NAVI Handreiking Security.indd
advertisement
Bewust Vitaal Een handreiking voor het ontwikkelen van een Security Awareness programma 2 Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen. Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en digitale dreigingen. Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren: Veilig platform voor informatie-uitwisseling Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen. Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken. Aanbieden van kennis en expertise Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank. Nationaal en internationaal contactpunt Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en buitenland, als bedrijven. Voor meer informatie over het NAVI kunt u terecht op de website: www.navi-online.nl 3 4 Inhoudsopgave Inhoudsopgave 5 1. Inleiding 9 1.1. Definities 1.2.Wat is een Handreiking Security Awareness 9 10 1.3. Waarom deze handreiking 10 1.4.Voor wie is deze handreiking 10 1.4.1. Volwassenheidsniveaus 10 1.4.2. Volwassenheidsniveaus van de doelgroep 11 1.4.3. Stadia van bekwaamheid en bewustzijn van medewerkers 11 1.4.4. Doelgroep (on)bekwaam en (on)bewust 12 1.5.Relatie met andere literatuur 13 1.6.Verbeteringen na het eerste openbare concept 13 1.7. Leeswijzer 14 2. De componenten van SA: Training, bewustzijn en opleiding 17 2.1.Is veiligheid wel belangrijk? 17 2.2.Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma 17 2.3.Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie 18 2.4.Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding 18 2.5.Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen 18 2.6.Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis 19 2.7. Een bewustwordingsprogramma is op maat gesneden 19 2.8.Een bewustwordingsprogramma bevat alle psychologische componenten 19 3. Fase 1: De ontwerpfase 21 3.1.Inleiding 21 3.2.Structureren van een programma 21 3.3.Belangen- en behoeftebepaling op basis van een risicoanalyse 22 3.4.Opstellen van een plan 23 3.5.Zet enthousiaste medewerkers in 24 3.6.Stellen van prioriteiten 24 3.7. Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk. 24 3.8.Commitment en draagvlak bij zowel management als medewerkers 25 3.9.Budgettering 25 4. Fase 2: De ontwikkeling van materiaal 27 4.1.Inleiding 27 4.2.Selecteren van onderwerpen voor bewustwording 27 4.3.De vorm van het bewustwordingsmateriaal 28 4.4.Bronnen voor materiaal 28 4.5.YouTube als informatiebron 29 4.6.Uitbesteden of zelf doen? 29 4.7. Partnerschap met soortgelijke organisaties 29 5 5. Fase 3: De implementatiefase 31 5.1.Wijze van communiceren 31 5.2.Technieken om de boodschap over te brengen 31 5.3.Management en communicatie 32 5.4.Sancties en beloningen 32 6. Fase 4: De evaluatie- en onderhoudsfase 35 6.1.Meten van de deelname en de effectiviteit 35 6.2.Evaluatie en feedback 36 6.3.Veranderingen in het bewustwordingsprogramma doorvoeren 36 6.4.Verhogen van het niveau van het bewustwordingsprogramma 37 6.5.Commitment van het management 37 6.6.Meerjarenplanning 38 7. Social Engineering als nul-meeting 41 7.1. Inleiding 41 7.2. Social Engineering en psychologie 41 7.3. Wederkerigheid: het aloude geven en nemen… en nemen 42 7.4.Commitment en consistentie: innerlijke spookbeelden 42 7.5. Sociale bewijskracht 42 7.6. Sympathie: de vriendelijke dief 43 7.7. Autoriteit 43 7.8.Schaarste: de regel van het tekort 43 Bijlage: Voorbeelden 45 Voorbeeld 1: Enkele voorbeelden van posters 45 Voorbeeld 2: Een bewustwordingstoolkit 45 Voorbeeld 3: NAVI coördineert uitwijkoefening Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven Literatuuroverzicht 6 47 48 51 7 8 1. Inleiding Voor u ligt ‘Bewust Vitaal’, de handreiking Security Awareness (SA) van het NAVI. Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een bewustwordings- of Security Awareness (SA) programma. Het bevat naast een stappenplan ook een plan van aanpak, een voorbeeld van een meerjarenplanning en veel creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen. De eerste paragraaf behandelt in het kort de definities van veiligheid en bewustzijn. Verder wordt beschreven waarvoor en voor wie deze handreiking bedoeld is en hoe deze gebruikt kan worden. Er wordt ingegaan op de achtergrond van dit document en de relatie met andere literatuur. Tot slot worden verbeteringen behandeld die zijn aangebracht op het eerste openbare concept van de handreiking die eind 2008 is gepubliceerd. 1.1. Definities Deze handreiking beschrijft de activiteiten om te komen tot een bewustwordings- of Security Awareness programma (het proces). Het bewustwordingsprogramma moet leiden tot bewustzijn (het beoogde doel). Zoals met veel begrippen, circuleren ook voor het begrip “beveiligingsbewustzijn” en “veiligheid” veel verschillende definities. Hieronder zijn gangbare definities opgenomen van begrippen die in deze handleiding gebruikt worden. Veiligheid is de mate van: -- afwezigheid van potentiële oorzaken van een gevaarlijke situatie of -- aanwezigheid van beschermende maatregelen tegen deze potentiële oorzaken. Beveiligingsbewustzijn is de mate waarin elke medewerker: -- het belang van beveiliging voor de organisatie begrijpt; -- het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is begrijpt en er ook naar handelt. Veiligheidsbewustzijn heeft dus te maken met het besef van het bestaan van gevaar en hoe dit is af te wenden of de kans erop zo klein mogelijk te houden. Dit besef ontstaat door herhaling van de boodschap en door herhaalde versterking (conditionering). Social Engineering (SE): Het misleiden van mensen door middel van list, bedrog en psychologische trucs met het doel (vertrouwelijke) informatie te verkrijgen. Bij SE wordt de mens als zwakste schakel in de beveiliging gezien. Door de mens te misleiden kunnen technische en fysieke beschermingsmaatregelen omzeild worden. Bruce Schneier; Beyond fear Over the last years we’ve become obsessed with security, and put in place a whole host of policies and procedures that will do... exactly what? The key is to think of security not in absolutes, but in terms of sensible trade-offs, whether on a personal or global scale. Security yes, but down to earth, without the mumbo jumbo, without shouting in utter Panic: “Barbarians at The Gate”. Boodschap: overdrijf niet en zorg voor afweging tussen veiligheid en werkbaarheid. 9 1.2. Wat is een Handreiking Security Awareness? De Handreiking Security Awareness is een hulpmiddel bij de totstandkoming van een bewustwordingsprogramma. Het neemt degene die verantwoordelijk is gesteld mee in zijn proces om problemen te onderkennen, doelen te definiëren en oplossingen te creëren. Het is nadrukkelijk geen keurslijf, geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat laatste wordt overgelaten aan de creativiteit van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven. 1.3. Waarom deze handreiking? Het NAVI heeft ervaren dat er een grote diversiteit bestaat in de mate waarin bedrijven binnen de vitale sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn voorwaarden voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen en de achtergronden van de genomen maatregelen, zal zijn houding en gedrag ten opzichte van security en het naleven van de maatregelen positief beïnvloed worden. De handreiking Security Awareness is een hulpmiddel voor bedrijven uit de vitale infrastructuur om een gedegen bewustwordingsprogramma op te zetten waarin de stappen om medewerkers bewust te maken worden opgenomen. 1.4. Voor wie is deze handreiking? Om aan te geven voor wie deze handreiking bedoeld is wordt in deze paragraaf ingegaan op de volwassenheidsniveaus van bedrijven, de volwassenheidsniveaus van de doelgroep en de stadia van bekwaamheid en bewustzijn van de medewerkers. SE als nul-meeting U wilt weten hoe het gesteld is met het naleven van veiligheidsmaatregelen in uw organisatie? Overweeg dan eens te starten met een security audit die gebaseerd is op Social Engineering (SE). Hierbij proberen auditors door middel van list en psychologische trucs om uw medewerkers (per telefoon of op locatie) te verleiden af te wijken van veiligheidsprocedures en vertrouwelijke informatie te verstrekken of toegang te verlenen tot locaties, netwerken en archieven. Zo komt u er ook achter of ongenode gasten mee kunnen liften bij de toegang tot het pand. Deze auditors tonen op deze manier aan tot welke vertrouwelijke informatie of (proces)systemen zij toegang kunnen krijgen. Lees meer over Social Engineering en het gebruik van psychologische trucs om medewerkers te misleiden in hoofdstuk 7. 1.4.1. Volwassenheidsniveaus Bedrijven kunnen worden ingedeeld in de verschillende volwassenheidsniveaus. De mate van “volwassenheid” kan op hoofdlijnen worden onderverdeeld in drie niveaus, variërend van laag tot middel tot hoog. De situaties die bij de onderstaande volwassenheidsniveaus beschreven worden, hoeven niet allemaal voor te komen of in dezelfde mate aanwezig te zijn; het is slechts een methode om te komen tot een globale indeling. Volwassenheidsniveau Laag: -- Bedrijven hebben geen strategisch beleid en/of structureel budget voor een bewustwordingsprogramma. -- Er is nog geen of slechts incidenteel een bewustwordingsprogramma gerealiseerd. -- De verantwoordelijkheid voor het uitvoeren van een bewustwordingsprogramma is niet of slechts beperkt belegd bij een daarvoor aangewezen medewerker. -- Opvolging van een eerder uitgebracht programma strandt door het ontbreken van beleid, budget en/of creativiteit. -- Incidentregistratie wordt niet of niet volledig uitgevoerd. 10 Volwassenheidsniveau Middel: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker van het bedrijf. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de incidenten die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers, maar heeft moeite om voortdurend aandacht te blijven vragen voor het onderwerp beveiligingsbewustwording. -- Budgetten staan onder druk, de relatie naar een verlaging van het aantal incidenten is niet duidelijk of er zijn andere oorzaken, waaronder een gebrek aan creativiteit. Volwassenheidsniveau Hoog: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker of een afdeling van het bedrijf. -- Over de stand van zaken wordt regulier gerapporteerd aan het management. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. -- De bewustwordingsprogramma’s maken gebruik van vernieuwende en creatieve middelen en zijn daardoor in staat de aandacht van de medewerkers voor beveiligingsissues vast te houden. -- Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat beveiligingsbewust te handelen in alle voorkomende situaties. 1.4.2. Volwassenheidsniveaus van de doelgroep Deze handreiking Security Awareness richt zich op (security managers van) bedrijven die zich qua “volwassenheid” op de niveaus Laag of Middel bevinden, dus bedrijven die een bewustwordingsprogramma willen starten of een bestaand programma willen uitbreiden. Aan de hand van korte casusbeschrijvingen zal de ervaring van bedrijven die zich op het volwassenheidsniveau Hoog bevinden, worden meegenomen; deze korte beschrijvingen worden in de tekstblokken weergegeven. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt ook bij tot het uitdragen van kennis, ervaring en creativiteit. 