handreiking - security awareness (concept)

1

HandreikingSecurity Awareness

Een handreiking voor het opzetten en onderhouden van een bewustwordingsprogramma

werkdocument

“Bewust Vitaal”

Herstel van de zwakste schakel

Een handreiking voor het ontwikkelen van een

Security Awareness programma

1-dec-08, versie 0.6

1-dec-08, versie 0.6 pagina 3 van 36

Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de

verbetering van de fysieke en digitale beveiliging van de vitale infrastructuur in Nederland. Beheerders en

eigenaren van de vitale infrastructuur in Nederland kunnen bij het NAVI terecht voor informatie en onafhankelijk

advies op het gebied van de beveiliging tegen moedwillige verstoring (security). De vier kerntaken van het NAVI

zijn:

Advisering over beveiliging

Het NAVI geeft eigenaren of beheerders van vitale infrastructuur in Nederland advies over beveiliging.

Bijvoorbeeld bij het uitvoeren van risicoanalyses of van een second opinion op een bestaand beveiligingsplan.

Ook adviseert het NAVI over al genomen of nog te nemen beveiligingsmaatregelen op basis van een

risicoanalyse. Hierbij werkt het NAVI vraaggericht.

Delen van kennis en informatie over beveiliging

Het NAVI zorgt ervoor dat betrokken partijen kennis en informatie binnen de vitale sectoren in Nederland kunnen

delen. Het NAVI onderhoudt daartoe contacten met overheden en met het bedrijfsleven uit de vitale sectoren en

daarnaast met relevante contacten en instellingen in het buitenland. Kennis en informatie worden op

verschillende manieren beschikbaar gesteld, ondermeer door het organiseren van bijeenkomsten, via de website

en de beschikbaarheid van een kennisbank.

Productontwikkeling

Het NAVI ontwikkelt ook eigen producten. De focus ligt hierbij op producten die voor een hele sector of zelfs

meerdere sectoren toepasbaar zijn. Voorbeelden hiervan zijn de verschillende handreikingen die momenteel

worden ontwikkeld over beveiligingsonderwerpen. Indien nodig worden de producten op verschillende niveaus

van volwassenheid ontwikkeld. Ook spant het NAVI zich in om producten van derden voor de Nederlandse vitale

infrastructuur toegankelijk te maken.

Netwerkfunctie

Het NAVI onderhoudt en ontwikkelt een breed netwerk binnen de beveiligingswereld en fungeert als

ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur. Zowel voor overheidspartijen,

kennisinstellingen in binnen en buitenland, als bedrijven. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het

organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen uit een sector of uit

verschillende sectoren op reguliere basis bij elkaar om informatie te delen en om over beveiligingsonderwerpen te

spreken.

Kijk voor meer informatie op de website: www.navi-online.nl


Managementsamenvatting

Organisaties kunnen de integriteit, vertrouwelijkheid en

beschikbaarheid van informatie in hedendaagse

gedistribueerde netwerken en de veiligheid van

personeel, materieel, gebouwen en processen niet

garanderen zonder dat iedere betrokken medewerker

zijn rol en verantwoordelijkheid begrijpt en adequaat is

opgeleid. De menselijke factor is een dermate grote

kritieke succesfactor dat het noodzakelijk en verplicht is,

om management, beheerders en gebruikers van

systemen periodiek een bewustwordingsprogramma te

laten volgen dat gericht is op beveiliging.

Deze handreiking voor het ontwikkelen van een

Security Awareness programma geeft organisaties een

aanzet om een eigen bewustwordingsprogramma op te

zetten of verder uit te bouwen. Het behandelt op grote

lijnen het ontwikkelen van een plan, de ontwikkeling van

materiaal en de implementatie en evaluatie ervan.

De start van de ontwikkeling van deze handreiking ligt

nog maar kort achter ons en het NAVI is zich er van

bewust dat tussen maar ook binnen de vitale sectoren

een grote diversiteit is aan behoefte van bedrijven. Deze

handreiking heeft daarom de status van een eerste

openbare concept. De lezer wordt van harte uitgenodigd

commentaar en aanvullingen te geven waardoor het

plan van aanpak van het bewustwordingsprogramma

breder inzetbaar is en de kwaliteit verhoogd wordt.

Not My Problem

Professionals en hun organisaties zijn bereid om

grote investeringen te doen

om technische maatregelen te implementeren

(techniek): veelal de eerste

volwassenheidsfase.

Professionals komen er achter dat techniek alleen

niet genoeg is. Procedures

dienen volledig te zijn, gecommuniceerd te

worden – kortom: beveiliging dient

georganiseerd te worden. De tweede

volwassenheidsfase.

En als het dan georganiseerd is, en de techniek is

afgesteld, dan blijkt veelal

dat mensen 'het gewoon niet zo doen'. En

Nederlanders al helemaal niet.

Nederlanders hebben een hekel aan

beveiligingsmaatregelen: “Waar is het

voor nodig?” “Hier gebeurt nooit wat” “Laten ze

maar eerst bij zichzelf

beginnen ”en andere uitvluchten, samen te vatten

tot “It Is Not My Problem”.

Bron: Lezing van het Platform voor

Informatiebeveiliging


Inhoudsopgave 1. Productbeschrijving ..................................................................................................................................... 9

1.1. Inleiding ................................................................................................................................................ 9

1.2. Achtergrond.......................................................................................................................................... 9

1.3. Relatie met andere literatuur ................................................................................................................ 9

1.4. Leeswijzer .......................................................................................................................................... 10

2. Product ........................................................................................................................................................ 11

2.1. Algemeen ........................................................................................................................................... 11

2.2. Doelgroep........................................................................................................................................... 12

2.3. De relatie naar bekwaamheid en bewustzijn ...................................................................................... 12

2.4. Waarom “Eerste openbare Concept”?................................................................................................ 12

3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding ....................................... 15

4. De ontwerpfase ........................................................................................................................................... 17

4.1. Inleiding .............................................................................................................................................. 17

4.2. Structureren van een programma....................................................................................................... 17

4.3. Belangen- en behoeftebepaling.......................................................................................................... 18

4.4. Opstellen van een plan....................................................................................................................... 19

4.5. Stellen van prioriteiten ........................................................................................................................ 20

4.6. Mate van complexiteit......................................................................................................................... 20

4.7. Budgettering ....................................................................................................................................... 21

4.8. Commitment en draagvlak.................................................................................................................. 21

5. De ontwikkeling van materiaal................................................................................................................... 23

5.1. Inleiding .............................................................................................................................................. 23

5.2. Ontwikkelen van bewustwordingsmateriaal........................................................................................ 23

5.3. Selecteren van onderwerpen voor bewustwording............................................................................. 23

5.4. Bronnen voor materiaal ...................................................................................................................... 24

5.5. Uitbesteden of zelf doen?................................................................................................................... 25

5.6. Partnerschap ...................................................................................................................................... 25

5.7. Informatie-uitwisseling via de website van het NAVI .......................................................................... 25

5.8. De vorm.............................................................................................................................................. 25

6. De implementatiefase................................................................................................................................. 27

6.1. Wijze van communiceren ................................................................................................................... 27

6.2. Technieken om de “boodschap” over te brengen ............................................................................... 27

7. De evaluatie- en onderhoudsfase.............................................................................................................. 29

7.1. Meten van de deelname en de effectiviteit ......................................................................................... 29

7.2. Evaluatie en feedback ........................................................................................................................ 30

7.3. Veranderingen doorvoeren................................................................................................................. 30

7.4. Verhogen van het niveau.................................................................................................................... 31

7.5. Succes indicatoren ............................................................................................................................. 31

8. Bijlage 1: Voorbeelden ............................................................................................................................... 33

8.1. Bewustwordingsprogramma gericht op Social Engineering................................................................ 33

8.2. Enkele voorbeelden van posters ........................................................................................................ 34

9. Bijlage 2; Literatuuroverzicht .................................................................................................................... 35


1. Productbeschrijving

1.1. Inleiding

Voor u ligt het eerste openbare concept van ‘Bewust Vitaal’, de handreiking Security Awareness van het NAVI.

Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een Security

Awareness programma. Het bevat naast een stappenplan ook een plan van aanpak en creatieve ideeën om een

bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden

gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen.

1.2. Achtergrond

Het NAVI heeft ervaren dat er een grote diversiteit is in de mate waarin bedrijven binnen de vitale sectoren hun

bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn een voorwaarde voor

veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen, achtergronden van

maatregelen toe te lichten en de noodzaak om maatregelen te nemen te verduidelijken, zal zijn houding en

gedrag ten opzichte van security beïnvloed worden.

1.3. Relatie met andere literatuur

Bewustwordingsprogramma’s zijn er in veel geuren en kleuren, en ze

hebben allemaal gemeen dat ze geschreven zijn voor een bepaald

bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en

risico’s. Bewustwordingsprogramma’s kunnen daarom niet zonder

meer worden overgenomen van andere bedrijven en moeten dus

vaak zelf ontwikkeld of aangepast worden. Handleidingen om te

komen tot de ontwikkeling van een bewustwordingsprogramma die

zich richten op de bedrijven in Nederland in de vitale sectoren, zijn er

niet. Natuurlijk is er wel veel over geschreven in diverse publicaties

maar de benodigde informatie is te verspreid om een eenduidig beeld

te geven. De bundeling van de informatie voor deze doelgroep is

daarom uniek.

Enkele voorbeelden van publicaties die waardevolle aanvullende informatie kunnen geven zijn (zie ook

literatuurbijlage):

- Building an Information Technology Security Awareness and Training Program van het NIST (National

Institute of Standards and Technology)

- Information Technology Security Training Requirements van het NIST

- Bruce Schneier, Beyond Fear:

- K.D. Mitnick, The art of deception; the human factor in Information Security

- Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion

- Y. Lafrance, Psychology: A precious security tool

Bruce Schneier:

Security yes, but down to earth,

without the mumbo jumbo,

without shouting in utter Panic:

“Barbarians at The Gate”.

Boodschap: overdrijf niet en zorg

voor afweging tussen veiligheid en

werkbaarheid.


1.4. Leeswijzer

De beschrijving van de handreiking, de relatie naar een

volwassenheidsmodel en hoe deze handreiking gebruikt kan

worden vindt u in hoofdstuk 2.

In deze handreiking worden vier kritische stappen onderkend

om te komen tot een bewustwordingsprogramma:

- In Hoofdstuk 3 wordt de samenhang tussen de

componenten training, bewustzijn en opleiding

beschreven;

- De ontwerpfase waarin het doel en de behoefte

wordt bepaald en waarin een strategie wordt

ontwikkeld (hoofdstuk 4);

- De ontwikkeling van trainingsmateriaal, afgestemd

op de mogelijkheden, budget en beschikbare kennis

(hoofdstuk 5). In dit hoofdstuk worden diverse

soorten materiaal besproken zoals web-based

training, video, workshops, etc;

- De implementatie van het programma en de rol van

communicatie daarin (hoofdstuk 6);

- Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 7).

In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder een

programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan

onbekende personen, zogenaamde Social Engineering.

Bruce Schneier; Beyond fear.

Over the last years we've become

obsessed with security, and put in place

a whole host of policies and procedures

that will do... exactly what?

(..) The key is to think of security not in

absolutes, but in terms of sensible trade-

offs, whether on a personal or global

scale.

(..) is a refreshing antidote to today's

doomsday pessimism and anxiety.

Boodschap: overdrijf niet en zorg voor

afweging tussen veiligheid en

werkbaarheid.


2. Product

In dit hoofdstuk wordt beschreven wat de handreiking is, hoe deze gebruikt kan worden en ook wat de

handreiking niet beoogd te zijn. Tevens wordt aangegeven waarom dit document als “Eerste openbare concept”

ter beschikking wordt gesteld.

2.1. Algemeen

Het NAVI heeft zich naar aanleiding van signalen uit de vitale sectoren, tot doel gesteld om een handreiking te

schrijven, die door bedrijven in de vitale sectoren gebruikt kan worden om een bewustwordingsprogramma op te

zetten of te verbeteren. De mate waarin bedrijven een zeker niveau van “volwassenheid” hebben bereikt in het

realiseren van een bewustwordingsprogramma varieert zowel tussen de sectoren onderling, alsook binnen de

sectoren tussen de bedrijven. De mate van “volwassenheid” kan op hoofdlijnen worden onder verdeeld in drie

niveaus, variërend van laag, middel en hoog.

“volwassenheid”

Laag: Bedrijven hebben geen strategisch beleid en/of structureel budget

voor een bewustwordingsprogramma. Er is nog geen of slechts

incidenteel een bewustwordingsprogramma gerealiseerd. De

verantwoordelijkheid voor het uitvoeren van een

bewustwordingsprogramma is niet of slechts beperkt belegd bij een

daarvoor aangewezen medewerker. Opvolging van eerder uitgebracht

programma strandt door het ontbreken van beleid, budget en/of

creativiteit. Incidentregistratie wordt niet of niet volledig uitgevoerd.

Middel: Er is beleid en beschikbaar budget ten aanzien van

bewustwording en er worden bewustwordingsprogramma’s uitgevoerd.

De verantwoordelijkheid hiervoor is belegd bij een medewerker van het

bedrijf. Er vindt incidentregistratie plaats en er worden analyses op de

incidenten uitgevoerd. Het bedrijf is zich bewust van de incidenten die

het gevolg zijn van niet beveiligingsbewust handelen van medewerkers.

Het bedrijf heeft moeite om voortdurend aandacht te blijven vragen voor

het onderwerp beveiligingsbewustwording omdat budgetten onder druk

staan, de relatie naar een verlaging van het aantal incidenten niet

duidelijk is of door andere oorzaken, waaronder een gebrek aan

creativiteit.

Hoog: Er is beleid en beschikbaar budget ten aanzien van

bewustwording en er worden bewustwordingsprogramma’s uitgevoerd.

De verantwoordelijkheid hiervoor is belegd bij een medewerker of een

afdeling van het bedrijf. Over de stand van zaken wordt reguleer

gerapporteerd aan het management. Er vindt incidentregistratie plaats

en er worden analyses op de incidenten uitgevoerd. Het bedrijf is zich

bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust

handelen van medewerkers. De bewustwordingsprogramma’s maken

gebruik van vernieuwende en creatieve middelen en zijn daardoor in

staat de aandacht voor bewustwording vast te houden. Medewerkers

begrijpen de intentie achter maatregelen en zijn daardoor in staat

Informele organisatie

De socioloog Erving Goffman

beschrijft in zijn boek The

Presentation of Self in Everyday

Life op fascinerende wijze de

manier waarop we blijven

geloven in, en vasthouden aan de

formele realiteit:

De wetten, de regels, de Security

Policies, de bewustwordings

trainingen, de seminars, etc.

