheid en taken van de informatiebeveiligingsorganisatie duidelijk zijn.
•
Het belang van het onderwerp informatiebeveiliging en de voorbeeldfunctie van de gemeentelijke medewerkers hierin, duidelijk zijn en actief uitgedragen worden.
Om de communicatiedoelstelling te ondersteunen wordt gebruik gemaakt van het adagium/slogan: ‘’. Bijvoorbeeld ‘De gemeentelijke ketting is zo sterk als de zwakste schakel’. Daar waar relevant voor de gemeentelijke communicatie wordt meegelift op de communicatiemiddelen en -momenten van de IBD, (keten)partners en leveranciers. Denk hierbij aan de IBD-website en community, campagne iBewustzijn Overheid, nieuwsbrieven, congressen en andere relevante bijeenkomsten en middelen.
16
4.1 Kernboodschappen Alle communicatie-initiatieven van de gemeente met betrekking tot informatiebeveiliging worden opgehangen aan een aantal kernboodschappen. Het adagium/slogan, ‘’ wordt bij alle communicatieactiviteiten gebruikt als terugkerend thema. Hieronder worden de kernboodschappen weergegeven voor de verschillende communicatiedoelgroepen. Deze zijn: 1. Burgemeester, College van Burgemeester en Wethouders (B&W), de gemeenteraad, de verantwoordelijk wethouder Informatiebeveiliging, gemeentesecretaris en het management. o
Informatiebeveiliging is een onderdeel van integraal management.
o
Iedere leidinggevende heeft een voorbeeldfunctie.
o
Iedere leidinggevende dient toezicht te houden op de eigen medewerkers.
2. Gemeentelijke medewerkers. o
Beveiliging van (vertrouwelijke) informatie is belangrijk.
o
Beschikbaarheid van informatie is belangrijk.
o
Het is belangrijk dat informatie juist en volledig aanwezig is.
o
Goede informatiebeveiliging is een voorwaarde voor een goede dienstverlening.
o
Iedere medewerker heeft een eigen verantwoordelijkheid met betrekking tot informatiebeveiliging.
3. Specifieke medewerkers. o
Bij de specifieke werkzaamheden horen ook taken voor informatiebeveiliging. Dit vereist zorgvuldigheid, scholing en bijzondere aandacht.
5. Communicatiestrategie De communicatiestrategie onderliggend aan dit communicatieplan informatiebeveiliging geeft in hoofdlijnen aan langs welke weg we de communicatiedoelen, zoals in hoofdstuk 2 beschreven, willen bereiken. In feite vormt de communicatiestrategie de verantwoording voor dit communicatieplan informatiebeveiliging. Hierbij dienen op verschillende fronten keuzes te worden gemaakt: •
Benader je de doelgroepen proactief, actief of passief?
•
Hoe is de toon van de communicatie (zakelijk of persoonlijk, informeel of formeel)?
•
Wat is de aard van de in te zetten communicatiemiddelen (mondeling, schriftelijk of een combinatie van beide)?
•
Op welke wijze ga je de doelgroepen benaderen (massaal, groepsgewijs, individueel)?
•
Met wie wordt er samengewerkt?
•
Welke prioriteiten worden gesteld?
De communicatiestrategie bestaat uit: •
Het gelijktijdig inzetten van verschillende communicatiemiddelen, omdat de verschillende doelgroepen hierdoor de boodschap beter oppikken.
•
Het zoveel mogelijk betrekken van de verschillende doelgroepen bij het ‘veranderingsproces’,
•
Het zoveel mogelijk meeliften op de communicatiemiddelen en -momenten van andere
omdat daarmee meer draagvlak en bewustwording wordt gecreëerd voor informatiebeveiliging. organisaties, zoals de IBD, campagne iBewustzijn Overheid, (keten)partners en leveranciers. Op deze manier worden de doelgroepen vanuit verschillende invalshoeken geïnformeerd en kunnen tevens de kosten voor de gemeente worden beperkt.
17
6. Communicatiemiddelen Binnen de gemeente worden veel verschillende media als informatiebronnen gebruikt. Echter, het is niet de bedoeling deze allemaal in te zetten om de boodschap van informatiebeveiliging over te dragen. De hierna beschreven communicatiemiddelen (kunnen) worden ingezet om de verschillende doelgroepen te bereiken. Uiteraard hangt het inzetten van de hieronder beschreven communicatiemiddelen onder andere af van de grote van de gemeente en het beschikbare budget. Intern: Intranet Dit medium is voor alle doelgroepen van dit communicatieplan informatiebeveiliging toegankelijk en is daardoor goed inzetbaar. Gekeken moet worden hoe bij andere communicatieactiviteiten de aandacht op het onderdeel ‘informatiebeveiliging’ van het intranet kan worden gevestigd (, nieuwsbrief, et cetera). Op de intranetpagina’s van de gemeente worden regelmatig (bijvoorbeeld maandelijks) updates geplaatst van onderwerpen over informatiebeveiliging. Met als doel dat de gemeentelijke medewerkers op de hoogte blijven van waar de organisatie op het gebied van informatiebeveiliging mee bezig is. Naast algemene achtergrondinformatie over informatiebeveiliging is het van belang dat het intranet is voorzien van informatie die: •
Het grootste gedeelte van de vragen van medewerkers afvangt.