1.4.3. Stadia van bekwaamheid en bewustzijn BEKWAAM van medewerkers 1 Medewerkers maken bij het doorlopen van 4 het bewustwordingsprogramma, een groei door tot een veilige medewerker via een viertal stadia. Hierin zijn twee aspecten van belang: (on)bewustzijn en (on)bekwaamheid die met elkaar verbonden zijn volgens de hiernaast getoonde diagram. ONBEWUST BEWUST 2 3 ONBEKWAAM Figuur: De stadia van bewustzijn 11 Kenmerkend voor een lage mate van beveiligingsbewustwording is dat mensen fouten maken zonder dat zij zich er van bewust zijn (stadium 1. Onbewust onbekwaam). In dit stadium worden veel fouten gemaakt. Indien er binnen de organisatie een regeling is om fouten te rapporteren, zal blijken dat er vaak geen oorzaak van kan worden vastgesteld. Het is echter aannemelijker dat fouten helemaal niet herkend worden en dat het bedrijf er zich dus niet van bewust is dat (vertrouwelijke) informatie verloren gaat of er grote risico’s gelopen worden. Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en te laten ervaren waarom dit handelen als fout getypeerd wordt (stadium 2. Bewust onbekwaam). In dit stadium kunnen medewerkers zich realiseren dat hun gedrag potentieel gevaarlijk is voor de veiligheid van de organisatie. Het is daarom noodzakelijk dat de organisatie uitstraalt dat gemaakte fouten niet bestraft worden, maar gebruikt worden om toekomstig gedrag te verbeteren en daardoor de veiligheid te vergroten. Aan dit belangrijke cultuuraspect wordt in komende hoofdstukken nader aandacht besteed. Nadat het de medewerkers duidelijk is wat fout gedrag is, kan hen het juiste gedrag aangeleerd worden. De medewerker wordt zich bewust van de risico’s van zijn gedrag en handelt zoals hem dit wordt aangeleerd (stadium 3. Bewust bekwaam). De medewerker kan nu veiligheidsbewust handelen, maar hij zal in dit stadium nog steeds moeten nadenken om dit te realiseren. Langzamerhand zal het aangeleerde gedrag en het besef van de onderliggende risico’s, leiden tot een meer natuurlijk gedrag van de medewerkers. Strenge maatregelen bij bewust overtreden van voorschriften Bruce Schneier: “Fire someone who breaks security procedure, quickly and publicly. That’ll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it.” In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij herkent verdachte situaties en handelt in overeenstemming met wat hem is geleerd. Hij is in staat om het aangeleerde ook in andere vergelijkbare situaties toe te passen zonder dat hij daarbij bewust moet nadenken (stadium 4. Onbewust bekwaam). Een alternatieve maar krachtige manier om de eerste twee stadia te omschrijven is: -- wie niets weet en weet dat hij niets weet -- weet veel meer dan iemand -- die niets weet en niet weet dat hij niets weet. 1.4.4. Doelgroep (on)bekwaam en (on)bewust Deze handreiking richt zich op een bewustwordingsprogramma dat gericht is op medewerkers die onbewust onbekwaam zijn (nog niet weten dat zij fouten maken) of al bewust onbekwaam zijn (weten dat zij fouten maken). Voor beide doelgroepen geldt dat zij door middel het programma gebracht worden naar de situatie waarin zij weten hoe gehandeld moet worden, waar de risico’s liggen en dat ten minste bewust uitvoeren (dus bewust bekwaam zijn). 12 1.5. Relatie met andere literatuur Bewustwordingsprogramma’s zijn er in vele geuren en kleuren. Ze hebben allemaal gemeen dat ze geschreven zijn voor een bepaald bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en risico’s. Bewustwordingsprogramma’s kunnen daarom niet zonder meer worden gekopieerd van andere bedrijven maar moeten dus vaak zelf ontwikkeld of aangepast worden. Handleidingen om te komen tot de ontwikkeling van een bewustwordingsprogramma die zich specifiek richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet. Natuurlijk is er wel veel over geschreven in diverse publicaties, maar de benodigde informatie is te verspreid om een eenduidig beeld te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. In het literatuuroverzicht zijn voorbeelden opgenomen van publicaties die waardevolle aanvullende informatie kunnen geven. De handreiking SA van het NAVI is niet hetzelfde als het NCTb-programma “Zeker van je Zaak” dat in oktober 2009 is gepresenteerd. De handreiking en het programma richten zich op verschillende niveaus binnen de organisatie maar vullen elkaar daardoor prima aan. Meer informatie over het NCTB-programma staat in de bijlage met voorbeelden. 1.6. Verbeteringen na het eerste openbare concept Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de ontwikkeling van deze handreiking is begonnen in 2008. De vervolgstap, namelijk het verwerken van het binnengekomen commentaar tot een breder gedragen en toepasbare handreiking heeft inmiddels plaatsgevonden. Uit de commentaren is gebleken dat de (concept) handreiking op hoofdlijnen en in de details voldoet aan een behoefte. Op een aantal onderwerpen is meer diepgang gewenst, of is het wenselijk om meer en uitgebreidere voorbeelden te geven. Verder is de behoefte geuit om aan te geven hoe een bewustwordingsprogramma kan worden opgenomen in een meerjarenplanning of als “doorlopend” programma in stand kan worden gehouden. De uitwerking van dit onderwerp wordt in het hoofdstuk 6 (Evaluatie- en onderhoudsfase) beschreven. It is not my problem Professionals en hun organisaties zijn bereid om grote investeringen te doen om technische maatregelen te implementeren (techniek): veelal de eerste volwassenheidsfase. Professionals komen er achter dat techniek alleen niet genoeg is. Procedures dienen volledig te zijn, gecommuniceerd te worden – kortom: beveiliging dient georganiseerd te worden. De tweede volwassenheidsfase. En als het dan georganiseerd is, en de techniek is afgesteld, dan blijkt veelal dat mensen ‘het gewoon niet zo doen’. En Nederlanders al helemaal niet. Nederlanders hebben een hekel aan beveiligingsmaatregelen: “Waar is het voor nodig?”, “Hier gebeurt nooit wat”, “Laten ze maar eerst bij zichzelf beginnen” en andere uitvluchten, samen te vatten tot “It Is Not My Problem”. Bron: Lezing van het Platform voor Informatiebeveiliging Het mag duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is. Toch is gebleken dat deze handreiking generiek toepasbaar is ook al leidt het opzetten van een bewustwordingsprogramma tot een totaal verschillend resultaat per bedrijf of vitale sector. 13 Het poldermodel in security Veiligheidsregel van bedrijven worden soms onbewust maar ook regelmatig bewust overtreden. In tegenstelling tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen mening omtrent security ook toe te passen in de bedrijfsomgeving. Regels waarvan nut en noodzaak niet bekend zijn of niet onderschreven wordt, worden dan bewust niet opgevolgd. Bij het opzetten van een programma moet daarom niet alleen op de focus op de inhoud liggen, maar ook op de noodzaak van het opvolgen van veiligheidsregels en de sancties/ consequenties van het overtreden van de regels. 1.7. Leeswijzer Deze paragraaf geeft de lezer een handvat om de handreiking makkelijker te gebruiken. Het beschrijft, als aanvulling op de inhoudsopgave, in welk hoofdstuk welke onderwerpen aan de orde komen en hoe die in het proces van het komen tot een bewustwordingsprogramma passen. In deze handreiking worden vier kritische fasen onderkend om te komen tot een bewustwordingsprogramma. Nadat in het hierna volgende Hoofdstuk 2 de componenten van SA: training, bewustzijn en opleiding worden beschreven, worden deze vier fasen behandeld; 1.De ontwerpfase waarin het doel en de behoefte wordt bepaald en waarin een strategie wordt ontwikkeld (hoofdstuk 3); 2.De ontwikkeling van trainingsmateriaal, afgestemd op de mogelijkheden, het budget en de beschikbare kennis (hoofdstuk 4). In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc; 3. De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 5); 4. Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 6). In hoofdstuk 7 wordt gedetailleerder ingegaan op een methode om door middel van Social Engineering een nul-meting te houden. Deze vorm van security audit kan op heldere manier duidelijk maken waar het veiligheidsbewustzijn van mensen tekortschiet en leidt tot ‘onveilig’ gedrag. In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder voorbeelden van posters en een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan onbekende personen. In de gekleurde tekstboxen die her en der in het document zijn opgenomen, vindt u steeds voorbeelden van creatieve oplossingen van bedrijven of andere relevante informatie. In een aantal tekstboxen wordt Bruce Schneier geciteerd. Schneier is een autoriteit op het gebied van (informatie)beveiliging, is auteur van een groot aantal boeken over dit onderwerp en staat vooral bekend om zijn pragmatische insteek bij het oplossen van problemen. 14 15 16 2. De componenten van SA: Training, bewustzijn en opleiding In dit hoofdstuk wordt besproken uit welke componenten een goed bewustwordingsprogramma is opgebouwd en hoe de verschillende componenten van een succesvol SA programma zich tot elkaar verhouden. 2.1. Is veiligheid wel belangrijk? Hoe is het gesteld met het aspect veiligheid in het bedrijf? Is het wel een belangrijk onderwerp en op grond waarvan wordt dat geconstateerd? Om deze vraag goed te kunnen beantwoorden kunnen een aantal basisvragen gesteld worden: -- Staat het onderwerp veiligheid permanent op de agenda van de directie? -- Is er iemand verantwoordelijk gesteld voor veiligheid (Security Officer)? Zo ja, zit deze persoon hoog genoeg in de organisatie en adviseert hij rechtstreeks aan de directie? -- Is de naleving van veiligheidsgerelateerde maatregelen onderwerp van het periodieke functioneringsgesprek? -- Wordt de aandacht voor veiligheid (naar belang) verdeeld over alle gebieden (productieveiligheid, fysieke veiligheid, ICT-veiligheid, personele veiligheid, etc.)? -- Wordt er over veiligheid actief gecommuniceerd in bijvoorbeeld het bedrijfsblad? Als de antwoorden op deze vragen leiden tot een beeld dat veiligheid kennelijk meer in woorden dan in daden beleden wordt, dan is het zaak om zich initieel in een bewustwordingsprogramma te richten op het management. De directie moet er van bewust gemaakt worden dat veiligheid hoger, veel hoger, op de agenda moet komen te staan. Als antwoorden op deze vragen leiden tot een beeld dat veiligheid wél belangrijk is, dan kan het bewustwordingsprogramma zich richten op de medewerker. De directie zal in dat geval wel regelmatig het beeld uitdragen dat grote waarde wordt gehecht aan veiligheid. KSF1 : Het thema veiligheid heeft in de organisatie topprioriteit en is in de organisatie geborgd. Informele organisatie De socioloog Erving Goffman beschrijft in zijn boek The Presentation of Self in Everyday Life op fascinerende wijze de manier waarop we blijven geloven dat de mens zich schikt naar de formele realiteit: De wetten, de regels, de Security Policies, de bewustwordingstrainingen, de seminars, etc. Er bestaat echter een informele, vaak ontkende organisatie, waarin, zelfs in autoritaire instituties met “total control” (gevangenissen, psychiatrische ziekenhuizen, het leger, religieuze ordes), mensen hun weg vinden om regels te buigen en hun eigen realiteit te creëren om drugs, alcohol, sex, sigaretten etc. te bemachtigen. Dit buigen van regels is menselijk en gebeurt in elke organisatie. Het is aan te raden om met deze informele organisatie rekening te houden bij het formuleren van (soms complexe) veiligheidsprocedures. 2.2. Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen: -- een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd is op de bestaande en onderkende risico’s; -- een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security Plan (OSP)2 ; -- medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in beveiligingsdocumentatie en procedures; -1 2 processen die het programma periodiek impulsen geven, bewaken en evalueren. KSF; Kritische Succes Factor, een voorwaarde voor het slagen van een programma. Voor hulp bij het opstellen van een SMS en een OSP heeft het NAVI handreikingen gemaakt. Deze zijn te downloaden van de website van het NAVI (www.navi-online.nl). 17 Een effectief bewustwordingsprogramma sluit aan bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte instructiemateriaal is gebaseerd op de strategie en beveiligingsplannen van de organisatie, alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit bij de belevingswereld van de medewerkers. 2.3. Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie Een bewustwordingsprogramma richt zich niet alleen op de medewerker op de werkvloer maar op alle medewerkers van een organisatie, inclusief de beheerders en het (top)management. Het management heeft daarbij de bijzondere taak om voorbeeldgedrag te vertonen. Goed voorbeeldgedrag is een noodzaak om te communiceren dat het management de navolging van veiligheidsregels belangrijk vindt en onderschrijft. Slecht voorbeeldgedrag van het management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te hoeven leven. De effectiviteit van een bewustwordingsprogramma is hier in grote mate van afhankelijk. KSF: De betrokkenheid en het goede voorbeeldgedrag van alle niveaus, maar met name van het management, is een voorwaarde voor het slagen van een bewustwordingsprogramma. 2.4. Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding Veiligheidsvoorschriften en procedures zijn vaak voor alle medewerkers beschikbaar, op het Intranet of fysiek als bundel in een archiefkast. Instructie over nut en noodzaak en de beoefening van de procedures wordt echter vaak achterwege gelaten of overgelaten aan de medewerker zelf. De medewerker krijgt in dat geval opdracht om zich de procedures zelf eigen te maken, maar zal daar geen prioriteit aan geven. Impliciet wordt dit ook vaak door het bedrijf geaccepteerd (zie ook §2.2 Is veiligheid wel belangrijk?). Een bewustwordings- , opleidings- en trainingsprogramma is essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van veiligheidsmaatregelen. 2.5. Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een sanctiemodel indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van deze maatregelen en weten welke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen. Praatje, plaatje, daadje Hoe blijft de boodschap het beste hangen? De volgende wijsheid kan daarbij helpen: “Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden. Laat het me doen en ik zal het begrijpen.” 18 2.6. Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd. 2.7. Een bewustwordingsprogramma is op maat gesneden Voor een deel van de medewerkers volstaat een algemeen bewustwordingsprogramma alleen niet. Medewerkers die specifieke of specialistische kennis op het gebied van beveiliging nodig hebben, volgen veelal een externe opleiding die in veel gevallen zal leiden tot certificering. Op de Nederlandse markt is een groot aantal aanbieders van internationaal erkende opleidingen actief die opleiden tot een eveneens internationaal bekende en erkende titel. 2.8. Een bewustwordingsprogramma bevat alle psychologische componenten Een goed bewustwordingsprogramma richt zich op alle relevante psychologische componenten: kennis (d.m.v. interne of externe opleidingen), houding (bewustzijn en competenties) en gedrag (d.m.v. herhaalde oefening en training). Indien aan één van deze drie componenten niet of onvoldoende aandacht wordt besteed, functioneert een bewustwordingsprogramma niet naar behoren en is het op termijn gedoemd te mislukken. 19 20 3. Fase 1: De ontwerpfase In de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en moet een strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van een bewustwordings- en trainingsprogramma: 1. het ontwerp van het programma zelf; 2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken; 3. de feitelijke implementatie van het programma. Vervolgens is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt bewustwordings- en trainingsprogramma vergt een behoorlijke inspanning voordat het daadwerkelijk de veiligheid en de waakzaamheid vergroot binnen een organisatie. Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het ontwerp van een programma. Gebruik eenvoudige maar effectieve hulpmiddelen Dwingt uw netwerk af dat er gebruik wordt gemaakt van sterke, cryptische wachtwoorden (3 van de 4 mogelijkheden van grote en kleine letters, cijfers en leestekens) om ontdekking te voorkomen? In veel gevallen wordt het wachtwoord dan “Piet2009”. Het voldoet aan de regels maar is het ook veilig genoeg? Op het Internet zijn voldoende handleidingen te vinden om veilige wachtwoorden te maken. Gebruik ze binnen uw bedrijf en ondersteun veilige wachtwoorden m.b.v. een tool die de kwaliteit weergeeft in kleuren of cijfers. 1VpK=/Zm (Een veilig password kiezen is niet zo moeilijk) 3.1. Inleiding Een bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een bewustwordingsprogramma zal alleen voldoende aandacht krijgen als het in overeenstemming is met de missie, de directe belangen of de veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en passen binnen zijn cultuur. De meest succesvolle programma’s zijn die, waarbij gebruikers ook daadwerkelijk ervaren dat de onderdelen bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook nadrukkelijk onderkennen). Iets wat als wezensvreemd wordt ervaren wordt nooit uitgevoerd! In de ontwerpfase worden de te beveiligen belangen en behoeften vastgesteld, de hiervoor relevante onderwerpen en prioriteiten geïdentificeerd en vervolgens zaken als draagvlak, commitment en budget onderzocht en bepaald. 3.2. Structureren van een programma Bij het bepalen van de structuur van een programma, kan gebruik worden gemaakt van drie basismodellen, die voornamelijk verschillen in de wijze waarop centraal of decentraal uitvoering wordt gegeven aan het programma. Voor alle modellen geldt dat het beleid zelf centraal is vastgesteld. De modellen zijn: Model 1: Gecentraliseerde strategie en uitvoering; Model 2: Gecentraliseerde strategie en decentrale uitvoering; Model 3: Decentrale strategie en uitvoering. De keuze voor het model wordt bepaald door: -- de geografische spreiding van onderdelen van de organisatie; -- de functie, taken en verantwoordelijkheden van een (deel)organisatie; -- de toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten). 21 De keuze voor een bepaald model dient bij voorkeur te sporen met hetgeen in de reguliere bedrijfsvoering van de organisatie gebruikelijk is. Een geheel gedecentraliseerde uitvoering van bewustwording binnen een voor het overige volledige centraal geleide organisatie of vice versa zal weinig succesvol zijn. Dit is roeien tegen de stroom in. 3.3. Belangen- en behoeftebepaling op basis van een risicoanalyse Aan een beveiligingsstrategie ligt een effectieve risicoanalyse ten grondslag. Hierin worden de belangen en bedreigingen van de organisatie geïdentificeerd. De NAVI-handreiking Risicoanalyse kan hierbij behulpzaam zijn3. Op basis van deze belangenanalyse dient vervolgens een behoeftebepaling plaats te vinden. Dit is een proces waarin bepaald wordt in welke mate een organisatie (ook) behoefte heeft aan een bewustwordingsprogramma in het kader van zijn beveiliging. Hierin wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld, maar ook wat voor de overbrugging daarvoor noodzakelijk is. De mate van bewustzijn binnen de organisatie en daarmee de behoefte wordt bepaald door het bevragen van verschillende groepen medewerkers: -- Strategisch management; -- Management verantwoordelijk voor beveiliging (fysiek e/o IT); -- Beveiligingsfunctionarissen, zowel management als uitvoering; -- Systeemeigenaren en administrators; -- Operationele managers en uitvoerders. Om de behoefte te bepalen kan gebruik worden gemaakt van o.a. diverse technieken: -- Interviews met bovenstaande groepen; -- Onderzoek naar bestaande bewustwordings- en trainingsprogramma’s, trainingsschema’s en deelnemerslijsten; -- Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en –procedures; -- Incidentregistratie en de afhandeling; -- Trends in vakbladen; -- Wijziging in wet- en regelgeving; -- Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op beveiligingsgebied); -- Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT. Bang voor illegale USB-sticks? Meer dan 50% van mensen die een USB-stick vindt, brengt zijn computer in gevaar door ze aan te sluiten. Misschien bent u wel 1 klik verwijderd van een groot netwerkprobleem. Is het binnen uw bedrijfsnetwerk mogelijk om gebruik te maken van organisatie-vreemde usb-sticks? Overweeg dan eens om een test uit te voeren met een zogenaamde honeystick. Hierbij worden door de organisatie geprepareerde USB-sticks schijnbaar achteloos achtergelaten binnen en/of buiten het bedrijf. Zodra een USB-stick aangesloten wordt op het bedrijfsnetwerk, wordt automatisch een verbinding tot stand gebracht met een systeem dat de USB-stick en de gebruiker registreert en de gebruiker vervolgens op de hoogte brengt van de overtreden veiligheidsregel. Voor meer informatie zie: http://honeystickproject.com Meetbare gegevens zoals de registratie van incidenten en de namen en aantallen deelnemers aan trainingen geven een objectief inzicht in de stand van zaken en de behoefte voor evaluatie van een bestaand programma. Analyse van de resultaten van de interviews en onderzoeken moet leiden tot beantwoording van de volgende vragen: -- Wat is de behoefte aan een bewustwordings- en trainingsprogramma of opleiding? -- Op welke manier wordt op dit moment voorzien in de behoefte en hoe effectief is dit? 22 3 Deze is te downloaden van de NAVI-website www.navi-online.nl -- Wat is het verschil tussen de behoefte en wat momenteel wordt gerealiseerd (gap-analyse)? -- Welke onderwerpen wordt als het meest kritisch gezien? -- Langs welke weg kan de wenselijke situatie het best worden bereikt? In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten de bedrijfscultuur een hindernis vormt, of de capaciteit en kwaliteit van het IT-netwerk van de organisatie een Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te onderzoeken of een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken naar een externe locatie, enzovoort. Medisch Centrum zet bewakingspersoneel in Bij het uitvoeren van een bewustwordingsprogramma zag een Medisch Centrum zich voor de uitdaging gesteld om ook de avond- en nachtdienst van de verpleging te bereiken. Het betreffende MC heeft daarvoor de beveiligers opgeleid die tijdens hun rondes en de pauzes van de verpleging op de afdelingen actuele beveiligingsonderwerpen bespraken. Het resultaat was een duidelijke stijging in het aantal meldingen van verdachte situaties en een verlaging van het aantal diefstallen. 