Daarnaast bestaat er echter een

informele, vaak ontkende

organisatie waarin zelfs in

autoritaire instituties met “total

control” (gevangenissen,

psychiatrische ziekenhuizen, het

leger, religieuze ordes) vinden

mensen hun weg om regels te

buigen en hun eigen realiteit te

creëren om drugs, alcohol, sex,

sigaretten etc. te bemachtigen.

Het is aan te raden om met deze

informele organisatie rekening te

houden bij het formuleren van

(soms complexe)

veiligheidsprocedures


beveiligingsbewust te handelen in alle voorkomende situaties.

2.2. Doelgroep

Deze handreiking Security Awareness richt zich op bedrijven die zich qua “volwassenheid” op de niveaus laag

en/of middel bevinden, dus voor bedrijven die een bewustwordingsprogramma willen starten of uitbreiden. Aan

de hand van case beschrijvingen zal de ervaring van bedrijven die zich op het niveau hoog bevinden, worden

meegenomen. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt bij tot het

uitdragen van kennis, ervaring en creativiteit.

2.3. De relatie naar bekwaamheid en bewustzijn

Een lage mate van beveiligingsbewustwording wordt gekenmerkt doordat mensen fouten maken zonder dat zij

zich er van bewust zijn (1. Onbewust onbekwaam). Het doel van bewustwordingstrainingen is initieel om

medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en waarom dit handelen als

fout getypeerd wordt (2. Bewust onbekwaam). Nadat dit stadium bereikt is wordt de medewerker het juiste gedrag

aangeleerd. De medewerker moet zich bewust zijn van de risico’s van zijn gedrag en handelt zoals hem is

aangeleerd (3. Bewust bekwaam). In de hoogste mate van bewustwording is het veilig handelen van de

medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij handelt in overeenstemming met wat hem

geleerd is en is in staat om het aangeleerde ook in andere situaties toe te passen (4. Onbewust bekwaam).

Onbekwaam Bekwaam

Onbewust 1. Onbewust onbekwaam 4. Onbewust bekwaam

Bewust 2. Bewust onbekwaam 3. Bewust bekwaam

Deze handreiking heeft met name betrekking op “bewust onbekwaam” en “bewust bekwaam” handelen.

2.4. Waarom “Eerste openbare Concept”?

Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed

toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de

ontwikkeling van deze handreiking ligt echter nog maar kort achter ons en het NAVI is zich er van bewust dat

tussen maar ook binnen de vitale sectoren een grote diversiteit is aan behoefte van bedrijven.

De eerste stap is daarom een concept van een generiek

stappenplan en plan van aanpak te presenteren. De

bedrijven binnen de sectoren worden nadrukkelijk

uitgenodigd om hun commentaar en aanvullingen te

geven.

Handreiking houdt hier in dat het gebruikt kan worden bij

de begeleiding van de totstandkoming van een

bewustwordingsprogramma. Het neemt degene die

verantwoordelijk is gesteld, mee in zijn proces om

problemen te onderkennen, doelen te definiëren en

oplossingen te creëren. Het is nadrukkelijk geen keurslijf,

The fallacy of novelty

Nieuwer is nog niet beter

Het is een misvatting dat nieuwe middelen

beter zijn dan de oude. Besluiten worden

vaak genomen op basis van de aanname

dat nieuwer ook beter is en het oude is

afgedankt, in plaats van op meetbare

gegevens. De symboliek van “state of the

art techniek” of “up-to-date” te willen zijn

is soms erg belangrijk.


geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat wordt overgelaten aan de creativiteit

van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit

bewustwordingsprogramma wordt geschreven

De tweede stap is om dit commentaar te verwerken tot een breder gedragen en toepasbare handreiking. Indien

uit de commentaren en aanvullingen blijkt dat er behoefte is aan meer specifieke onderwerpen per bedrijf of

sector, dan wordt deze opgenomen in aanvullende hoofdstukken. Het mag immers duidelijk zijn dat een

bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische

Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is.

U, de lezer, wordt daarom van harte uitgenodigd om bij te dragen aan een kwalitatief betere handreiking Security

Awareness door commentaar en aanvullingen te geven. Ook nodig ik u van harte uit om voorbeelden aan te

dragen van uitdagingen, die u in de praktijk hebt ervaren en die u hebt kunnen oplossen, zodat andere bedrijven

kunnen leren van uw creatieve oplossingen. Wij vragen u nadrukkelijk niet om veiligheidsincidenten die zich

binnen uw bedrijf hebben voorgedaan te beschrijven. Door het openbare karakter van deze handreiking Security

Awareness kunnen wij de vertrouwelijkheid van de incidenten en de afhandeling niet garanderen.


3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding

Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen:

• een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd op de

bestaande en onderkende risico’s;

• een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en

organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en

een Operator Security Plan (OSP);

• medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in

beveiligingsdocumentatie en procedures; en

• processen die het programma periodiek impulsen geven, bewaken en evalueren.

Een goed bewustwordingsprogramma moet aansluiten bij dit beveiligingsprogramma. Zowel de inhoud als het

gebruikte instructiemateriaal moet gebaseerd zijn op de strategie en beveiligingsplannen van de organisatie

alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de

organisatie en aansluit bij de belevingswereld van de medewerkers.

Een bewustwordingsprogramma moet zich niet alleen

richten op de medewerker op de werkvloer maar op alle

medewerkers van een organisatie, dus inclusief de

beheerders en het (top)management. Het management

heeft daarbij de bijzondere taak om voorbeeldgedrag te

vertonen. Goed voorbeeldgedrag is een noodzaak om te

communiceren dat het management de navolging van

veiligheidsregels onderschrijft. Slecht voorbeeldgedrag van

het management wordt door medewerkers op de werkvloer

gezien als excuus om zelf de veiligheidsregels niet na te

hoeven leven. De effectiviteit van een

bewustwordingsprogramma is hier in grote mate van

afhankelijk.

Veiligheidsvoorschriften en procedures zijn vaak wel voor

alle medewerkers beschikbaar, op het intranet of fysiek als

bundel in een archiefkast. Instructie over nut en noodzaak

en de beoefening van de procedures wordt vaak

achterwege gelaten. De medewerker krijgt in dat geval

opdracht om zich de procedures zelf eigen te maken, maar

zal daar geen prioriteit aan geven. Een bewustwordings- ,

opleidings- en trainingsprogramma is essentieel in de

verspreiding van noodzakelijke informatie die gebruikers,

inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als

communicatiemiddel in de verspreiding van veiligheidsmaatregelen.

Kadootjes doen het goed

Nederlanders zijn als geen ander volk spaarders van

zegeltjes, airmiles en freebees. Voor een klein

kadootje doen ze veel. Een ministerie wilde

stimuleren dat het overgrote deel van de

ambtenaren deel zou nemen aan een

bewustwordingsprogramma. Het bood aan alle

deelnemers een CD (in creditkaartformaat) aan met

gratis software voor thuisgebruik waaronder een

firewall, anti virus software en programma’s tegen

spam en ongewenste advertenties. Ook werd

software geleverd waarmee ouders hun kinderen

konden beschermen tegen bezoeken aan

ongewenste sites. Daarnaast werd een cursus veilig

PC-thuisgebruik op de CD aangeboden en bestond

de mogelijkheid een gekwalificeerde digitale

handtekening aan te vragen.