•
De mogelijkheid biedt tot actieve berichtgeving in geval van incidenten.
(Digitale) nieuwsbrief informatiebeveiliging Via afzonderlijke (digitale) nieuwsbrieven wordt op verschillende momenten aandacht besteed aan informatiebeveiliging, met onder andere aandacht voor: •
Een concreet onderwerp of case op informatiebeveiligingsvlak.
•
Concrete tips en ‘instructies’.
•
Informatiebeveiliging op de gemeentelijke werkvloer: een interview of artikel over de
•
Afhankelijk van de beschikbaarheid van (actuele) onderwerpen drie à vier per jaar.
dagelijkse uitdagingen als het gaat om informatiebeveiliging.
Presentaties Het geven van presentaties is een praktische methode die ingezet kan worden om informatie over te brengen tijdens bijeenkomsten en/of afdelingsoverleggen. Deze kan worden afgestemd op de verschillende doelgroepen.9 Training Volgens het ‘train-de-trainer’-principe worden specifieke medewerkers voorgelicht over het nut en de noodzaak van informatie en worden ze getraind in het gebruiken van de aanwezige communicatiemiddelen. Deze getrainde medewerkers kunnen dan tijdens het afdelingsoverleg de ‘standaard’ presentatie verzorgen. Bijvoorbeeld de train-de-trainer Informatieveiligheid: Van ‘ja’ zeggen naar ‘ja’ doen!10 E-learning 9
Zie hiervoor ook het operationele product (presentatie) ‘Bewustwording Informatieveiligheid bij gemeenten’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10 http://www.vngacademie.nl/e-learning/train--de--trainer-informatieveiligheid-van%E2%80%98ja%E2%80%99-zeggen-naar-%E2%80%98ja%E2%80%99doen!.aspx 18
E-learning is een methode die gebruikt kan worden om informatie via een digitale module over te brengen, om de kennis te meten en de aanwezige houding, vaardigheden en gedrag te beïnvloeden. Bijvoorbeeld de e-learning module ‘Bewust en veilig omgaan met (digitale) informatie!’11 Workshops Tijdens ‘denk-en-doe-sessies’ van maximaal twee tot vier uur kan er beter ingespeeld worden op de impact van je eigen rol, het eigen handelen en het handelen van anderen op gebied van de informatieveiligheid. Bijvoorbeeld de interactieve workshops iBewustzijn die via de VNG Academie worden aangeboden.12 In het wordt op verschillende momenten iets over informatiebeveiliging geplaatst. Dit geschiedt natuurlijk in overleg met de redactie en alleen wanneer er ook werkelijk iets is te melden over informatiebeveiliging. Posters Door op verschillende plaatsen binnen de organisatie posters op te hangen worden de medewerkers gewezen op (de noodzaak van) informatiebeveiliging. Dit is weer een middel om alle gemeentemedewerkers te bereiken. Bij het bepalen van de inhoud van de posters wordt aandacht besteed aan het feit dat deze informatie ook zichtbaar wordt voor bezoekers. Er moet namelijk niet de indruk worden gewekt dat burgergegevens bij de gemeente niet in goede handen zijn. Bijvoorbeeld de posters van de campagne iBewustzijn Overheid.13 Animatiefilmpjes Soms is het kijken naar situaties die niet aan werk gerelateerd zijn datgene dat noodzakelijk is om te beseffen welke handelingen beveiligingsbewust, of juist niet beveiligingsbewust zijn. Bijvoorbeeld de (vier) animatiefilmpjes van de campagne iBewustzijn Overheid.14 Folders Via folders kunnen gemeentelijke medewerkers (gemakkelijk) kennis met het onderwerp informatiebeveiliging en wat beveiligingsbewustzijn inhoudt en het belang van een goed beveiligingsbewustzijn. Bijvoorbeeld de folders van de campagne iBewustzijn Overheid.15 Werkoverleg Het werkoverleg is een effectief middel om gewenst gedrag met betrekking tot informatiebeveiliging bespreekbaar te maken. Om informatiebeveiliging hier goed onder de aandacht te brengen, wordt hiervoor een kant-en-klaar pakket (presentatie, werkvorm, et cetera) samengesteld.
11 12 13 14 15
http://www.vngacademie.nl/e-learning/ibewustzijn-overheid-.aspx Zie voor meer informatie http://www.vngacademie.nl/e-learning/interactieve-workshops-ibewustzijn.aspx https://www.ibewustzijnoverheid.nl/aanbod/posters/ https://www.ibewustzijnoverheid.nl/aanbod/animatiefilmpjes/ https://www.ibewustzijnoverheid.nl/aanbod/folder/
19
Mystery guest In een real-life situatie wordt uw beveiliging aan een test onderworpen. Een mystery guest is een social engineer16. Vaak is de toegang tot het gebouw beveiligd, maar kan de mystery guest door een list, toeval of door uitbuiting van psychologische technieken toch toegang tot het gebouw verschaffen. Eenmaal binnen in de beveiligde omgeving probeert de mystery guest vertrouwelijke informatie te bemachtigen en kijkt hij of hij andere ‘schade’ kan aanrichten. Introductie nieuwe medewerkers Een introductiemap met informatie over informatiebeveiliging wordt aan nieuwe gemeentelijke medewerkers (intern en extern, stagiairs, et cetera) uitgereikt.17 Dit wordt geborgd in de opzet van de introductie voor nieuwe medewerkers. Daarnaast wordt, indien mogelijk, de nieuwe medewerker in een persoonlijk gesprek door de manager op de hoogte gesteld van de regels voor informatiebeveiliging binnen de gemeente. Raadpleeg externe bronnen, zoals: •
https://www.ibewustzijnoverheid.nl/ iBewustzijn staat voor informatiebewustzijn. Met de campagne iBewustzijn Overheid wil de overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen van het bewustzijn betreffende informatieveiligheid. De campagne is voor alle medewerkers van de provincies, waterschappen en gemeenten.