3.4. Opstellen van een plan Nadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat de basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende onderwerpen: -- De formele basis voor het programma met bestaande wet- en regelgeving, aangevuld met bedrijfseigen beleid en richtlijnen; -- De aansturing van het programma en de inbedding in de managementlijn; -- De scope van het programma; -- De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de ontwikkeling en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die betrokken zijn bij de uitvoering van het programma; -- Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training, opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten; -- Bepaling van de doelgroepen voor de onderdelen van het programma; -- Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname; -- Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma; -- Wijze van communiceren (CBT, instructielokaal, presentatie, posters, etc.); -- Documentatie, terugkoppeling en registratie van deelname; -- Wijze waarop de resultaten van het programma worden verankerd in de reguliere bedrijfsvoering en hoe aan onderhoud daarvan verder uitvoering kan worden gegeven; -- Hoe evaluatie van en nazorg vanuit het programma zal plaatsvinden. 23 3.5. Zet enthousiaste medewerkers in In ieder bedrijf zijn mensen te vinden die een gevoel hebben bij veiligheidsaspecten, die risico’s of risicovolle situaties herkennen en ook veiligheidsbewust handelen. Maak gebruik van deze medewerkers, nodig ze uit om mee te denken, maak ze lid van de denktank. Zij zullen niet alleen in staat zijn mee te denken bij het opzetten van een programma, maar zullen de ambassadeurs zijn die de doelstelling van het programma uitdragen, op de werkvloer, dicht bij de medewerkers die u wilt bereiken met een bewustwordingsprogramma. KSF: Geef medewerkers die geïnteresseerd zijn in veiligheid de kans en de middelen om mee te werken aan het ontwerpen en het uitzetten van de noodzakelijke procedures en regels. Kadootjes doen het goed Nederlanders zijn als geen ander volk spaarders van zegeltjes, airmiles en freebees. Voor een klein kadootje doen ze veel. Een ministerie wilde stimuleren dat het overgrote deel van de ambtenaren deel zou nemen aan een bewustwordingsprogramma. Het bood aan alle deelnemers een CD (in creditkaartformaat) aan met gratis software voor thuisgebruik waaronder een firewall, anti-virus software en programma’s tegen spam en ongewenste advertenties. Ook werd software geleverd waarmee ouders hun kinderen konden beschermen tegen bezoeken aan ongewenste sites. Daarnaast werd een cursus veilig PC-thuisgebruik op de CD aangeboden en bestond de mogelijkheid een gekwalificeerde digitale handtekening aan te vragen. De deelname aan het bewustwordingsprogramma, dat zich uiteraard richtte op de werkplek, overtrof alle verwachtingen! En de kosten? Die bedroegen € 3,00 per CD. 3.6. Stellen van prioriteiten Als de strategie en het plan zijn opgesteld kan bepaald worden op welke wijze de implementatie kan plaatsvinden. Bij een omvangrijk programma kan dit in fasen gebeuren. Het is daarbij van belang om prioriteiten te stellen en om belangrijke en urgente zaken voorrang te verlenen. De volgende overwegingen spelen daarbij een rol: -- De beschikbaarheid van materiaal en personen; -- De rol van de organisatie en de complexiteit (of eenvoud) waarmee een programma kan worden gerealiseerd; -- De huidige stand van het niveau van bewustwording (de grote gaten eerst dichten); -- De vraag in hoeverre andere prioritaire projecten afhankelijk zijn van het bewustwordingsprogramma; -- De vraag welke medewerkers, die vanwege de ‘gevoeligheid van hun werk’ en dus de grootste risicofactor vormend, als eerste een training moeten volgen. Over het algemeen geldt hier het volgende adagium: hoe meer focus, hoe groter de kans op succes. Een vaak voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te veel zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei cultuurprogramma’s die beogen de bedrijfscultuur te veranderen. Te veel in korte tijd willen bereiken vergroot de kans dat het proces tussentijds krakend tot stilstand komt en men daardoor uiteindelijk minder bereikt dan met een duidelijke focus wellicht wel het geval zou zijn geweest. 3.7. Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk. Een andere succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk: -- de functie van de cursist en daarmee het opleidingsniveau; -- de benodigde kennis en vaardigheden die voor die functie nodig zijn. Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de 24 over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het management maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over het beleid en de veiligheidsregels. Indien een bewustwordingsprogramma enige tijd loopt, kan differentiatie worden aangebracht in de doelgroepen en kan de complexiteit van de informatie worden aangepast aan het niveau en de functie van de deelnemers. 3.8. Commitment en draagvlak bij zowel management als medewerkers Een programma dat niet wordt gedragen, en dan met name door het management, is gedoemd te mislukken. Het (top)management zal (zoals al eerder is aangegeven) actief en frequent zijn commitment moeten uitspreken door aanwezig te zijn op belangrijke momenten in het programma zoals de start van het programma, de openstelling van een website, de eerste presentatie, het uitreiken van prijzen etc. Alleen dan zal het draagvlak creëren bij de medewerkers. Commitment van de leiding, maar hoe? De baas moet uitstralen dat hij het bewustwordingsprogramma belangrijk vindt en moet het dus ook uitdragen. Een aantal voorbeelden hoe dat gerealiseerd kan worden: -- Laat de baas de opening doen, kleed dat feestelijk aan en zorg voor een prominente spreker; -- Plaats een interview in het bedrijfsblad met de baas over zijn beleving van veiligheid en werkbaarheid; -- Laat de baas prijzen uitreiken aan de winnaars van een veiligheidsprijsvraag en plaats daar een artikel over. -- De baas onderwerpt zich (uiteraard) ook aan de regels. 3.9. Budgettering Nadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget worden bepaald. Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die betrekking hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de kosten die gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies aan productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn: -- een zeker percentage van het gehele opleidings- en trainingsbudget; -- budget per medewerker, afhankelijk van zijn rol; -- een percentage van het IT Budget (let op: Niet alle beveiliging is IT-gerelateerd); -- expliciete berekening van het gehele programma. Er zijn problemen te verwachten in het realiseren van beveiligingsbewustzijn indien de budgetten lager uitvallen dan benodigd. Het is de expliciete verantwoordelijkheid van het management om voldoende budget beschikbaar te stellen (zie ook §2.2 Is veiligheid wel belangrijk?). Het hanteren van het stappenplan en accorderen van het resultaat van iedere stap (strategie, behoefte, plan) door het management, biedt de grootste mate van zekerheid om het benodigde budget vrij te maken. Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de doelen (behoefte) bij te stellen, een fasering aan te brengen of budgetten te herverdelen. 25 26 4. Fase 2: De ontwikkeling van materiaal Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal, afgestemd op de mogelijkheden, het budget en de beschikbare kennis. In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc. 4.1. Inleiding Nadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij de ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden: -- Welk gedrag willen we versterken? -- Welke vaardigheden willen we aanleren en toe laten passen? Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en horen in hun dagelijkse werk te implementeren, als zij het gevoel hebben dat het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten bij de belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit houdt in dat materiaal ontwikkeld moet worden dat voor iedere medewerker toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op een specifieke doelgroep. Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de doelgroepmedewerkers bij de ontwikkeling indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat veel mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat allerlei aanvullende zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag. Snelle reactie op verloren USB-stick Het ministerie van Defensie kwam enige tijd geleden in het nieuws door het verlies van een USB-stick met zeer gevoelige informatie. Het ministerie reageerde daarop direct door extra aandacht te vragen voor dit onderwerp in bestaande bewustwordingsprogramma’s. 4.2. Selecteren van onderwerpen voor bewustwording Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten, vakbladen en nieuwsbrieven van diverse beveiligingsorganisaties en instellingen, bijvoorbeeld: -- Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van verandering, geheimhouding, hoe om te gaan bij meerdere systemen; -- Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat doet die kwaadaardige software en hoe blijft de virusscanner up-to-date. Leg hierbij ook de relatie naar het thuisgebruik; -- Beleid; implementatie in projecten en compliancy; -- Onbekende e-mails en/of bijlagen; -- Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van gebruikershandelingen; -- Hoe om te gaan met SPAM berichten; -- Opslag van gegevens en de wijze van backup door de organisatie; -- Social Engineering; misbruik van vertrouwen van medewerkers door kwaadwillenden; -- Incidenten; wat te doen, bij wie te melden; -- Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”; -- Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water, stof, vuur, tijdelijk uitgeschakelde toegangscontrole, etc.); 27 -- Risico’s tijdens verhuizingen; -- Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen; -- Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.); -- Gebruik van vercijfering van gegevens tijdens transport en opslag; -- Laptops en USB-sticks tijdens reizen; risico’s van diefstal van apparatuur en gegevens; -- Installeren van updates; -- Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers; -- Toegang tot bedrijfssystemen; -- Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie; -- Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie; -- Desktop beveiliging; screensavers, clear desk en clear screen; -- Geheimhouding van vertrouwelijke informatie; -- Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik. 4.3. De vorm van het bewustwordingsmateriaal Uit een scala aan technieken en vormen kan gekozen worden om de boodschap uit te dragen. Dit hangt af van het type boodschap, de organisatie en zijn cultuur en de complexiteit van de boodschap. Bij de start van een bewustwordingsprogramma is het van belang de focus te leggen op de meest belangrijke risico’s die een organisatie loopt en zich te richten op alle medewerkers. Een overdosis aan onderwerpen, de wijze waarop het programma gecommuniceerd wordt of te grote differentiatie naar type medewerkers, zal afleiden van de essentie van het programma. Lees hierover meer in hoofdstuk 7, waarin een meerjarenplanning of rolling programma beschreven wordt. Nadat initieel een bewustwordingsprogramma gehouden is voor alle medewerkers met de meest prangende onderwerpen, kan differentiatie plaatsvinden naar medewerkers (uitvoerders, staf, midden- en strategisch management), de wijze waarop de onderwerpen gecommuniceerd worden (webgebaseerde training, presentaties, nieuwsbrieven). Onderstaand overzicht biedt een aantal voorbeelden: -- Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen, post-it briefjes, sleutelhangers, keycords, klokken; -- Posters met informatie over wat te doen of juist niet te doen; -- Screensavers met wisselende teksten; -- Nieuwsbrieven; -- E-mail berichten; -- Videoberichten; -- Webgebaseerde informatie of trainingen; -- Presentaties door een instructeur; -- Security-dagen; -- Security-tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een