De deelname overtrof alle verwachtingen!

En de kosten? Die bedroegen € 3,00 per CD


Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een

medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de

veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een

sanctiemodel indien een medewerkers de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden

verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van

deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden

van deze maatregelen en weten elke mogelijke sancties staan op het niet opvolgen of naleven van deze

maatregelen.

Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van

beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht

gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm

van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden

aangeleerd.

Voor een deel van de medewerkers volstaat een

bewustwordingsprogramma niet. Medewerkers die specifieke of

specialistische kennis op het gebied van beveiliging nodig hebben

zullen veelal een externe opleiding volgen die in veel gevallen zal

lkeiden tot certificering. Op de Nederlandse markt zijn een groot

aantal aanbieders van internationaal erkende opleidingen actief

die leiden tot een eveneens internationaal bekende en erkende

titel.

Een goed bewustwordingsprogramma richt zich dus op alle

relevante psychologische componenten: kennis (d.m.v. interne of

externe opleidingen), houding (bewustzijn & competenties) en

gedrag (d.m.v. herhaalde oefening en training). Indien aan één

van deze drie componenten niet of onvoldoende aandacht wordt

besteed, functioneert een bewustwordingsprogramma niet naar

behoren en is het op termijn gedoemd te mislukken.

SE als nul-meeting

U wilt weten hoe het gesteld is met het naleven

van veiligheidsmaatregelen in uw organisatie?

Overweeg dan eens te starten met een security

audit die gebaseerd is op Social Engineering.

Hierbij proberen auditors door middel van list en

psychologische trucs om uw medewerkers (per

telefoon of op locatie) te verleiden af te wijken

van veiligheidsprocedures en vertrouwelijke

informatie te verstrekken, toegang te verlenen

tot locaties, netwerken en archieven.

En weet u al dat ongenode gasten mee kunnen

liften bij de toegang tot het pand? Deze auditors

tonen op deze manier aan tot welke

vertrouwelijke informatie of (proces)systemen

zij toegang kunnen krijgen.


4. De ontwerpfase

In de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en een

strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van een

bewustwordings- en trainingsprogramma:

1. de ontwerp het programma zelf,

2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken

3. de feitelijke implementatie van het programma

Daarna is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt

bewustwordings- en trainingsprogramma vergt de nodige inspanning voordat het daadwerkelijk de veiligheid en

de waakzaamheid vergroot binnen een organisatie.

Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het

ontwerp van een programma.

4.1. Inleiding

Een bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een open deur? Wellicht, maar een

bewustwordingsprogramma zal alleen voldoende aandacht krijgen als het in overeenstemming is met de missie,

de directe belangen of de veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en

passen binnen zijn cultuur. De meest succesvolle programma’s zijn die, waarbij gebruikers ervaren dat de

onderdelen bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook

nadrukkelijk onderkennen). Iets wat als wezensvreemd wordt ervaren zal nooit worden uitgevoerd!

In de ontwerpfase worden de te beveiligen belangen en

behoeften vastgesteld, de hiervoor relevante onderwerpen

en prioriteiten geïdentificeerd, en vervolgens zaken als

draagvlak, commitment en budget gezocht.

In onderstaande paragrafen worden de volgende

onderwerpen behandeld:

- De structuur van een bewustwordings- en

trainingsprogramma

- De behoeftebepaling

- Het opstellen van een plan

- Het stellen van prioriteiten

- Het reduceren van complexiteit

- De budgettering

- Commitment en draagvlak

4.2. Structureren van een programma

Bij het bepalen van de structuur van een programma kan

gebruik worden gemaakt van drie basismodellen die

voornamelijk verschillen in de wijze waarop centraal of

decentraal uitvoering wordt gegeven aan het programma.

Voor alle drie de modellen geldt dat het beleid zelf centraal

Gebruik eenvoudige maar

effectieve hulpmiddelen

Dwingt uw netwerk ook af dat er gebruik

wordt gemaakt van sterke, cryptische

wachtwoorden (3 van de 4 mogelijkheden van

grote en kleine letters, cijfers en leestekens)

om ontdekking te voorkomen? In veel gevallen

wordt het wachtwoord dan Piet2009. Het

voldoet aan de regels maar is het ook veilig

genoeg?

Op het internet zijn voldoende handleidingen

te vinden om veilige wachtwoorden te maken;

gebruik ze binnen uw bedrijf en ondersteun

veilige wachtwoorden m.b.v. een tool die de

kwaliteit weergeeft in kleuren of cijfers.

1VpK=/Zm

(Een veilig password kiezen is niet zo moeilijk)


is vastgesteld. De modellen zijn:

Model 1: Gecentraliseerde strategie en uitvoering;

Model 2: Gecentraliseerde strategie en decentrale uitvoering;

Model 3: Decentrale strategie en uitvoering

De keuze voor het model wordt bepaald door:

- De geografische spreiding van onderdelen van de organisatie

- De functie, taken en verantwoordelijkheden van een (deel)organisatie

- De toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten)

De keuze voor een bepaald model dient bij voorkeur te sporen met

hetgeen in de reguliere bedrijfsvoering van de organisatie gebruikelijk is.

Een geheel gedecentraliseerde uitvoering van bewustwording binnen

een voor het overige volledige centraal geleide organisatie of vice versa

zal weinig succesvol zijn. Dit is roeien tegen de stroom in.

4.3. Belangen- en behoeftebepaling

Aan de voet van de beveiligingstrategie ligt een goede risico-analyse.

Hierin worden de belangen en bedreigingen van de organisatie

geïdentificeerd. De NAVI-handreiking over risico-analyse kan hierbij

behulpzaam zijn.

Op basis van deze belangenanalyse dient vervolgens een

behoeftebepaling plaats te vinden. Dit is een proces waarin bepaald

wordt in welke mate een organisatie ook behoefte heeft aan een

bewustwordingsprogramma in het kader van zijn beveiliging. Hierin

wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld,

als ook wat voor overbrugging daarvan noodzakelijk is.

- Strategisch management;

- Management verantwoordelijk voor beveiliging (fysiek e/o IT)

- Beveiligingsfunctionarissen, zowel management als uitvoering

- Systeemeigenaren en administrators

- Operationele managers en uitvoerders.

Om de behoefte te kunnen bepalen kan gebruik worden gemaakt van

o.a. diverse technieken:

- Interviews met bovenstaande groepen

- Onderzoek naar bestaande bewustwordings- en

trainingsprogramma’s, trainingsschema’s en deelnemerslijsten

- Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en

-procedures,

- Incidentregistratie en de afhandeling

- Trends in vakbladen

- Wijziging in weten regelgeving

- Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op

beveiligingsgebied)

Bang voor illegale

USB-sticks?

Meer dan 50% van mensen die een

USB-stick vinden brengen hun

computer in gevaar door ze aan te

sluiten; misschien bent u wel 1 klik

verwijderd van een groot

netwerkprobleem. Is uw

organisatie of het netwerk niet

ingericht om niet door de

organisatie verstrekte USB-sticks

te weren, overweeg dan eens om

een test uit te voeren met een

zogenaamde honeystick. Hierbij

worden door de organisatie

geprepareerde USB-sticks

schijnbaar achteloos achtergelaten

binnen en/of buiten het bedrijf.