•
https://veiliginternetten.nl/ Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken, het ministerie van Veiligheid en Justitie / Nationaal Cybersecurity Centrum (NCSC) en ECP | Platform voor de Informatiesamenleving en het bedrijfsleven. Op veiliginternetten.nl kunnen mensen tips, trucs en praktische stap voor stap uitleg vinden over wat zij kunnen doen en laten om veilig te internetten. Deze site is bedoeld voor iedereen met vragen over veilig gebruik van internet.
•
https://www.digivaardigdigiveilig.nl/ Het kunnen omgaan met digitale toepassingen en het beschikken over een veilige digitale omgeving zijn cruciaal. Overheid, bedrijfsleven en maatschappelijke organisaties slaan hiervoor de handen ineen binnen dit publiek-private programma.
•
http://cyberawareness.nctv.nl/ Om je bewust te maken van de digitale sporen die je achterlaat, hoe kwaadwillenden daarvan gebruikmaken en hoe je veiliger kunt handelen, hebben de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het NCSC een Cyber Security Awarenessprogramma ontwikkeld: 'Je bent zichtbaarder dan je denkt'. Het programma bestaat uit een film van ongeveer 15 minuten, factsheets en een e-learning module van ongeveer 30 minuten.
Extern: Social Media Om de burgers te informeren wordt er gebruik gemaakt van de gemeentelijke social media kanalen zoals Twitter en Facebook: •
-IB-Twitter o
Vanuit dit -IB-Twitter-account wordt getwitterd naar gemeentevolgers over het onderwerp informatiebeveiliging. Het kan natuurlijk ook zo zijn dat
16
Een social engineer probeert gebruikersgegevens te krijgen door zich bijvoorbeeld voor te doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost. 17 Dit kan uiteraard ook een verwijzing zijn naar de intranetpagina’s die deze informatie bevatten. 20
de tweets met betrekking tot informatiebeveiliging getwitterd worden via het algemene -twitter-account. o
Tweets, relevant om kenbaar te maken aan de volgers van de gemeente worden geretweet. Dit houdt in dat tweets van partijen die de gemeente volgt, in de gaten gehouden dienen te worden.
o
Tweets worden getweet met gebruik van een #(hashtag) bij woorden gerelateerd aan de gemeente. Bijvoorbeeld: informatieveiligheid, informatiebeveiliging, , ontwikkelingen et cetera. Dit met als doel, wanneer een twitteraar zoekt op deze woorden, de tweets van de gemeente ook naar boven komen.
•
-Facebook pagina o
De gemeente heeft een eigen pagina op Facebook om, laagdrempelig, nog meer inwoners van de aan te spreken. Op deze pagina staat nieuws voor mensen die wat met de gemeente hebben. Het is mogelijk om te reageren op berichten of zelf informatie te plaatsen. Iedereen, ook zonder Facebook-account, kan de pagina, foto's en reacties bekijken. Wel is er een aantal spelregels: berichten met reclame-uitingen worden verwijderd. Ook berichten die beledigend zijn, bedreigingen of (links naar) illegale zaken bevatten worden verwijderd.
o
Op deze gemeentelijke Facebook-pagina wordt ook voor de inwoners relevante informatie met betrekking tot informatiebeveiliging en privacy geplaatst.
Desgewenst kunnen ook specifieke communicatiemiddelen worden ingezet afhankelijk van nut en noodzaak op dat moment. Uiteraard wordt hier dan een specifiek plan van aanpak voor vervaardigd. 6.1 Doelgroepen-middelenmatrix Nadat de communicatiemiddelen zijn vastgesteld, kan de doelgroepen-middelenmatrix worden ingevuld (zie tabel 1). Dit is een schematische weergave, waarbij de communicatiedoelgroepen tegen de communicatiemiddelen worden uitgezet. De doelgroepen-middelenmatrix geeft overzichtelijk weer welke communicatiedoelgroepen je met welke communicatiemiddelen wilt bereiken.
21
Communicatiemiddelen
Communicatiedoelgroepen Burgemeester, college van
Gemeentelijke
Specifieke
B&W, gemeenteraad,
medewerkers
medewerkers
verantwoordelijk wethouder
Burgers
Leveranciers en partners van leveranciers
informatiebeveiliging, gemeentesecretaris en het management Informatiebeveiliging op intranet (Digitale) nieuwsbrief informatiebeveiliging Presentaties Training E-learning Workshops Informatiebeveiliging in Posters Animatiefilmpjes Folders Informatiebeveiliging in werkoverleg Inzet van mystery guest Introductie nieuwe medewerkers Tabel 1 Doelgroepen-middelenmatrix.