bevestiging weer verdwijnen); -- Kruiswoordpuzzels; -- Prijsvragen. In alle gevallen is het van belang om de boodschap op meerdere manieren over te brengen. Dit versterkt de kracht van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt. 4.4. Bronnen voor materiaal Het aantal en de verscheidenheid van bronnen die materiaal kunnen leveren voor een bewustwordingsprogramma is groot. Veel van dit materiaal is beschikbaar op het Internet als openbare bron. In een aantal gevallen zal het zelfs mogelijk zijn om te beschikken over complete bewustwordingsprogramma’s. Daarbij is echter een kanttekening op zijn plaats: Het programma is ontwikkeld met andere uitgangspunten dan die van het bedrijf en voldoet dus waarschijnlijk niet helemaal aan de behoefte. Kopieer daarom niet klakkeloos maar selecteer die onderwerpen die ook in het eigen proces geïdentificeerd zijn en pas ze aan de eigen behoefte aan. 28 Enkele voorbeelden van bronnen van materiaal: - Handleidingen voor zakelijk en privé gebruik van Internet en e-mail zoals die in nieuwsgroepen beschikbaar zijn; - Nieuwsbrieven van security organisaties en magazines; http://www.schneier.com/crypto-gram.html. Een gratis maandelijkse nieuwsbrief met daarin overzichten, analyses, inzichten en commentaren over security-onderwerpen op het gebied van computers en andere zaken. http://www.biometrics.org/ - Whitepapers en ander materiaal dat op websites beschikbaar wordt gesteld door organisatie van vakgenoten (voor leden en/of niet-leden); http://www.pvib.nl/ van het Platform voor InformatieBeveiliging. - Websites met online nieuwsberichten; http://www.security.nl - Materiaal van conferenties, seminars en cursussen; - Professionele organisaties die bewustwordingsprogramma’s ontwikkelen. 4.5. YouTube als informatiebron De populariteit van YouTube is groot. Daarmee is het ook voor Security Awareness een grote bron van informatie en nieuwe ideeën. Het grote voordeel van YouTube als informatiebron is dat de video’s over het algemeen niet auteursrechtelijk beschermd zijn (Controleer dit voordat ze gebruikt worden!). Op YouTube is onder andere een aantal video’s te vinden over Tiger Teams; teams die de beveiliging van bedrijven en organisaties testen. Het is zeker de moeite waard om te beoordelen of deze video’s kunnen bijdragen aan het verhogen van het bewustzijn. Er zijn maar weinig bedrijven en organisaties die openlijk communiceren over de zwakheden in hun beveiliging en ook al betreft het in de video’s Amerikaanse bedrijven, de analogie met Nederlandse organisaties is groot. Gebruik binnen YouTube (www.youtube.com) de zoekterm “Tiger team”4 en beoordeel zelf de kwaliteit van een professionele diefstal van gegevens. 4.6. Uitbesteden of zelf doen? Het ontwikkelen van een bewustwordingsprogramma kost veel tijd, energie en geld. Op enig moment zal de vraag gesteld worden of u het allemaal zelf wel kunt en wilt. Onderstaande overwegingen kunnen gebruikt worden rond deze besluitvorming: - Heeft de organisatie zelf de kennis en capaciteit beschikbaar? Hebben deze mensen de juiste vaardigheden en ervaring? Zijn de mensen voor deze opdracht beschikbaar? - Is het meer kosteneffectief om het programma zelf op te zetten of uit te besteden? - Zijn er budgetten beschikbaar? - Is de organisatie in staat om eenmaal aangeleverde programma’s zelf te onderhouden? - Staat de gevoeligheid van de inhoud van het programma uitbesteding wel toe? - Past uitbesteding in het beoogde tijdsplan? - Behoud van benodigde kennis. 4.7. Partnerschap met soortgelijke organisaties Waarom zelf ontwikkelen als anderen u al voor gegaan zijn? Het ontwikkelen van een programma kan gebaat zijn bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan worden uitgewisseld, maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet alleen de kosten maar bevordert ook het uitwisselen van creatieve ideeën. 4 Ten tijde van de verschijning van deze Handreiking in oktober 2009 was op YOUTUBE een korte serie “Tiger Team 101” beschikbaar over de diefstal van klant- en creditcardgegevens van een autodealer en de diefstal van dure auto’s. 29 30 5. Fase 3: De implementatiefase Na de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de implementatie van het programma en de rol van communicatie daarin. 5.1. Wijze van communiceren Het bewustwordingsprogramma moet binnen de organisatie uitgelegd en gecommuniceerd worden. Het doel is begrip en ondersteuning te realiseren voor de uitvoering van het programma en duidelijkheid te geven over de bijdrage die van de medewerkers verwacht wordt. De communicatie zal moeten verduidelijken wat de verwachtingen van het management zijn en de te verwachten resultaten voor de organisatie. De wijze waarop het project bekostigd wordt (centraal budget of doorbelasting) moet voor het management duidelijk zijn. Verder is het van belang dat iedereen in de organisatie die betrokken is bij het programma, zijn eigen taken en verantwoordelijkheden kent, maar ook die van de andere deelnemers. Als aanvulling hierop moeten ook tijdschema’s en beoogde resultaten (in aantal deelname en percentage geslaagden per onderdeel) gecommuniceerd worden. In §6.2 wordt een aantal basismodellen besproken voor het bepalen van de structuur van een programma. De basismodellen verschillen voornamelijk in de wijze waarop centraal of decentraal uitvoering wordt gegeven aan het programma. Het spreekt voor zich dat de wijze waarop de communicatie moet worden ingericht (centraal of decentraal) moet aansluiten bij de keuze die in §6.2 gemaakt wordt. KSF: Voorzie noodzakelijke communicatiekanalen op en over alle niveaus heen. Breng hierbij de veiligheidsboodschap op een creatieve en positieve manier. Zorg dat er kanalen bestaan om goede feedback mogelijk te maken, geef er gevolg aan en maak snel duidelijk waarom iets wel of juist niet kan. 5.2. Technieken om de boodschap over te brengen In hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden overgebracht. In onderstaande paragraaf worden in aanvulling hierop verschillende technieken besproken. De techniek die gebruikt gaat worden om de boodschap op de medewerker over te brengen moet voldoen aan een aantal criteria: -- Eenvoud in gebruik; gebruiks- en onderhoudsvriendelijk (updates); -- Schaalbaarheid; verschillende kennisniveaus van de gebruikers, grootte van de deelnemersgroepen en verschillende locaties (klaslokaal en auditorium); -- Vastleggen van meetgegevens; aantal deelnemers, scores, tijdsbesteding, correlaties tussen deelnemersgroepen en resultaten; -- Beschikbaarheid op de markt; aantal potentiële leveranciers. De meest gebruikelijke technieken zijn: -- Interactieve Video Training (IVT). Dit kan gebruikt Een duidelijke boodschap die voor iedereen te begrijpen en te herkennen is? Gaat het om de scherpe kanten of de brug die gesloten is? worden voor leren en trainen op afstand en maakt gebruik van technologie die tweerichtingsverkeer voor interactieve audio en video mogelijk maakt. De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan niet-interactieve vormen. 31 -- Webgebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo deelnemen aan het programma. Er kunnen test- en meetmomenten ingebouwd worden en de resultaten kunnen worden teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het programma herhaald worden. De techniek van de webgebaseerde training is sterk in ontwikkeling. Het is zelfs mogelijk dat instructeur en deelnemers (of deelnemers onderling) interactief met elkaar kunnen communiceren; -- Niet- webgebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal. Hierbij wordt materiaal beschikbaar gesteld op het intranet. Het programma wordt dan door iedere deelnemer vanaf zijn eigen werkstation gevolgd, zonder interactie met een instructeur of andere deelnemers; -- On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de begeleiding van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of auditorium, een trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van kennisoverdracht. In grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle medewerkers ook deel kunnen nemen en kan geografische spreiding van medewerkers leiden tot lange reistijden of de instructie op meerdere locaties. De meest krachtige vorm bij kennisoverdracht is het gebruik van meerdere technieken. Zo kan een instructeur eerst vertellen (presenteren) over een bepaald onderwerp waarna een videopresentatie gestart wordt ter ondersteuning van het onderwerp. In een later stadium kan een deelnemer via een interactieve training meer kennis en vaardigheden opdoen vanaf zijn eigen werkplek. Het gaat om communicatie! Bij een overheidsinstantie werd door een vooraangekondigde Social Engineering-actie (zie voor meer informatie hoofdstuk 8) het wachtwoord van een hoge leidinggevende gestolen. Deze heeft vervolgens zijn ervaringen en de genomen tegenmaatregelen uitgebreid beschreven in de periodiek nieuwsbrief. Openheid bevordert begrip! 5.3. Management en communicatie De wijze van communiceren kan nog zo krachtig zijn, de boodschap die het management uitdraagt moet daarmee wel in overeenstemming zijn. Het is zeker belangrijk om uw management eens te beoordelen op hun vaardigheden om de boodschap uit te dragen, ofwel, te communiceren. Zelfs de beste managers maken gebruik van specialisten op het gebied van communicatie. Als het nodig is dan moet het management aanvullende training krijgen om de boodschap duidelijk te kunnen communiceren. Denk aan het belang van voorbeeldgedrag van het management dat in §3.2 werd besproken. KSF: Managers moeten in staat zijn om te communiceren en over de nodige vaardigheden beschikken. Zonodig moeten zij daarin getraind worden. 5.4. Sancties en beloningen In het bewustwordingsprogramma zal aandacht besteed moeten worden aan een sanctiemodel, dat wordt toegepast indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Voorwaarde is dan wel dat zij op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Naast sancties bestaat er ook de mogelijkheid om positief gedrag te belonen. In beloning ligt juist de kracht die anderen kan stimuleren om hun gedrag positief te beïnvloeden. Bij het te belonen positieve gedrag kun je denken aan het voorkomen van een incident, het herkennen van een risicovolle situatie of het minst aantal fouten bij de periodieke test via het Intranet. Beloon deze medewerkers en communiceer uitbundig over deze positieve voorvallen, bijvoorbeeld op het Intranet of in het bedrijfsblad. Laat prijzen uitreiken door de directie, die daarmee 32 zijn commitment opnieuw bevestigd. Zorg er dan wel voor dat de prijs ook begerenswaardig is en in verhouding staat tot het te belonen voorval (bijvoorbeeld beveiligingssoftware, een wellness arrangement of een weekendje in een vakantiepark). In de meer zakelijke sfeer zou je als beloning ook kunnen denken aan het volgen van een (beveiligings?) opleiding, een extra vrije dag of zelfs een periodiek. KSF: Waardeer de medewerkers die bijdragen aan betere prestaties en het verhogen van de bewustwording en communiceer daar uitbundig over. Een sanctie is soms noodzakelijk om betrokkene duidelijk te maken dat de organisatie het risicovolle gedrag niet accepteert. In de praktijk blijken sancties echter niet vaak voor te komen. In veel gevallen worden veiligheidsincidenten niet eens meegenomen in de periodieke beoordeling. Het ligt daarom meer voor de hand (en past vaak beter in de bedrijfscultuur) om positief gedrag te bevestigen door er de nadruk op te leggen. KSF: Benadruk positieve bevestiging. Waardeer veilig gedrag, geef positief commentaar op veilige handelingen. Het zal de veiligheidsstandaard van uw organisatie versterken. Sancties? Veiligheidsregels zijn lastig en worden niet altijd begrepen. De naleving van de veiligheidsregels heeft voor de medewerker vaak geen consequenties waardoor het hem aan motivatie ontbreekt. Bij het opzetten van een bewustwordingsprogramma moet met top- en middenmanagement, personeelsafdeling en eventueel de ondernemingsraad worden afgesproken op welke wijze naleving van veiligheidsregels onderdeel worden van het beoordelingssysteem en welke correctieve maatregelen gebruikt kunnen worden. Dit kan bijvoorbeeld door privileges op te schorten of daadwerkelijk strafmaatregelen te nemen (b.v. korting op een bonus). Voorwaarde is een gedegen onderzoek bij een geconstateerd veiligheidsincident met hoor en wederhoor en schriftelijke vastlegging. 