Zodra een USB-stick aangesloten

wordt op het bedrijfsnetwerk,

wordt automatisch een verbinding

tot stand gebracht met een

systeem dat de USB-stick en de

gebruiker registreert en de

gebruiker vervolgens op de hoogte

brengt van de overtreden

veiligheidsregel. Voor meer

informatie zie:

http://honeystickproject.com


- Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT

Meetbare gegeven zoals de registratie van incidenten en deelnemers aan trainingen geven een objectief inzicht in

de stand van zaken en de behoefte voor evaluatie van een bestaand programma.

Analyse van de resultaten van de interviews en

onderzoeken moet leiden tot beantwoording van de

volgende vragen:

- Wat is de behoefte aan een

bewustwordings- en trainingsprogramma of

opleiding?

- Op welke manier wordt op dit moment

voorzien in de behoefte en hoe effectief is

dit?

- Wat is het verschil tussen de behoefte en

wat momenteel wordt gerealiseerd (gap-

analyse)?

- Welke onderwerpen wordt als het meest

kritisch gezien?

- En langs welke weg kan de wenselijke

situatie het best worden bereikt?

In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er

gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten

de bedrijfscultuur een hinderpaal vormt, of waarin de capaciteit en kwaliteit van het IT-netwerk van de organisatie

een Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te

onderzoeken of een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken

naar een externe locatie, enzovoort.

4.4. Opstellen van een plan

Nadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke

bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat

de basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende

onderwerpen:

- De formele basis voor het programma met bestaande weten regelgeving, aangevuld met bedrijfseigen

beleid en richtlijnen;

- De aansturing van het programma en de inbedding in de managementlijn;

- De scope van het programma;

- De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de

ontwikkeling en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die

betrokken zijn bij de uitvoering van het programma;

- Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training,

opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten;

- Bepaling van de doelgroepen voor de onderdelen van het programma;

- Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname;

- Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma;

Medisch Centrum zet

bewakingspersoneel in

Bij het uitvoeren van een

bewustwordingsprogramma zag een Medisch

Centrum zich voor de uitdaging gesteld om ook de

avond- en nachtdienst van de verpleging te

bereiken. Het betreffende MC heeft daarvoor de

beveiligers opgeleid die tijdens hun rondes en de

pauzes van de verpleging op de afdelingen actuele

beveiligingsonderwerpen bespraken. Het resultaat

was een duidelijke stijging in het aantal meldingen

van verdachte situaties en een verlaging van het

aantal diefstallen.


- Wijze van communiceren (CBT, instructielokaal, presentatie,

posters, etc.);

- Documentatie, terugkoppeling en registratie van deelname;

- Wijze waarop de resultaten van het programma worden

verankerd in de reguliere bedrijfsvoering en hoe aan

onderhoud daarvan verder uitvoering kan worden gegeven;

- Hoe evaluatie van en nazorg vanuit het programma zal

plaatsvinden,

4.5. Stellen van prioriteiten

Als de strategie en het plan zijn opgesteld kan bepaald worden op

welke wijze de implementatie kan plaatsvinden. Bij een omvangrijk

programma kan dit in fasen gebeuren. Het is daarbij van belang zijn

om prioriteiten te stellen en om belangrijke en urgente zaken voorrang

te verlenen. De volgende overwegingen spelen daarbij een rol:

- De beschikbaarheid van materiaal en personen;

- De rol van de organisatie en de complexiteit (of eenvoud)

waarmee een programma kan worden gerealiseerd;

- De huidige stand van het niveau van bewustwording (grote

“gaten” eerst dichten);

- De vraag in hoeverre andere prioritaire projecten afhankelijk

zijn van het bewustwordingsprogramma?

In zijn algemeenheid geldt hier het volgende adagium. Hoe meer focus, hoe groter de kans op succes. Een vaak

voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te veel

zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei

cultuurprogramma’s die beogen ‘de’ bedrijfscultuur te veranderen. Te veel tegelijk willen vergroot de kans dat het

proces tussentijds ’krakend tot stilstand komt’, en men daardoor uiteindelijk minder bereikt dan met een duidelijke

focus wellicht wel het geval zou zijn geweest.

4.6. Mate van complexiteit

Een tweede succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de

complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het

programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk:

- de functie van de cursist en daarmee het opleidingsniveau

- de benodigde kennis en vaardigheden die voor die functie nodig zijn

Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de

over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het

management maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over

het beleid en de veiligheidsregels. Indien een bewustwordingsprogramma enige tijd is uitgevoerd kan

differentiatie worden aangebracht in de doelgroepen en kan de complexiteit van de informatie worden aangepast

aan het niveau en de functie van de deelnemers.

Het poldermodel in

security

Veiligheidsregel van bedrijven

worden soms onbewust maar ook

regelmatig bewust overtreden. In

tegenstelling tot andere landen

zijn Nederlanders over het

algemeen geneigd om hun eigen

mening omtrent security ook toe

te passen in de bedrijfsomgeving.

Regels waarvan nut en noodzaak

niet bekend zijn of niet

onderschreven wordt, worden dan

bewust niet opgevolgd. Bij het

opzetten van een programma moet

daarom niet alleen op de focus op

de inhoud liggen, maar ook op de

noodzaak van opvolgen van

veiligheidsregels.


4.7. Budgettering

Nadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget

worden bepaald.

Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die betrekking

hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de kosten die

gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies aan

productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn:

- Een zeker percentage van het gehele opleidings- en trainingsbudget

- Budget per medewerker, afhankelijk van zijn rol,

- Een percentage van het IT Budget (let op: Niet alle

beveiliging is IT-gerelateerd)

- Expliciete berekening van het gehele programma.

Er zijn problemen te verwachten in het realiseren van

beveiligingsbewustzijn indien de budgetten lager uitvallen dan

benodigd. Het is de expliciete verantwoordelijkheid van het

management om voldoende budget beschikbaar te stellen. Het

hanteren van het stappenplan en accorderen van het resultaat van

iedere stap (strategie, behoefte, plan) door het management, biedt de

grootste mate van zekerheid om het benodigde budget vrij te maken.

Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de

doelen (behoefte) bij te stellen, een fasering aan te brengen of

budgetten te herverdelen. Ook kan er uiteraard gelobbyd worden voor

meer budget.

4.8. Commitment en draagvlak

Een programma dat niet wordt gedragen, en dan met name door het

management, is gedoemd te mislukken. Het (top)management zal

actief en frequent zijn commitment moeten uitspreken door aanwezig

te zijn op belangrijke momenten in het programma zoals de start van

het programma, de openstelling van een website, de eerste

presentatie etc. Alleen dan zal het draagvlak creëren bij de

medewerkers.

Commitment van de

leiding, maar hoe?

De “baas” moet uitstralen dat hij

het bewustwordingsprogramma

belangrijk vindt en moet het dus

ook uitdragen. Een aantal

voorbeelden hoe dat gerealiseerd

kan worden:

- Laat de baas de opening doen,

kleed dat feestelijk aan en zorg

voor een prominente spreker;

- Plaats een interview met de baas

over zijn beleving van veiligheid

en werkbaarheid;

- Laat de baas prijzen uitreiken

aan de winnaars van een

veiligheidsprijsvraag en plaats

daar een artikel over.

- De baas onderwerpt zich

(uiteraard) ook aan de regels.


5. De ontwikkeling van materiaal

Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een

bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal,

afgestemd op de mogelijkheden, budget en beschikbare kennis. In dit hoofdstuk worden diverse soorten

materiaal besproken zoals web-based training, video, workshops, etc.