22
Media
7. Activiteitenplanning In (het) onderstaande overzicht(en) worden de communicatieactiviteiten vermeld, die ten behoeve van de informatiebeveiliging worden uitgevoerd. Hierbij is ook aangegeven wanneer deze activiteiten worden uitgevoerd en wie hierbij betrokken zijn. Er worden hier twee voorbeelden (tabel 2 en 3) van de activiteitenplanning weergegeven. Bij overzicht 1 zijn de communicatiemiddelen het uitgangspunt en bij overzicht 2 is dat de communicatiedoelgroep. Communicatiemiddel
Communicatie-
Verantwoordelijk
Datum
Vul hier in welke
Vul hier in wie
Vul hier in op
communicatie-
verantwoordelijk is
welke datum of
doelgroep wordt
voor deze
in welke periode
benaderd.
communicatie-
de communica-
activiteit (dat hoeft
tieactiviteit
niet degene te zijn
plaatsvindt.
doelgroep Informatiebeveiliging op intranet
die de activiteit uitvoert). (Digitale) nieuwsbrief informatiebeveiliging Presentaties Training E-learning Workshops Informatiebeveiliging in Posters Animatiefilmpjes Folders Informatiebeveiliging in werkoverleg Inzet van mystery guest Introductie nieuwe medewerkers Tabel 2 Overzicht 1 activiteitenplanning.
Communicatiedoelgroep
Vul hier in welke communicatiedoelgroep wordt benaderd.
Communicatieboodschap/-doel
Vul hier in wat je via deze communicatieactiviteit wil bereiken.
Communicatiemiddel
Vul hier in op welke wijze de communicatieboodschap wordt overgebracht.
Datum en tijdstip
Vul hier in op welke datum of in welke periode de communicatieactiviteit plaats vindt.
Verantwoordelijk
Vul hier in wie verantwoordelijk is voor deze communicatieactiviteit (dat hoeft niet degene te zijn die de activiteit uitvoert).
8. Benodigde middelen 8.1 Mensen De in hoofdstuk 7 opgesomde communicatieactiviteiten vereisen van de genoemde betrokkenen (verantwoordelijke en/of uitvoerende) de onderstaande inzet in mensdagen (zie tabel 4). Betrokkene
Inschatting benodigde inzet (in mensdagen)
[functie]
X
[functie]
X
[functie]
X
[functie]
X
[functie]
X
Tabel 4 Inschatting benodigde inzet.
8.2 Financiën Het kan zijn dat het budget een vastgesteld gegeven is en het een van de randvoorwaarden is bij het opstellen van het communicatieplan informatiebeveiliging. In andere gevallen wordt een kostenbegroting aan de hand van het plan van aanpak opgesteld. Hieronder een aantal zaken waarmee rekening gehouden dient te worden: •
Personeelskosten, bijvoorbeeld inhuur deskundigen. Hierbij zijn de kosten van de inzet van de betrokken gemeentelijke medewerkers niet in rekening gebracht. Deze worden verondersteld onderdeel te vormen van de bestaande begrotingen van de genoemde afdelingen.
•
Kosten voor het ontwikkelen van communicatiemiddelen, bijvoorbeeld schrijven, opmaken en drukwerk.
•
Kosten voor het onderhoud van communicatiemiddelen.
•
Kosten voor verspreiding, bijvoorbeeld het verzenden van brieven.
•
Kosten voor bijeenkomsten, bijvoorbeeld het deelnemen aan congressen, trainingen.
•
Onvoorziene kosten (over het algemeen 10% van het totaal).
De in dit communicatieplan informatiebeveiliging opgenomen communicatieactiviteiten leiden tot de onderstaande kosten (zie tabel 5). communicatieactiviteit
Bijlage 2: Voorbeeld enquête informatiebeveiliging Opmerking:De hier vermelde enquête bevat voorbeeldvragen die aangepast dienen te worden naar de eigen gemeentelijke situatie. Niet alle vragen zijn dan ook relevant voor uw gemeente. Het gaat er hier om, om u een idee te geven van het soort vragen die in een vragenlijst/enquête met betrekking tot bewustwording opgenomen kunnen worden. Voor de gemeente is een goede beveiliging van informatie van groot belang. Gegevens van burgers, ketenpartners en andere vertrouwelijke documenten mogen niet voor onbevoegden toegankelijk zijn. Dit kan grote problemen veroorzaken voor de voortgang en de kwaliteit van de gemeentelijke dienstverlening. Hierbij zijn we gebonden aan allerlei wet- en regelgeving, waaronder de Wet bescherming persoonsgegevens (Wbp). Bovendien leiden incidenten onmiddellijk tot imagoschade voor de gemeente. Door middel van bijgevoegde enquête willen wij de bekendheid van informatiebeveiliging en het gedrag van gemeentelijke medewerkers meten. Wij sturen deze enquête steekproefsgewijs aan 25% van de gemeentelijke medewerkers. Wij zouden het bijzonder waarderen als u deze enquête invult. Het beantwoorden van de vragen kost u ongeveer tien minuten. De invulinstructie voor deze vragenlijst is als volgt:
−
Per vraag kiest u een antwoord door het bijbehorende vakje aan te kruisen. Bij vrijwel alle vragen dient u één antwoord te kiezen. Als dit niet het geval is staat dit duidelijk aangegeven.