33 34 6. Fase 4: De evaluatie- en onderhoudsfase Na de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke uitvoering van het bewustwordingsprogramma volgt de laatste fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze laatste stap: de evaluatie- en onderhoudsfase van het programma. Deze beoordeelt of het effect van het programma in overeenstemming is met het gedefinieerde ontwerp en het resultaat voldoet. De evaluatie- en onderhoudsfase maakt van het gehele proces van de ontwikkeling van een bewustwordingsprogramma een cyclisch en zich herhalend proces. 6.1. Meten van de deelname en de effectiviteit Gedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om informatie te verstrekken over: -- cursus- en opleidingsdata; -- inhoud van de opleiding; -- deelname, zowel totalen als percentages per organisatieonderdeel; -- behaalde scores door de deelnemers (indien van toepassing); -- waarderingen uit de evaluatieformulieren van de deelnemers. De meetgegevens kunnen gebruikt worden voor rapportages aan het management over de mate van compliance, de kwaliteit en volwassenheid van het opleidings- en trainingsprogramma, de bereidheid van afdelingen om deelnemers af te vaardigen en kwaliteitsverbetering. De deelnamegegevens geven een rechtvaardiging van beschikbaar gesteld budget en geven in detail aan of medewerkers hebben deelgenomen aan het programma. Hieruit kunnen voor zowel de medewerkers als voor afdelingsmanagement consequenties volgen. Medewerkers die deelgenomen hebben aan een dergelijk programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties. Is deelname aan een bewustwordingsprogramma een functie-eis, dan kan het niet deelnemen of niet slagen consequenties hebben voor de uitoefening van de betreffende functie. De organisatie loopt in dat geval een te groot risico op schade door onachtzaam foutief handelen van personeel dat geen training heeft gevolgd. Een voorbeeld van een niet werkende beveiligingsmaatregel. De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve acties moeten worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan het verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden opgedragen. Er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak om de correcties en aanpassingen uit te werken en te implementeren 35 6.2. Evaluatie en feedback Formele evaluatie en feedback zijn kritische componenten van een bewustwordingsprogramma. Voortdurende verbetering kan niet plaatsvinden als het ontbreekt aan inzicht in hoe een programma werkt. Vanaf de start van de ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te tekenen, moet dus nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden gemeten. Er is een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van kwaliteit, scope, gebruikte methoden (o.a. Interactieve Video training, web gebaseerd), moeilijkheidsgraad, eenvoud van gebruik, duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en suggestie voor verbetering. De meest gangbare methoden voor evaluatie en feedback zijn: -- Het door de gebruikers in laten vullen van een evaluatieformulier. Gebruik daarbij zo veel mogelijk voorbedrukte teksten en normeringen zodat er weinig geschreven hoeft te worden om een waardering aan te geven; -- Open forum discussie waar bovenstaande onderwerpen besproken kunnen worden. Deze vorm van evaluatie biedt de beste mogelijkheid op nieuwe ideeën en inzichten ter verbetering van het programma. -- Selectieve interviews met deelnemers, waarbij in een 1-op-1 gesprekken de onderwerpen van de evaluatie besproken worden. De selectie van deze groep moet objectief blijven om de uitkomst niet te beïnvloeden. Men moet er echter ook rekening mee houden dat deelnemers, om diverse redenen, niet altijd hun mening aan (vertegenwoordigers van) het management van de organisatie willen vertellen. In deze vorm van evaluatie wordt medewerkers wel de mogelijkheid geboden om hun mening te geven zonder dat zij zich in een groep daarvoor moeten verantwoorden. -- Onafhankelijke observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel. -- Formele statusrapporten door managers van deelnemers. -- Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere, soortgelijke organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties die de beschikking hebben over uitgebreide gegevens van resultaten van bedrijven over een langere periode. -- Wanneer medewerkers van het bedrijf worden bevraagd is het, voor de objectiviteit en het verkrijgen van eerlijke antwoorden, aan te raden de vragen anoniem te laten invullen en de evaluatie bij voorkeur door een onafhankelijke persoon te laten uitvoeren. 6.3. Veranderingen in het bewustwordingsprogramma doorvoeren Het is noodzakelijk om het programma regelmatig bij te stellen en te verbeteren . Dit kan om meerdere redenen noodzakelijk zijn, bijvoorbeeld omdat er nieuwe beveiligingstechnieken in gebruik genomen worden (ieder weer met andere en nieuwe risico’s), of het kennisniveau en gedrag van de medewerkers verandert. Noodzakelijke wijzigingen kunnen ook veroorzaakt worden doordat een organisatie zijn missie of doelstelling bijstelt of inzichten wijzigen hoe de doelstellingen van het programma gehaald kunnen worden. Belangrijke landelijke of internationale ontwikkelingen, of de komst van nieuwe wetgeving kunnen ook hun invloed hebben op een programma. Veranderingen doorvoeren: NAVI coördineert uitwijkoefening Begin 2009 werd het NAVI door een projectteam van een financiële instelling benaderd om te adviseren bij de voorbereidingen voor een uitwijkoefening. De oefening was in de loop der jaren te veel een routineklus geworden. Tijdens deze ‘vernieuwde’ uitwijkoefening wilde men het MT meer emotie laten voelen. Een projectleider van het NAVI heeft met het projectteam van de financiële instelling een scenario bedacht, richting gegeven aan de soort incidenten en activiteiten en sprekers gezocht die informatie konden verstrekken over de calamiteit van die oefening: een poederbrief. Voor meer informatie zie de bijlage: Voorbeeld 3. 36 6.4. Verhogen van het niveau van het bewustwordingsprogramma Zoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op de meest cruciale security aspecten binnen het bedrijf. Het moet zich richten op iedere medewerker, dus van (top) management tot de medewerker op de werkvloer. Omdat het programma zich in eerste instantie richt op alle medewerkers is het instapniveau laag. Nadat het beoogde eerste niveau gehaald is, zal de volgende stap gezet moeten worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op te zetten voor alle medewerkers, maar ook door differentiatie aan te brengen naar type medewerker. Hierbij zordt gekeken naar zijn niveau, zijn taken en verantwoordelijkheden. In dit laatste geval wordt er differentiatie aangebracht naar doelgroepen, die ieder hun niveau toegesneden programma gaan volgen. Op deze wijze zal het programma groeien in volwassenheid. Het verdient aanbeveling om het verhogen van het niveau in het ontwerp van het programma mee te nemen en te baseren op meetbare gegevens. Een norm voor het verhogen van het niveau zou in dat geval een deelname aan de eerste ronde van het programma van ten minste 85% van de medewerkers en een slagingspercentage van 90% kunnen zijn. Tijdens het uitvoeren van een programma verdient het aanbeveling om voortdurend de ontwikkelingen op de markt van bedreigingen, technologie, good practices en benchmarking bij te houden. Hierdoor ontstaan mogelijkheden om proactief de kwaliteit en/of effectiviteit van het programma te verbeteren. Again: not my problem Niet dat beveiliging niet als een probleem wordt gezien, alleen niet dat van mij. En vraag me niet van wie wel, want dat weet ik niet precies. Van medewerker tot directielid is dit een veel gehoorde reactie: NMP. Bron: Lezing van het Platform voor Informatiebeveiliging 6.5. Commitment van het management CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat de keten zo sterk is als de zwakste schakel. Beveiliging van een organisatie is een teaminspanning en dient door alle medewerkers van een organisatie gedragen te worden, te beginnen bij het management. Deze lijst bevat indicatoren om een inschatting te maken van de ondersteuning en de acceptatie (commitment) door het management van een programma. -- Is er voldoende budget beschikbaar gesteld om de geaccordeerde doelstellingen te halen? -- Is de organisatie rond het programma ingericht met medewerkers van voldoende kwaliteit? -- Is het programma een regelmatig terugkerend onderwerp op de agenda van het management? -- Neemt het management deel aan de training? -- Hoe hoog is het percentage deelname? -- Draagt verantwoordelijke management gemotiveerd (de doelstellingen van) het programma uit? -- Is er brede ondersteuning voor de distributie van materiaal? Commitment van de leiding Bij een ministerie was de draagplicht van de personeelspas reeds lange tijd ingevoerd maar werd de maatregel niet altijd consequent uitgevoerd. Als onderdeel van een bewustwordingsprogramma werd extra aandacht aan de noodzaak voor deze maatregel besteed en werd de uitvoering van strenger gecontroleerd. Personeel dat de pas niet bij zich had werd de toegang tot de kantine ontzegd en personeel dat de pas niet zichtbaar droeg werd gecorrigeerd. De meeste indruk maakte echter een van de topfunctionarissen die collega’s direct aansprak en hen corrigeerde. 37 6.6. Meerjarenplanning In voorgaande fasen is bepaald welke onderwerpen in een bewustwordingsprogramma noodzakelijk zijn en met welke middelen de boodschap uitgedragen wordt. Onderwerpen met een hoge urgentie krijgen daardoor niet alleen voorrang maar zullen ook vaker herhaald worden, bij voorkeur d.m.v. meerdere communicatievormen. Het mag duidelijk zijn dat dit om een planning vraagt die ook op de wat langere termijn zekerheid biedt dat alle onderwerpen aan bod komen. Voor de ontwerpen van een dergelijk planning moet rekening gehouden worden met de volgende aandachtspunten: -- Overweeg hoe frequent de aandacht gevestigd moet worden op een bewustwordingsonderwerp (vb: eens per twee maanden). Bepaal tevens hoeveel onderwerpen gelijktijdig behandeld moeten worden (in onderstaand voorbeeld zijn dat drie); -- Besteed aan urgente onderwerpen in het begin op iedere moment aandacht en laat de frequentie gaandeweg afnemen (in het voorbeeld prioriteit Hoog (rood)); -- Varieer met het middel waarop urgente onderwerpen behandeld worden (nieuwsbrief, enquête bij de ingang, bezoeken op de werkplek, controle na kantoortijd, etc.); -- Voeg in de aandachtsmomenten de onderwerpen met minder urgentie afwisselend toe (in het voorbeeld prioriteit Middel (geel)); -- Laat ruimte voor actuele onderwerpen zoals een actuele virusdreiging of een incident dat zich heeft voorgedaan; -- Bepaal welke onderwerpen met lage prioriteit behandeld kunnen worden indien er geen actuele onderwerpen zijn (in het voorbeeld prioriteit Laag (groen)). -- Pas het schema tweemaandelijks aan. De aan- of afwezigheid van actuele onderwerpen heeft invloed op het vervolgschema. 