5.1. Inleiding

Nadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij

de ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden:

- Welk gedrag willen we versterken en

- Welke vaardigheden willen we aanleren en toe laten passen

Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en

horen in hun dagelijkse werk te implementeren, als zij het gevoel hebben dat

het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten bij de

belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit

houdt in dat materiaal ontwikkeld moet worden dat voor iedere medewerker

toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op een

specifieke doelgroep.

Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past

het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de

doelgroepmedewerkers daarbij indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat veel

mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat

allerlei ‘aanvullende’ zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag.

5.2. Ontwikkelen van bewustwordingsmateriaal

Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld

moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie

beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten,

vakbladen en nieuwsbrieven van diverse beveiligingsorganisaties en instellingen. Hierover in de volgende

paragrafen meer.

5.3. Selecteren van onderwerpen voor bewustwording

Een groot aantal onderwerpen kunnen in een bewustwordingsprogramma worden behandeld. Zonder uitputtend

te zijn volgt hier een overzicht met mogelijke onderwerpen:

- Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van

verandering, geheimhouding, hoe om te gaan bij meerdere systemen;

- Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat

doet die kwaadaardige software en hoe blijft mijn virusscanner up-to-date. Leg hierbij ook de relatie naar

het thuisgebruik;

- Beleid; implementatie in projecten en compliancy;


- Onbekende e-mails en/of bijlagen;

- Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van

gebruikershandelingen;

- Hoe om te gaan met SPAM berichten;

- Opslag van gegevens en de wijze van backup door de organisatie;

- Social Enginering; misbruik van vertrouwen van medewerkers door kwaadwillenden;

- Incidenten; wat te doen, bij wie te melden;

- Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”;

- Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water,

stof, vuur, tijdelijk uitgeschakelde toegangscontrole, etc.)

- Risico’s tijdens verhuizingen;

- Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen;

- Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.);

- Gebruik van vercijfering van gegevens tijdens transport en opslag;

- Laptops tijden reizen; risico’s van diefstal van apparatuur en gegevens;

- Installeren van updates;

- Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers

- Toegang tot bedrijfssystemen;

- Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie;

- Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie;

- Desktop beveiliging; screensavers, clear desk en clear screen

- Geheimhouding van vertrouwelijke informatie

- Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik.

5.4. Bronnen voor materiaal

Het aantal en de verscheidenheid van bronnen die materiaal kunnen

leveren voor een bewustwordingsprogramma is groot. Veel van dit

materiaal is beschikbaar op het Internet als openbare bron. In een

aantal gevallen zal het zelfs mogelijk zijn om te beschikken over

complete bewustwordingsprogramma’s. Daarbij is echter een

kanttekening op zijn plaats: Het programma is ontwikkeld met andere

uitgangspunten. Kopieer daarom niet klakkeloos maar selecteer die

onderwerpen die ook in het eigen proces geïdentificeerd zijn en pas ze

aan de eigen behoefte aan.

Enkele voorbeelden van bronnen van materiaal:

- Handleidingen voor zakelijk en privé gebruik van Internet en e-

mail zoals die in nieuwsgroepen beschikbaar zijn;

- Nieuwsbrieven van security organisaties en magazines;

o http://www.schneier.com/crypto-gram.html .A free

monthly newsletter providing summaries, analyses,

insights, and commentaries on security: computer and

otherwise.

o http://www.biometrics.org/

- Whitepapers en ander materiaal dat op websites beschikbaar

GOVCERT; de

waarschuwingsdienst

GOVCERT, de organisatie die

namens de overheid de

bedreigingen op het Internet

bewaakt, biedt de mogelijkheid

om per sms gewaarschuwd te

worden indien b.v. ernstige

kwetsbaarheden in software

ontdekt worden of er een

virusuitbraak dreigt. De dienst is

gratis en kan zowel uw

medewerkers als uw kinderen

meer bewust maken van de

bedreigingen op het Internet.

www.waarschuwingsdienst.nl


wordt gesteld door organisatie van vakgenoten (voor leden en/of niet-leden);

o http://www.pvib.nl/ van het Platform voor InformatieBeveiliging.

- Websites met online nieuwsberichten;

o http://www.security.nl

- Materiaal van conferenties, seminars en cursussen;

- Professionele organisaties die bewustwordingsprogramma’s ontwikkelen.

5.5. Uitbesteden of zelf doen?

Het ontwikkelen van een bewustwordingsprogramma kost veel

tijd, energie en geld. Op enig moment zal de vraag gesteld

worden of we het allemaal zelf wel kunnen en willen.

Onderstaande overwegingen kunnen gebruikt worden rond de

besluitvorming:

- Heeft de organisatie zelf de kennis en capaciteit

beschikbaar? Hebben deze mensen de juiste

vaardigheden en ervaring? Zijn de mensen voor deze

opdracht beschikbaar?

- Is het meer kosten effectief om het programma zelf op te

zetten of uit te besteden?

- Zijn er budgetten beschikbaar?

- Is de organisatie in staat om eenmaal aangeleverde

programma’s zelf te onderhouden?

- Staat de gevoeligheid van de inhoud van het

programma uitbesteding wel toe?

- Past uitbesteding in het beoogde tijdsplan?

- Behoud van benodigde kennis.

5.6. Partnerschap

Waarom zelf ontwikkelen als anderen u al voor gegaan zijn. Het ontwikkelen van een programma kan gebaat zijn

bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan

worden uitgewisseld maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet

alleen de kosten maar bevorderd ook het uitwisselen van creatieve ideeën.

5.7. Informatie-uitwisseling via de website van het NAVI

De website van het NAVI biedt een beveiligde mogelijkheid voor het uitwisselen van vertrouwelijke informatie

door o.a. gebruik te maken van een geregistreerde en geautoriseerde gebruikers, fora en vercijferde toegang. Via

deze website kunt u veilig informatie uitwisselen en delen met door u zelf bepaalde organisaties en personen.

Voor meer informatie verwijs ik u naar http://www.navi-online.nl/.

5.8. De vorm

Er bestaat een groot scala aan technieken en vormen om de boodschap uit te dragen. De keuze, of combinatie

van keuzes, hangt af van het type boodschap, de organisatie en zijn cultuur, en de complexiteit van de

boodschap. Bij de start van een bewustwordingsprogramma is het van belang de focus te leggen op de meest


belangrijke risico’s die een organisatie loopt en zich te richten tot alle

medewerkers. Een overdosis aan onderwerpen, de wijze waarop het

programma gecommuniceerd wordt of te grote differentiatie naar type

medewerkers, zal afleiden van de essentie van het programma. Nadat

initieel een bewustwordingsprogramma gehouden is voor alle

medewerkers met de meest prangende onderwerpen, kan differentiatie

plaatsvinden naar medewerkers (uitvoerders, staf, midden en

strategisch management), de wijze waarop de onderwerpen

gecommuniceerd worden (webgebaseerde training, presentaties,

nieuwsbrieven). Onderstaand overzicht kan een hulpmiddel zijn bij de

keuze van de wijze waarop de onderwerpen gecommuniceerd kunnen

worden:

- Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen,

post-it briefjes, sleutelhangers, keycords, klokken;

- Posters met informatie over wat te doen of juist niet te doen;

- Screensavers met wisselende teksten;

- Nieuwsbrieven;

- E-mail berichten;

- Videoberichten;

- Webgebaseerde informatie of trainingen;

- Presentaties door een instructeur;

- Security dagen;

- Security tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een

bevestiging weer verdwijnen)

- Kruiswoordpuzzels

- Prijsvragen

In alle gevallen is het van belang om de boodschap op meerdere manier over te brengen. Dit versterkt de kracht

van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord

behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt.