−
De vragenlijst is anoniem; u hoeft dus geen naam op het formulier te vermelden. Wij vragen wel naar uw functie om hier eventueel bij de verwerking van de resultaten en het bepalen van de vervolgacties gebruik van te kunnen maken.
U kunt de ingevulde vragenlijst via de interne post tot uiterlijk [datum] terugsturen naar: Bij voorbaat hartelijk dank voor de medewerking!
25
Aandacht voor informatiebeveiliging Informatiebeveiliging heeft tot doel de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van gegevens te waarborgen. Het maakt hierbij niet uit of de werkzaamheden op kantoor plaatsvinden of vanuit huis en of dat het hierbij gaat om een door de gemeente versterkte computer/mobiel apparaat of een privé-eigendom. Het gaat om betrouwbare gemeentelijke dienstverlening. Dit betekent dat:
• De gemeentelijke informatiesystemen en informatie beschikbaar zijn wanneer we deze nodig hebben (beschikbaarheid).
• We kunnen vertrouwen op wat de gemeentelijke informatiesystemen ons toont (integriteit). • We zorgen dat vertrouwelijke gegevens niet in verkeerde handen terechtkomen (vertrouwelijkheid).
• We zorgen dat het mogelijk is om te kunnen achterhalen welke handelingen met de gemeentelijke informatiesystemen zijn uitgevoerd (controleerbaarheid). 1. Binnen welke van de onderstaande categorieën valt uw functie? O
2. Vindt u het belangrijk dat we binnen de gemeente aandacht besteden aan informatiebeveiliging? O
Nee, ik vind informatiebeveiliging niet belangrijk
O
Ja, ik vind informatiebeveiliging belangrijk
O
Ik heb hierover geen mening
3. Informatiebeveiliging maakt een belangrijk onderdeel uit van mijn werk. O
Zeer mee eens
O
Mee eens
O
Neutraal
O
Mee oneens
O
Zeer mee oneens
4. Binnen de gemeente hebben we een informatiebeveiligingsbeleid opgesteld. Kent u dit informatiebeveiligingsbeleid? O
Nee, ik heb hiervan nog nooit gehoord
O
Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet
O
Ja, ik ken de inhoud van dit informatiebeveiligingsbeleid
5. Binnen de gemeente hebben we een gedragscode voor het gebruik van computerfaciliteiten opgesteld. Heeft u deze gedragscode gelezen en weet u hoe u met de door de gemeente beschikbaar gestelde computerfaciliteiten om moet gaan? O
Nee, ik heb hiervan nog nooit gehoord
O
Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet
O
Ja, ik ken de inhoud van deze gedragscode, maar ik weet niet hoe ik met de door de gemeente beschikbaar gestelde computerfaciliteiten om moet gaan
O
Ja, ik ken de inhoud van deze gedragscode en ik weet hoe ik met de door de gemeente beschikbaar gestelde computerfaciliteiten om moet gaan
26
6. Weet u dat er op het intranet aandacht wordt besteed aan informatiebeveiliging ()? O
Nee, dat weet ik niet
O
Ja, dat weet ik, maar ik heb de genoemde pagina’s niet bezocht
O
Ja, ik heb de genoemde pagina’s wel eens bekeken
7. Weet u wie verantwoordelijk is voor Informatiebeveiliging binnen de gemeente? (Alles selecteren wat van toepassing is) ICT-afdeling Afdelingen die de gegevens gebruiken Gemeentesecretaris Managers en teamleiders Informatiebeveiligingsfunctionaris Individuele gemeentelijke medewerkers 8. Heeft u de gemeentelijke bewustwordingstraining gevolgd? O
Ja
O
Nee
9. Weet u of uw leidinggevende(n) inzicht heeft/hebben in de begrippen en principes van informatiebeveiliging? O O
Nee, dit weet ik niet (ga verder met vraag 11) Ja, maar mijn leidinggevende(n) kent/kennen de begrippen en principes van informatiebeveiliging niet (ga verder met vraag 11)
O
Ja, mijn leidinggevende(n) is/zijn bekend met de begrippen en principes van informatiebeveiliging
10. Zo ja, hoe beoordeelt u het bewustzijn van uw leidinggevende(n) ten aanzien van informatiebeveiliging? O
Mijn leidinggevende(n) vindt/vinden informatiebeveiliging alleen maar lastig
O
Mijn leidinggevende(n) stelt/stellen zich neutraal op
O
Mijn leidinggevende(n) stimuleert/stimuleren de realisatie en naleving van regels voor informatiebeveiliging
11. Bent u zich bewust van uw eigen rol met betrekking tot informatiebeveiliging? O
Nee, daar ben ik mij niet van bewust
O
Ja, maar dit heeft niet geleid tot concrete acties
O
Ja, ik werk actief mee aan informatiebeveiliging
12. Voorbeelden van beveiligingsincidenten zijn virussen, gebruik van illegale programmatuur, diefstal van gegevens, et cetera. Weet u dat u een beveiligingsincident moet melden? O
Nee, daar weet ik niets van
O
Ja, daar heb ik wel eens van gehoord, maar dat doe ik in de praktijk niet
O
Ja, als ik beveiligingsincidenten ontdek, meld ik deze
13. Weet u bij wie u een beveiligingsincident moet melden? O
Nee, dat weet ik niet
O
Ja, als ik een beveiligingsincident ontdek, meld ik dit bij mijn leidinggevende