2010 Prio Onderwerp hoog USB-sticks hoog Virussen hoog Actueel middel Wachtwoorden middel Thuis-PC middel Draagplicht pasjes middel Begeleiden bezoekers middel Clear desk middel Kasten afsluiten laag Meeliften laag Uitlenen van pasjes laag Private FireWall laag Sociale netwerken 2011 2012 feb apr juni aug okt dec feb apr juni aug okt dec feb apr juni aug okt dec Hierboven is een voorbeeld opgenomen van een meerjarenplanning. Bovenstaande aandachtspunten zijn in dit schema verwerkt. 38 39 40 7. Social Engineering als nul-meeting 7.1. Inleiding In hoofdstuk 3 werd gesproken over een security audit in de vorm van Social Engineering (SE), als startpunt van een bewustwordingprogramma. Door middel van SE wordt gemeten hoe het gesteld is met het naleven van veiligheidsmaatregelen in een organisatie. Dit hoofdstuk beschrijft op hoofdlijnen de psychologische mechanismen waardoor mensen misleid kunnen worden. Uit het dagboek van de Social Engineer: “Ik stond om 06.50 uur voor het nog gesloten gebouw van de gemeente. Een vroege ambtenaar opende het gebouw en liet me vriendelijk binnen zonder iets te vragen. Ik had de gehele dag de tijd om op de tien etages rond te neuzen en mijn voorbereidingen te treffen voor die avond. Als ik werd aangesproken dan vertelde ik dat ik ARBO-coördinator van de betreffende gemeente was en een aantal overleggen had, waarvan er één was uitgevallen. Tijdens het rondlopen was ik me aan het voorbereiden op mijn volgende vergadering. Ik had allerlei ARBO-spulletjes bij me om mijn rol te bevestigen. Tegen lunchtijd maakte ik buiten bij de ingang een praatje met de portier over zijn nare gewoonte; hij wilde stoppen met roken. Blijkbaar had ik een gevoelige snaar geraakt want hij begon honderd uit te vertellen. Toen ik merkte dat we een band hadden opgebouwd vroeg ik hem naar de procedure van het afsluiten van het gebouw omdat mijn laatste vergadering vermoedelijk pas ’s avonds na 19.00 uur afgelopen zou zijn. Hij vertelde me de plaats van de sleutels, de lichtschakelaars, het telefoonnummer om door te geven dat het gebouw leeg was en de procedure om de sluitronde aan te vragen, waarna de alarmering ingeschakeld zou worden. Die middag heb ik me verborgen in een niet gebruikte vergaderkamer. Toen ik om 18.00 uur uit mijn schuilplaats kwam was het gebouw leeg en kon ik in alle rust kantoren, bureaus, kasten en ladenblokken doorzoeken zonder gestoord te worden. Het resultaat was overweldigend: alle personeelsdossiers van de ambtenaren, vertrouwelijke dossiers over reïntegratieprocessen, beoordelingsdossiers, geld, laptops, PDA’s en GSM’s en het dossier van alle hypotheken met de afgegeven gemeentegaranties voor koopwoningen. Om 21.00 uur heb ik het lege kantoorpand verlaten en de sluitprocedure in werking gesteld om er voor te zorgen dat de veiligheid en vertrouwelijkheid van alle gemeentelijke gegevens gewaarborgd zou zijn.” 7.2. Social Engineering en psychologie Social Engineering (SE) heeft als doel vertrouwelijke informatie te verkrijgen, door middel van list en bedrog, manipuleren, psychologische trucs en valse voorwendselen. Waarom en hoe kan het menselijk gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om vertrouwelijke informatie te verstrekken, wordt ingewilligd? In de psychologische literatuur5 zijn de mechanismen beschreven die gebruikt worden om invloed op andere personen uit te oefenen. Dit zijn: -- wederkerigheid (geven en nemen); -- commitment en consistentie; -- sociale bewijskracht; -- sympathie; -- autoriteit -- schaarste. In de volgende paragrafen worden deze mechanismen beschreven en wordt ingegaan op hoe men ze kan herkennen en zich ertegen kan wapenen. 5 Cialdini, O’Conner en Sagarin 41 7.3. Wederkerigheid: het aloude geven en nemen… en nemen De mens gedraagt zich soms naar de regel van wederkerigheid. Het mechanisme geeft ons de opdracht te compenseren wat andere mensen ons hebben gegeven. Door het gevoel te hebben iemand anders iets verschuldigd te zijn, wordt veel makkelijker aan een verzoek voldaan dan anders. De regel van wederkerigheid is zelfs sterker dan gevoelens van afkeer of sympathie. Social Engineers maken dankbaar gebruik van dit mechanisme door het slachtoffer eerst iets kleins te geven en vervolgens een veel grotere gunst terug te vragen. Voorbeeld: -- Je geeft een bloemetje aan iemand en zegt erbij dat het geweldig is hoe hij/zij altijd klaarstaat voor anderen. Kort daarna vraag je om een gunst. Dat kan toch niet geweigerd worden? -- Je belt als medewerker van de ICT-afdeling naar een medewerker en zegt dat er grote virusuitbraak is. Je hebt die medewerker net behoed voor het verlies van alle mail maar hebt nu wel even zijn wachtwoord nodig om de mailbox te controleren op restanten van het virus. Zal hij het doen? Jawel; negen van de tien mensen staan hun wachtwoord af! 7.4. Commitment en consistentie: innerlijke spookbeelden De mens is geneigd in overeenstemming te handelen met dat wat hij daarvoor gedaan heeft. Als we een mening verkondigen of een keuze maken, zijn we ook geneigd om daarmee in overeenstemming te handelen. Door onszelf te overtuigen van de juistheid van het genomen besluit, voelen we ons beter over de genomen beslissing. De mens heeft dus de neiging consistent te zijn en dit is een zeer effectief sociaal beïnvloedingswapen. Wie consistent is, wordt intelligent, oprecht en evenwichtig genoemd. Omdat consistentie belangrijk is, zijn we ook geneigd om er een automatisme van te maken. Nadenken kan negatieve gevolgen hebben die we liever niet willen tegenkomen. De drang om consistent gedrag te vertonen kan misbruikt worden door profiteurs. Consistentie wordt door commitment bepaald. Zodra je iemand een standpunt laat innemen of een keuze laat maken, zal deze in de toekomst overeenkomstig handelen. Profiteurs kunnen gevoelens van verplichting eenvoudig uitbuiten. Voorbeeld: -- Als je merkt dat iemand graag praat over collega’s, ga dan het gesprek aan om over een geweldige of juist vreemdsoortige collega te praten en buig het gesprek om naar een onderwerp dat betrekking heeft op het gedrag, bijvoorbeeld het omgaan met vertrouwelijke informatie. 7.5. Sociale bewijskracht Dit principe betekent dat ons oordeel over correct of incorrect gedrag samenhangt met het gedrag van anderen. Wanneer veel mensen een handeling op gelijke wijze uitvoeren, bestempelen we deze als correct. Hierin ligt tegelijkertijd ook de zwakte van het principe: het maakt ons kwetsbaar voor profiteurs. Het principe van sociaal bewijs is zeer sterk. Wanneer we onzeker zijn over bepaalde handelingen, zijn we snel geneigd om naar anderen te kijken om ons gedrag te bepalen. Wanneer echter niemand weet wat de juiste handelingen zijn, moet je je in dat geval tot slechts één iemand richten en deze persoon duidelijk maken wat voor hulp je nodig hebt. Voorbeeld: -- Als iemand zijn wachtwoord niet wil afstaan (om een dringend probleem op te lossen) dan is die persoon sneller geneigd dat wachtwoord wél te vertellen indien hem duidelijk wordt gemaakt dat zijn/haar directeur (noem deze vooral bij de voornaam!) en andere collega’s dat wél hebben gedaan. En hun probleem is al opgelost! Het principe van sociale bewijskracht werkt onder twee omstandigheden optimaal: -- Onzekerheid: waneer iemand zelf niet weet hoe hij zich moet gedragen, ontleent hij zijn gedrag aan dat van anderen. -- Gelijksoortigheid: het gedrag van mensen die op ons lijken maakt ons het beste duidelijk hoe we ons zouden moeten gedragen. 42 7.6. Sympathie: de vriendelijke dief Naast wederkerigheid en verplichting is er een nieuw beïnvloedingswapen: de sympathie. Het niet voldoen aan een morele verplichting is onvriendelijk. Er wordt druk uitgeoefend door sympathie en verbondenheid. Het is namelijk moeilijk om een verzoek te weigeren als deze van een goede vriend afkomstig is. Bij een andere succesvolle methode wordt gerefereerd aan een vriend of kennis; het verzoek kan nu nog maar met moeite worden geweigerd. Voorbeeld: -- “Hallo, je moet de groeten hebben van Mariska, onze gemeenschappelijk vriendin. “Zij heeft me naar jou doorverwezen omdat je mij misschien verder kunt helpen. Zou je voor mij ….” 7.7. Autoriteit Uit onderzoek is gebleken dat elk mens nagenoeg iedere opdracht uitvoert als een autoriteit dit van hem verlangt. Vanaf de geboorte wordt ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het gehoorzamen aan autoriteiten levert ons ook voordelen op. Doordat zij zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd iets oplevert, bestaat de kans dat we er een automatisme van maken. Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met de symbolen die we met hen verbinden, zoals titels, kleding en bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen. Mensen willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen. Voorbeeld: -- “Henk Willems, onze directeur, heeft mij opdracht gegeven om zo snel mogelijk informatie te verzamelen over de voortgang van onze offerte voor ZPN. Kun je mij aangeven voor welk bedrag wij gaan aanbieden?” 7.8. Schaarste: de regel van het tekort Gesteld kan worden dat we sommige dingen meer gaan waarderen naarmate er minder van beschikbaar is. Ook is het opvallend dat mensen eerder in actie komen wanneer ze denken iets te verliezen, dan wanneer hetzelfde hen iets zou kunnen opleveren. Het schaarsteprincipe is dus een veel gebruikt beïnvloedingswapen. Dit wapen werkt door twee kenmerken van schaarste: -- Producten die schaars zijn, zijn over het algemeen ook daadwerkelijk beter dan producten die wel eenvoudig te verkrijgen zijn. -- Beperking van de beschikbaarheid betekent beperking van de keuzevrijheid. Als we iets nu juist niet willen, is het dat onze keuzevrijheid ingeperkt wordt. Wanneer onze keuzevrijheid bedreigd of verkleind wordt, wordt de behoefte aan keuzevrijheid juist groter dan deze daarvoor was. Daarbij gaat het om het opleggen van de beperking zelf. Het schaarsteprincipe werkt onder twee omstandigheden optimaal: -- Bij plotselinge schaarste. Juist bij plotselinge schaarste wordt fel gereageerd. -- Bij conflicten om schaarse goederen, willen we het nog liever in ons bezit krijgen. Dit maakt ons extra gemotiveerd. Voorbeeld: -- De blouse kost € 110 maar de adviesprijs is eigenlijk € 150. Nu worden de laatste restanten blouses verkocht met een voordeel van maar liefst € 50! Afgeprijsd van € 150 naar € 100. Het resultaat: Dolle dagen! 43 44 Bijlage: Voorbeelden In deze bijlage worden voorbeelden gegeven van onderwerpen die in voorgaande hoofdstukken behandeld zijn. Het zijn vooral voorbeelden van de vorm waarin de boodschap gegoten wordt, met het doel om een ‘gevoel’ te geven hoe een middel er uit zou kunnen zien. Voorbeeld 1: Enkele voorbeelden van posters Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren. Voorbeeld 2: Een bewustwordingstoolkit (uit Adviesrapport “Veiligheidsbewustzijn”van DJI) Om de lezer een idee te geven hoe een bewustwordingstoolkit wordt opgebouwd geven we hier het voorbeeld van de veiligheidsbewustzijnscampagne van het Ministerie van Justitie en het Openbaar Ministerie. Dit programma wordt momenteel gehanteerd en uitgevoerd ten behoeve van een veiligheidsbewustzijnscampagne op het gebied van informatiebeveiliging. De toolkit is modulair op te bouwen. Een organisatie bepaalt zelf welk thema of onderwerp in de campagne op welk moment centraal staat, maar de wijze van werken is steeds identiek. Hieronder wordt een beeld geschetst waaruit de toolkit bestaat. 