Snelle reactie op

verloren USB-stick

Het ministerie van Defensie kwam

enige tijd geleden in het nieuws

door het verlies van een USB-stick

met zeer gevoelige informatie. Het

ministerie reageerde daarop direct

door extra aandacht te vragen voor

dit onderwerp in bestaande

bewustwordingsprogramma’s.


6. De implementatiefase

Na de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een

bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de rol van communicatie bij de

implementatie het programma.

6.1. Wijze van communiceren

Het bewustwordingsprogramma moet binnen de

organisatie uitgelegd en gecommuniceerd worden.

Het doel is begrip en ondersteuning te realiseren voor

de uitvoering van het programma en de bijdrage die

van de medewerkers verwacht wordt. De

communicatie zal moeten verduidelijken wat de

verwachtingen van het management zijn en de te

verwachten resultaten voor de organisatie. De wijze

waarop het project bekostigd wordt (centraal budget

of doorbelasting) moet voor het managent duidelijk

zijn. Verder is het van belang dat iedereen in de

organisatie die betrokken is bij het programma, zijn

eigen taken en verantwoordelijkheden kent, maar ook

die van de andere deelnemers. Als aanvulling hierop

moeten ook tijdschema’s en beoogde resultaten (in

aantal deelname en percentage geslaagden per

onderdeel) gecommuniceerd worden.

In paragraaf 4.2 wordt een aantal basismodellen

besproken voor het bepalen van de structuur van een

programma. De basismodellen verschillen

voornamelijk in de wijze waarop centraal of decentraal

uitvoering wordt gegeven aan het programma. Het

spreekt voor zich dat de wijze waarop de

communicatie moet worden ingericht (centraal of

decentraal) moet aansluiten bij de keuze die in paragraaf 4.2 gemaakt is.

6.2. Technieken om de “boodschap” over te brengen

In hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden

overgebracht. In deze paragraaf worden in aanvulling hierop verschillende technieken besproken.

De techniek die gebruikt gaat worden om de boodschap naar de medewerker te brengen moet voldoen aan een

aantal criteria:

- Eenvoud in gebruik; gebruiks- en onderhoudsvriendelijk (updates);

- Schaalbaarheid; verschillende kennisniveaus van de gebruikers, grootte van de deelnemersgroepen en

verschillende locaties (klaslokaal en auditorium);

Veiligheidsregels worden pas

opgevolgd indien een medewerker

het in zijn portemonnee voelt

Veiligheidsregels zijn lastig en worden niet altijd

begrepen. De naleving van de veiligheidsregels heeft

voor de medewerker vaak geen consequenties

waardoor het hem aan motivatie ontbreekt. Bij het

opzetten van een bewustwordingsprogramma moet

met top- en middenmanagement, personeelsafdeling

en eventueel de ondernemeningsraad worden

afgesproken op welke wijze naleving van

veiligheidsregels onderdeel worden van het

beoordelingssysteem en welke correctieve

maatregelen gebruikt kunnen worden. Dit kan

bijvoorbeeld door privileges op te schorten of

daadwerkelijk strafmaatregelen te nemen (b.v. korting

op een bonus).

Voorwaarde is een gedegen onderzoek bij een

geconstateerd veiligheidsincident met hoor en

wederhoor en schriftelijke vastlegging.


- Vastleggen van meetgegevens; aantal

deelnemers, scores, tijdsbesteding,

correlaties tussen deelnemersgroepen en

resultaten;

- Beschikbaarheid op de markt; aantal

potentiële leveranciers

De meest gebruikelijke technieken zijn:

- Interactieve Video Training (IVT) dat gebruikt

kan worden voor leren en trainen op afstand

en maakt gebruik van technologie die twee

richtingverkeer voor interactieve audio en

video mogelijk maakt. De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan

niet-interactieve vormen.

- Web gebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo

deelnemen aan het programma. Er kunnen testen meetmomenten ingebouwd worden en de resultaten

kunnen worden teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het

programma herhaald worden. De techniek van de web gebaseerde training is sterk in ontwikkeling. Het

is zelfs mogelijk dat instructeur en deelnemers (of deelnemers onderling) interactief met elkaar kunnen

communiceren;

- Niet- Web gebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal door

deze beschikbaar te stellen op intranet website voor download. Het programma wordt dan door iedere

deelnemer vanaf zijn eigen werkstation gevolg, zonder interactie met een instructeur of andere

deelnemers;

- On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de

begeleiding van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of

auditorium, een trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van

kennisoverdracht. In grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle

medewerkers ook deel kunnen nemen en kan geografische spreiding van medewerkers leiden tot lange

reistijden of instructie op meerdere locaties.

De meest krachtige vorm bij kennisoverdracht is het

gebruik van meerdere technieken. Zo kan een instructeur

eerst vertellen (presenteren) over een bepaald onderwerp

waarna een videopresentatie gestart wordt ter

ondersteuning van het onderwerp. In een later stadium kan

een deelnemer via een interactieve trainingg meer kennis

en vaardigheid opdoen vanaf zijn eigen werkplek.

Praatje, plaatje, daadje

Hoe blijft de boodschap het beste “hangen”?

De volgende wijsheid kan daarbij helpen:

“Vertel het me en ik zal het vergeten.

Laat het me zien en ik zal het onthouden.

Laat het me doen en ik zal het Begrijpen.”


7. De evaluatie- en onderhoudsfase

Na de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke

uitvoering van het bewustwordingsprogramma volgt de “laatste” fase in een bewustwordingsprogramma. Dit

hoofdstuk beschrijft deze “laatste” stap: de evaluatie- en onderhoudsfase van het programma. Deze fase

beoordeelt of het effect van het programma in overeenstemming is met het gedefinieerde ontwerp, en het

resultaat voldoet. Deze fase maakt van het gehele proces van de ontwikkeling van een

bewustwordingsprogramma een cyclisch en zich herhalend proces.

7.1. Meten van de deelname en de effectiviteit

Gedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden

over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om

informatie te verstrekken over:

• cursus- en opleidingsdata,

• inhoud van de opleiding

• deelname, zowel totalen als percentages per organisatieonderdeel

• waarderingen uit de evaluatieformulieren van de deelnemers

De meetgegevens kunnen gebruikt worden voor

rapportages aan het management over de mate van

compliance, de kwaliteit en volwassenheid van het

opleidings- en trainingsprogramma, de bereidheid

van afdelingen om deelnemers af te vaardigen en

kwaliteitsverbetering. De deelnamegegevens geven

een rechtvaardiging van beschikbaar gesteld budget

en geven in detail aan of medewerkers hebben

deelgenomen aan het programma. Hieruit kunnen

voor zowel de medewerkers als voor

afdelingsmanagement consequenties volgen.

Medewerkers die deelgenomen hebben aan een

dergelijk programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties. Is deelname aan een

bewustwordingsprogramma een functie-eis, dan kan het niet deelnemen of niet slagen consequenties hebben

voor de uitoefening van de betreffende functie. De organisatie loopt in dat geval een te groot risico loopt op

schade door onachtzaam foutief handelen van personeel dat geen training heeft gevolgd.