O
Ja, als ik een beveiligingsincident ontdek, meld ik dit bij de informatiebeveiligingsfunctionaris 27
14. Weet u wat met aanvaardbaar gebruik van de door de gemeente beschikbaar gestelde computerfaciliteiten wordt bedoeld? O
Nee, dat weet ik niet
O
Ja, daar heb ik wel eens van gehoord, maar dat pas ik in de praktijk niet toe
O
Ja, ik ben hiervan op de hoogte en handel hier ook naar
15. Bent u zich bewust van het feit dat wat u op uw computer doet invloed kan hebben op andere personen? O
Nee, daar ben ik me niet van bewust
O
Ja, daar heb ik wel eens van gehoord, maar ik kan de impact niet volledig beoordelen
O
Ja, daar ben ik me volledig van bewust en handel hier ook naar
De omgang met informatie (tijdens uw werk) Informatiebeveiliging komt u tegen in uw dagelijkse werk. Bij het inloggen wordt om een wachtwoord gevraagd, vertrouwelijke gegevens mogen niet zomaar onbeheerd worden achtergelaten, et cetera. 16. Kruis aan in hoeverre u weet wat de volgende begrippen betekenen en inhouden? Onvoldoende
Voldoende
Goed
Hoax Keyboard-loggers Malware Phishing Shoulder surfing Social engineering Spam Sterk wachtwoord Veilige internetverbinding Virus 17. U bent zich bewust dat u een belangrijke rol kan spelen in het beschermen van uw computer en de informatie die daarop is opgeslagen. O
Zeer mee eens
O
Mee eens
O
Neutraal
O
Mee oneens
O
Zeer mee oneens
28
18. Wachtwoorden zijn belangrijk voor het voorkomen van ongeautoriseerde toegang tot informatie. Welke van de volgende wachtwoorden zijn sterke wachtwoorden volgens het gemeentelijke wachtwoordbeleid? (Alles selecteren wat van toepassing is) Beheerder w3th0ud3r G3m33nt3 Janssen Geheim22 W@chtw00rd G3m33nt3s3cr3t@r!s 19. Worden binnen uw afdeling login codes en wachtwoorden gedeeld? O
Ja, om elkaars afwezigheid te kunnen opvangen
O
Nee, we delen deze gegevens niet
20. Maakt u uw persoonlijke wachtwoord(en) wel eens bekend aan andere medewerkers? O
Nee, ik houd mijn persoonlijke wachtwoord(en) geheim
O
Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend
O
Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend, maar wijzig het onmiddellijk nadat de noodzaak daarvoor is vervallen
21. Heeft een bekende u op het werk wel eens om uw persoonlijke wachtwoord gevraagd? O
Ja, en ik heb het toen ook gegeven
O
Ja, en ik heb het toen niet gegeven
O
Nee
22. Legt u uw wachtwoord(en) wel eens ergens vast (op papier, onder het toetsenbord of de muismat, in uw agenda, et cetera)? O
Nee, ik houd mijn wachtwoord(en) geheim
O
Ja, ik leg mijn wachtwoord(en) wel eens vast
O
Ja, ik leg mijn wachtwoord(en) wel eens vast, maar wel op een beveiligde manier
23. Maakt u wel eens gebruik van het persoonlijke account van een andere medewerker? O
Nee, ik maak alleen gebruik van mijn eigen account
O
Ja, maar alleen bij hoge uitzondering
O
Ja, dat doe ik regelmatig
24. Als iemand u een e-mail stuurt met een bijlage/link die niet aan werk gerelateerd is, hoe waarschijnlijk is het dat u deze opent? O
Niet waarschijnlijk
O
Mogelijk, afhankelijk van wat wordt verzonden
O
Zeer waarschijnlijk
O
Altijd
25. Als u uw werkplek voor langere tijd verlaat, bijvoorbeeld een lunch of meeting, zorgt u er dan voor dat anderen geen toegang kunnen krijgen tot uw computer? O
Ja, ik beveilig mijn computer (ga verder met vraag 26)
O
Nee, daarvoor doe ik niks (ga verder met vraag 28)
29
26. Hoe beveiligt u uw computer als u deze voor langere tijd verlaat? (Alles selecteren wat van toepassing is) Ik zet mijn monitor uit Ik log uit Ik zet de computer uit Ik maak gebruik van een met wachtwoord beveiligde screensaver 27. Een screensaver met wachtwoordbeveiliging kan u helpen bij de beveiliging van uw eigen werkplek. Wat vindt u van het nut van een dergelijke maatregel? O
Ik vind een screensaver alleen maar lastig
O
Het maakt mij niet uit
O
Ik vind een screensaver nuttig
O
Ik vind een screensaver nuttig, maar wil de instellingen wel zelf kunnen bepalen
28. Heeft uw werk betrekking op de volgende soorten informatie? (Alles selecteren wat van toepassing is) Persoonsgegevens van burgers Persoonsgegevens van medewerkers Financiële Informatie Gegevens met betrekking tot SUWI Gegevens uit het sociaal domein Geen van bovenstaande 29. Bij de gemeente is het niet toegestaan om vertrouwelijke informatie, zoals persoonsgegevens van burgers, via e-mail onbeveiligd over het internet te versturen. Verstuurt u wel eens vertrouwelijke informatie via e-mail onbeveiligd over het internet? O
Niet van toepassing, want ik heb niet te maken met vertrouwelijke informatie
O
Nee, dat doe ik nooit
O
Ja, maar alleen bij hoge uitzondering
O
Ja, dat doe ik regelmatig