1. Structuur en plan van aanpak Deze module geeft een algemeen beeld van het bewustwordingsprogramma en de activiteiten die de organisatie dient uit te voeren om in staat te zijn, het programma te implementeren. 2. Management commitment Deze module dient voor het creëren van draagvlak voor het bewustwordingsprogramma bij het topmanagement en het verzorgen van een goede aansturing. 3. Geïntegreerde assesment Deze module bevat diverse verschillende assesments. Zoals een assesment van de huidige bewustwordingssituatie, van de vereiste situatie en een risicoanalyse van de bedreigingen. De resultaten van het geïntegreerde assesment worden gebruikt in workshops. 45 4. Instructie gebruik modules Deze module bevat een handleiding om de programmamanager bekend te maken met de modules van de toolkit. In deze module wordt tevens aangegeven, hoe het programma kan worden aangepast aan de eisen van de organisatie. 5. Programmamanagement Deze module bestaat uit een plan van aanpak dat de programmamanager kan gebruiken bij het uitvoeren van het bewustwordingsprogramma. Het bestaat uit een fasen- en stappenplan en bevat ondersteunende checklists en draaiboeken. 6. Communicatieplan Deze module geeft aan welke informatie, via welke middelen, op welk moment naar welke doelgroepen gecommuniceerd dient te worden. Het communicatieplan is uitgewerkt in 12 mogelijke stappen die toegesneden worden op de organisatie. 7. Basisniveau veiligheidsbewustzijn Hierin wordt een blauwdruk met een minimale opzet van een basisniveau veiligheidsbewustzijn beschreven. Het is aan te bevelen dat deze organisatie operationeel is voordat een programma uitgevoerd kan worden. 8. Meetinstrument Deze module bevat software om kennis, houding en gedrag van medewerkers op het gebied van veiligheidsbewustzijn te meten. Aan de medewerkers worden vragen gesteld die aansluiten bij de belangrijkste aspecten van veiligheidsbewustzijn. Er kan worden gemeten voor en na het programma en resultaten per (organisatie) onderdeel kunnen hierbij worden vastgesteld. 9. Topmanagement workshop Deze module bevat een presentatie, een film en een instructie voor het topmanagement met als doel, ervoor te zorgen dat zij in staat is om het programma binnen de organisatie te stimuleren. 10. Lijnmanagement workshop Deze module bevat materiaal voor het geven van een workshop aan het lijnmanagement en een instructie voor het geven van een briefing aan de medewerkers. De workshops zijn gebaseerd op het train-de-trainers principe. 11. Medewerker workshop Deze module bevat materiaal voor een briefing aan medewerkers in een werk- of afdelingsoverleg. 12. Bedrijfsfilm In de bedrijfsfilm komen in gedramatiseerde vorm aspecten en mogelijke gevolgen van veiligheidsbewustzijn aan de orde (per thema). Deze films zijn modulair van opbouw en kunnen eenvoudig worden aangevuld met beelden uit de eigen organisatie/of per organisatieonderdeel. 13. Gouden regels In deze module worden de belangrijkste aspecten voor veiligheidsbewustzijn samengevat. Uit een set van 15 gouden regels kunnen er bijvoorbeeld zes tot tien worden uitgezocht die het beste bij de organisatie passen. 14. Film met inbreuken in relatie tot gouden regels Deze module, in de vorm van een bedrijfsfilm, geeft uitleg over meer dan 30 inbreuken die in de bedrijfsfilm voorkomen en brengt deze inbreuken in relatie met de gouden regels. 46 15. Interne promotie Deze module bestaat uit een groot aantal middelen (leaflet, brochure, posters, uitnodigingen, standaardbrieven, artikelen etc.) om het bewustwordingsprogramma te ondersteunen. Deze toolkit laat zien dat een aantal determinanten bewust meegenomen worden in een programma ter bevordering van het veiligheidsbewustzijn: -- commitment van het hoge management (- leiderschap) -- onderzoek (- medewerkerstevredenheid) -- het aanstellen van een projectmanager (- procesontwerp) -- train-de-trainers principe (- opleiding en samenwerking ) -- e-learning (- opleiding en monitoring) -- meetinstrument (- procesontwerp) -- gouden regels (- visie/missie/strategie) -- interne promotie (- communicatie) Voorbeeld 3: NAVI coördineert uitwijkoefening Dit voorbeeld beschrijft hoe een financiële instelling het veiligheidsbewustzijn bij het management heeft verhoogd. Uitwijkoefening moest realistischer worden. Begin 2009 werd het NAVI door een projectteam van een financiële instelling benaderd om samen te werken bij een uitwijkoefening. De oefening was in de loop der jaren te veel een routineklus geworden. Tijdens de nieuwe uitwijkoefening wilde men het management team (MT) meer emotie laten voelen en sterker betrekken bij de uitvoering. Scenario bedenken Het NAVI bood bij deze uitwijkoefening ondersteuning bij het tot stand komen van het scenario. Jan de Boer (sr. Projectleider bij het NAVI) heeft samen met het projectteam van de financiële instelling een scenario bedacht, richting gegeven aan het soort incidenten en activiteiten, en sprekers gezocht die informatie konden verstrekken over de calamiteit van die oefening: een poederbrief. Poederbrief tijdens een dagje uit Het managementteam van een financiële instelling heeft begin april een management dag. Rond het middaguur vertrekken ze per bus naar een bijeenkomst op een voor hen onbekende locatie. In de bus liggen folders van Sea Life in Scheveningen. Wanneer de bus een kwartier onderweg is, wordt de General Manager gebeld met de mededeling dat er op de afdeling Customer Services een poederbrief geopend is. De politie en brandweer zijn inmiddels gewaarschuwd en in aantocht. De beller vertelt er wel duidelijk bij dat het een oefening betreft. Uitwijken Het MT kan niet terugkeren naar het mogelijk besmette hoofdkantoor en besluit de uitwijkprocedure in werking te stellen. De buschauffeur krijgt de opdracht om van route te veranderen en richting de uitwijklocatie te gaan. Een kwartier later is het MT druk bezig om zich een voorstelling te maken van de situatie en pleegt veelvuldig telefonisch overleg met de medewerkers op het hoofdkantoor. Onverwachts stopt de bus op een grote parkeerplaats langs de snelweg om drie extra passagiers in te laten stappen. Extra passagiers Terwijl de bus de rit voortzet worden twee passagiers geïntroduceerd. Hugo-Jan Jansen van het Ministerie van Defensie is microbioloog en werkt bij de Bedrijfsgroep Gezondheidszorg als senior adviseur op het gebied van Infectieziektebestrijding. Hieronder vallen biologische wapens en alle ziekten die militairen bij hun optreden in het buitenland kunnen tegenkomen. Henk van Rooij is Master of Crisis and Disaster Management, 25 jaar brandweer- 47 officier en commandant geweest en momenteel actief bezig met CBRN-vraagstukken (Chemisch, Biologisch en Radiologisch en Nucleair). Jansen geeft in de bus een lezing over het verloop van de ziekteverschijnselen van Anthrax en de manier waarop Anthrax wordt onderzocht op locatie. Van Rooij vertelt over de acties van de brandweer bij een dergelijke besmetting en vertoont een korte film over de procedures, het tijdschema en het materiaal dat daarbij wordt ingezet. Op deze wijze wordt het MT uitgebreid geïnformeerd over de situatie en activiteiten binnen de besmette locatie. Nieuwe problemen Wanneer het MT bij de uitwijklocatie aankomt, blijken de toegangspassen al gereed te liggen en zijn de deuren van het uitwijkcentrum geopend. De PC’s worden opgestart en er wordt gecontroleerd of de bedrijfsprocessen vanuit de uitwijklocatie uitgevoerd kunnen worden. De leden van het MT houden veelvuldig contact met de achtergebleven medewerkers en worden steeds met nieuwe problemen geconfronteerd. Het besmette hoofdkantoor is namelijk op last van de brandweer afgesloten. Hoewel de situatie niet levensbedreigend is, lijdt toch een aantal personeelsleden onder de grote stress en is niet meer in staat te functioneren. Het blijkt dat de poederbrief op meerdere afdelingen is geweest. Ook één lid van het MT is met de brief in aanraking gekomen. Het MT wordt steeds gevoed met de laatste stand van zaken en moet continu plannen bijstellen. Na een uur zijn de plannen zodanig gereed dat het duidelijk is op welke manier de uitwijk verder wordt uitgevoerd. Dan is het de tijd om de uitwijkoefening te beëindigen en kan de evaluatie beginnen. Opvallende bevindingen Uit deze oefening werden al meteen twee bevindingen duidelijk: -- Aan het eind van de dag was het management zich veel mee dan voorheen bewust van hoe een crisis verloopt en dat er met hele andere zaken rekening gehouden dient te worden dan er aan de tekentafel bedacht kan worden. -- Het is voor een reële beleving van een crisis en het hiermee creëren van bewustwording bij het management erg aan te raden om regelmatig te oefenen en niet alleen scenario’s door te spreken. Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven De Nationaal Coördinator Terrorismebestrijding (NCTb) heeft in samenwerking met de Politieacademie en de TU Delft een workshop Security Awareness voor bedrijven en instellingen ontwikkeld. De workshop Zeker van je Zaak laat medewerkers zien dat er ook op de werkplek verdachte situaties kunnen zijn die de bedrijfsvoering ernstig kunnen verstoren. Hierbij gaat het om acties of voorbereidingen door criminelen, vandalen, extremisten en terroristen. De workshop leert medewerkers hoe ze alert kunnen zijn op ongewenste verstoringen op de werkvloer én wat ze daartegen kunnen doen. Workshopmateriaal De NCTb stelt het workshopmateriaal gratis ter beschikking aan bedrijven en instellingen die aangesloten zijn op het Alerteringssysteem Terrorismebestrijding (ATb) van de NCTb of die werken met chemische, biologische, radiologische en nucleaire middelen. Ook biedt de NCTb deze organisaties de mogelijkheid om twee medewerkers een training van een dagdeel te laten volgen, die hen in staat stelt de leidinggevenden in hun organisatie te begeleiden bij het geven van de workshop aan hun medewerkers. Na afloop krijgen de deelnemers het workshopmateriaal uitgereikt, bestaande uit een DVD, een werkboekje en een handleiding. Meer informatie is beschikbaar op http://www.nctb.nl/Informatie_voor/bedrijven/Security_awareness/. 48 49 50 Literatuuroverzicht Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of Standards and Technology) Information Technology Security Training Requirements van het NIST (National Institute of Standards and Technology) Bruce Schneier, Beyond Fear Bruce Schneier, People understand risks – but do security staff understand people? The Guardian, 05 augustus 2009 K.D. Mitnick, The art of deception; the human factor in Information Security Robert B. Cialdini, Using the Science of Influence to Improve the Art of Persuasion Y. Lafrance, Psychology: A precious security tool Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007 Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI waarin een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen wordt vastgelegd Adviesrapport Veiligheidsbewustzijn van de Taskforce & Kerngroep Veiligheid DJI (Dienst Justitiële Inrichtingen van het Ministerie van Justitie) van januari 2008 Afstudeer scriptie van Jan de Boer MSIT NAVI-Nieuws, derde jaargang, nummer 10, juni 2009 51