30. U wordt gevraagd om informatie met onder andere namen en contactgegevens naar een andere gemeentelijke afdeling op te sturen. Wat is een geschikte methode voor het verzenden van deze informatie? (Alles selecteren wat van toepassing is) E-mailbericht Een door de gemeente beschikbaar gesteld uitwisselplatform Cloud, bijvoorbeeld Dropbox. Google Drive, Box of Microsoft OneDrive Telefoon Persoonlijk afleveren op papier of op een USB-stick Interne post 31. Elektronische en papieren documenten kunnen gevoelige persoonsgegevens bevatten, zoals burgerservicenummer (BSN), namen, gebruikerscodes, adressen et cetera. Welke uitspraak beschrijft het beste hoe deze documenten worden verwerkt binnen uw team? O O
Documenten worden niet in een speciale manier behandeld Documenten zijn onderworpen aan de interne procedures en het beleid om de vertrouwelijkheid te beschermen
30
32. Binnen de gemeente moet zorgvuldig worden omgaan met vertrouwelijke documenten, zoals dossiers van burgers. Dit betekent dat deze documenten zodanig moeten worden bewaard dat ze niet door onbevoegden kunnen worden ingezien of worden meegenomen. Gaat u zorgvuldig om met vertrouwelijke documenten? O O
Nee, ik houd mij niet aan deze regels Ja, ik ruim vertrouwelijke documenten altijd op, zodat onbevoegden hier niet bij kunnen
33. U slaat uw bestanden op uw bureaublad of op de harde schijf van uw computer op in plaats van op de gemeentelijke netwerkomgeving? Dit geldt zowel voor een werk als privécomputer of mobiel apparaat. O
Altijd
O
Soms
O
Zelden
O
Nooit
O
Ik weet het niet
34. Er staat geen informatie op uw computer of op de voor u toegankelijke gemeentelijke netwerkomgeving dat van enig belang is of waarde heeft voor anderen. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat. O
Zeer mee eens
O
Mee eens
O
Neutraal
O
Mee oneens
O
Zeer mee oneens
35. Hoe vaak neemt u informatie mee naar huis om daar thuis aan verder te werken met uw computer thuis? O
Bijna elke dag
O
Minstens één keer per week
O
Minstens één keer per maand
O
Nooit
36. Hoe vaak heeft u op afstand (remote) toegang tot de gemeentelijke gedeelde schijven, bestanden, toepassingen of uw e-mails? O
Bijna elke dag
O
Minstens een keer per week
O
Minstens een keer per maand
O
Nooit
37. U ontvangt een e-mail van [email protected]. Opent u een email waarvan u de persoon en organisatie niet kent om de inhoud ervan te bekijken. O
Nooit
O
Soms
O
Regelmatig
O
Altijd
31
38. U bent aan het surfen op het internet, opeens verschijnt een scherm waarin u wordt meegedeeld dat u een prijs heeft gewonnen. Het enige wat u daarvoor moet doen is een aantal persoonlijke vragen te beantwoorden. O
Daar doe ik nooit aan mee.
O
Daar doe ik soms aan mee, maar ik ben me bewust van de risico’s
O
Daar doe ik soms aan mee, hangt af van de prijs die ik kan winnen
O
Daar doe ik altijd aan mee
39. U wordt gewaarschuwd dat er nieuwe updates beschikbaar zijn voor het besturingssysteem van uw computer. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.Wat doet u? O
Ik installeer nooit updates voor mijn computer, omdat ik niet weet hoe dit moet
O
Ik installeer altijd de updates voor mijn computer
O
De updates worden automatisch geïnstalleerd
40. Maakt u een back-up van de gegevens op uw computer? Dit geldt zowel voor een werk als privécomputer of mobiel apparaat. O
Ik maak nooit een back-up van de gegevens op mijn computer
O
Als ik eraan denk maak ik een back-up van de gegevens op mijn computer
O
Ik maak iedere week een back-up van de gegevens op mijn computer
41. Controleert u tijdens het mobiel werken of u gebruik maakt van een veilige internetverbinding? O
Ik maak nooit gebruik van een openbaar wifinetwerk voor mijn werk
O
Ik maak nooit gebruik van een openbaar wifinetwerk
O
Ik maak soms gebruik van een openbaar wifinetwerk voor mijn werk
O
Ik maak gebruik van een openbaar wifinetwerk als er een beschikbaar is
Communicatie Voor informatiebeveiliging is communicatie van groot belang. Over de zorgvuldige omgang met vertrouwelijke informatie hebben wij u in het afgelopen jaar op verschillende manieren geïnformeerd. 42. We willen het personeel blijven informeren over het nut en de noodzaak van informatiebeveiliging. Wat is hierover uw mening? O
Ik vind deze activiteiten zinloos
O
Ik heb hierover geen mening
O
Ik vind deze activiteiten zinvol
43. Om de boodschap over informatiebeveiliging te verspreiden, zetten we verschillende communicatiemiddelen in. Op welke manier bent u iets over informatiebeveiliging te weten gekomen? (Alles selecteren wat van toepassing is) Brochure informatiebeveiliging Artikelen in Intranet Toelichting in het werkoverleg Posters Overig, namelijk ………………………………………………………………………..
32
44. Over welke onderwerpen die samenhangen met informatiebeveiliging wilt u nader worden geïnformeerd? ............................................................................................................................... ............................................................................................................................... ............................................................................................................................... ............................................................................................................................... 45. Heeft u naar aanleiding van deze enquête vragen, opmerkingen of suggesties? ............................................................................................................................... ............................................................................................................................... ............................................................................................................................... ............................................................................................................................... Wij danken u hartelijk voor uw medewerking! Uw gegevens worden in de uitslagen van de enquête anoniem verwerkt. De resultaten worden gebruikt om de communicatie over informatiebeveiliging verder vorm te geven.
33
Bijlage 3: Definities Corporate Information Security Officer (CISO): Onder CISO wordt de functionaris verstaan die bij een gemeente qua governance verantwoordelijk en aanspreekbaar is voor de informatiebeveiliging. De CISO is de gesprekspartners voor de teamleider van de IBD, voor beleidskwesties en voor eerste escalaties. De CISO is of wordt aangewezen door het management van de gemeente. In alle gevallen geldt dat het rollen betreft, en back-ups dus afdoende vastgelegd moeten zijn. Hoax:18 In de computerwereld wordt het woord in het bijzonder gebruikt voor een vals gerucht, een bewering die niet waar is en per e-mail wijde verspreiding vindt. In deze betekenis begint het ook in andere talen door te dringen. Het betreft hier meestal zeer bijzondere aanbiedingen (onder meer het beloven van grote sommen geld), reddingsacties van zieke kinderen (waardoor iemand een telefoon roodgloeiend had staan) of een aankondiging van een uitzonderlijk gevaarlijk computervirus. Het bericht gaat meestal vergezeld van de oproep om het bericht vooral toch onbeperkt naar iedereen door te sturen. Keyboard-loggers: Met een keyboard-logger wordt in dit geval een toetsenbordstekker bedoeld die tussen het toetsenbord en de pc wordt gestoken. Deze keyboard-loggers slaan alle toetsaanslagen op, en daarmee ook de ingetoetste gebruikersnamen en wachtwoorden. Er bestaan ook softwarematige keyboard-loggers. Een tegenmaatregel tegen fysieke keyboard-loggers is om regelmatig aan de buitenkant van de pc de toetsenbord aansluiting te controleren. De meeste antivirussoftware herkent de meeste softwarematige keyboard-loggers. Malware:19 is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een samenvoeging van het Engelse malicious software (kwaadwillende software). Malware wordt gedefinieerd door middel van zijn kwaad opzet. Phishing: Bij phishing wordt gebruik gemaakt van een e-mail waarbij de eindgebruiker wordt verleid om zijn gebruikersgegevens, waaronder het wachtwoord, in te vullen op een malafide website. Tegenmaatregelen die kunnen helpen zijn: gebruikmaken van een goede up-to-date antivirusscanner en er dient aandacht te zijn voor het openen van e-mailbijlagen in bewustwordingscursussen. Post-it briefjes: Wachtwoorden worden soms op briefjes opgeschreven en aan de monitor geplakt, of onder het toetsenbord of op een andere onveilige plaats bewaard. Dit dient geadresseerd te worden in bewustwordingscursussen. Shoulder surfing: Meekijken met het invoeren van wachtwoorden. Een tegenmaatregel is dat men zich bewust moet zijn van deze vorm van een aanval en dat men het meekijken over de schouder voorkomt. Social engineering20: Is een techniek waarbij een kwaadwillende een aanval tracht te ondernemen door de zwakste schakel in de beveiliging, namelijk de mens, te kraken. De aanval is 18 19 20
erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de kwaadwillende dichter bij het aan te vallen object/doel kan komen. Spam:21 is een verzamelnaam voor ongewenste berichten en is ook bekend als Unsolicited Commercial E-mail en Unsolicited Bulk E-mail. Onder deze term vallen ongewenste e-mails en reclameboodschappen op websites.
21
http://nl.wikipedia.org/wiki/Spam_%28post%29 35
Bijlage 4: Literatuur/bronnen Voor deze publicatie is gebruik gemaakt van onderstaande bronnen: Titel: SP 800-50 -Building an Information Technology Security Awareness and Training Program Wie: National Institute of Standards and Technology(NIST) Datum: oktober 2003 Link: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf Titel: Diverse documenten Wie: Informatiebeveiliging in de zorg - Werken met NEN 7510 Datum: 2012 Link: https://www.werkenmetnen7510.nl/ Titel: Security awareness in de praktijk Wie: Platform voor InformatieBeveiliging (PVIB) Datum: juni 2007 Link: https://www.pvib.nl/download/?id=6474256&download=1 Titel: Security Awareness bij outsourcing Wie: Platform voor InformatieBeveiliging (PVIB) Datum: juni 2007 Link: https://www.pvib.nl/download/?id=6474253&download=1 Titel: Het meten van informatiebeveiligingsbewustzijn Wie: Platform voor InformatieBeveiliging (PVIB) Datum: juni 2007 Link: https://www.pvib.nl/download/?id=6474235&download=1