De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve actiefsmoeten

worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan het

verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden

opgedragen, er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt

aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak

om de correcties en aanpassingen uit te werken en te implementeren


7.2. Evaluatie en feedback

Formele evaluatie en feedback is een kritische component van een bewustwordingsprogramma. Voortdurende

verbetering kan niet plaatsvinden als het ontbreekt aan een goed gevoel hoe een programma werkt. Vanaf de

start van de ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te

tekenen, moet dus nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden

vastgesteld.

Er zijn een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te

stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van

kwaliteit, scope, gebruikte methoden (o.a. Interactieve Video trainging, web gebaseerd), moeilijkheidsgraad,

eenvoud van gebruik, duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en

suggestie voor verbetering.

De meest gangbare methoden voor evaluatie en feedback zijn:

- Evaluatieformulier; gebruik daarbij zo veel mogelijk

voorbedrukte teksten en normeringen zodat er weinig

geschreven hoeft te worden om een waardering aan te

geven;

- Open forum discussie waar bovenstaande onderwerpen

besproken kunnen worden. Deze vorm van evaluatie biedt

de beste mogelijkheid op nieuwe ideeën en inzichten ter

verbetering van het programma.

- Selectieve interviews met deelnemers waarop in een 1-op-

1 gesprek de onderwerpen van de evaluatie besproken

worden. De selectie van deze groep moet echter objectief

blijven om de uitkomst niet te beïnvloeden. Men moet er echter ook rekening mee houden dat

deelnemers, om diverse redenen, niet altijd hun mening aan (vertegenwoordigers van) het management

van de organisatie willen vertellen. In deze vorm van evaluatie wordt medewerkers wel de mogelijkheid

geboden om hun mening te geven zonder dat zij zich in een groep daarvoor moeten verantwoorden.

- Onafhankelijk observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel;

- Formele statusrapporten door managers van deelnemers.

- Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere,

soortgelijke organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties

die de beschikking hebben over uitgebreide gegevens van resultaten van bedrijven over een langere

periode.

7.3. Veranderingen doorvoeren

Het is noodzakelijk om maatregelen ter verbetering van een programma te nemen omdat er nieuwe technieken in

gebruik genomen worden (ieder weer met andere en nieuwe risico’s), en het kennisniveau en gedrag van de

medewerkers verandert. Noodzakelijke wijzigingen kunnen ook veroorzaakt worden omdat een organisatie zijn

missie of doelstelling bijstelt of inzichten wijzigen hoe de doelstellingen van het programma gehaald kunnen

worden. Belangrijke landelijke of internationale ontwikkelen, of de komst van nieuwe wetgeving kunnen ook hun

invloed hebben op een programma.

Not My Problem

Niet dat beveiliging niet als een

probleem wordt gezien, alleen niet dat

van mij. En vraag me niet van wie wel,

want dat weet ik niet precies.

Van medewerker tot directielid is dit

een veel gehoorde reactie: NMP.

Bron: Lezing van het Platform voor

Informatiebeveiliging


7.4. Verhogen van het niveau

Zoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op

de meest cruciale securiy aspecten en zich moeten richten op iedere medewerker, dus van (top)management tot

de medewerker op de werkvloer. Nadat het beoogde niveau gehaald is, zal de volgende stap gezet moeten

worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op te zetten

voor alle medewerkers, maar ook door differentiatie aan te

brengen naar type medewerker, zijn niveau, zijn taken en

verantwoordelijkheden. In dit laatste geval wordt er differentiatie

aangebracht naar doelgroepen, die ieder hun niveau toegesneden

programma gaan volgen. Op deze wijze zal het programma

groeien in volwassenheid. Het verdient aanbeveling om het

verhogen van het niveau in het ontwerp van het programma mee

te nemen en te baseren op meetbare gegevens. Een norm voor

het verhogen van het niveau zou in dat geval een deelname van

ten minste 85% en een slagingspercentage van 90% kunnen zijn.

Tijdens het uitvoeren van een programma verdient het

aanbeveling om voortdurend de ontwikkelingen op de mark van

bedreigingen, technologie, good practices en benchmarking bij te

houden waardoor mogelijkheden ontstaan om proactief de

kwaliteit en/of effectiviteit van het programma te verbeteren.

7.5. Succes indicatoren

CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente

verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het

programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat “de keten zo sterk is als de

zwakste schakel”. Beveiliging van een organisatie is een teaminspanning.

Onderstaand is een list opgenomen van indicatoren om

een inschatting te maken van de ondersteuning en de

acceptatie (commitment) van een programma.

- Is er voldoende budget beschikbaar gesteld om

de geaccordeerde doelstellingen te halen;

- Is de organisatie rond het programma ingericht

met medewerkers van voldoende kwaliteit;

- Is het programma een regelmatig terugkerend

onderwerp op de agenda van het management;

- neemt het management deel aan de training;

- het percentage deelname;

- het gemotiveerd uitdragen van (de

doelstellingen van) het programma door het

verantwoordelijke management.

- Is er brede ondersteuning voor de distributie van

materiaal;

Commitment van de leiding

Bij een ministerie was de draagplicht van de

personeelspas reeds lange tijd ingevoerd maar

werd de maatregel niet altijd consequent

uitgevoerd. Als onderdeel van een

bewustwordingsprogramma werd extra aandacht

aan de noodzaak voor deze maatregel besteed en

werd de uitvoering van strenger gecontroleerd.

Personeel dat de pas niet bij zich had werd de

toegang tot de kantine ontzegd en personeel dat

de pas niet zichtbaar droeg werd gecorrigeerd. De

meeste indruk maakte echter een van de

topfunctionarissen die collega’s direct aansprak

en hen corrigeerde.


8. Bijlage 1: Voorbeelden

8.1. Bewustwordingsprogramma gericht op Social Engineering

Onderstaand voorbeeld is afkomstig uit een bewustwordingsprogramma van een ICT dienstverlener waar uit

onderzoek is gebleken dat regelmatig vertrouwelijke informatie werd opgevraagd door onbekende personen die

zich voordeden als collega. Het ging daarbij vaak om tarieven van consultants, informatie over lopende offertes,

details over klanten of opdrachtgevers en onderwerpen waarop business development plaatsvond. Het

bewustwordingsprogramma richt zich op Social Engineering (het d.m.v. list, en psychologische trucs inwinnen van

vertrouwelijke informatie) en behandelt in acht afleveringen de psychologische achtergrond van een bepaalde

truc. De onderwerpen zijn als onderdeel van een bredere bewustwordingscampagne in een maandelijkse

nieuwsbrief opgenomen. Deze nieuwsbrief was wederom onderdeel van een breed pakket aan producten rond

bewustwording.

Deel 5: Social Engineering en psychologie; het aspect autoriteit Voorwoord In mijn rol als security consultant heb ik de laatste jaren een aantal security audits uitgevoerd in de vorm van zgn.

Social Engineering Assessment, zowel binnen de publieke als private sector. Social Engineering kan omschreven

worden als het verkrijgen van toegang tot vertrouwelijke informatie door middel van list, bedrog en

psychologische trucs.

De resultaten van de security audits die ik heb uitgevoerd verbaasden me in hoge mate; van username/password

van kritische of vertrouwelijke systemen of applicaties, vriendelijke portiers die me toegang verleenden tot hoog

beveiligde delen van het gebouw, toegang tot opiaten (geneesmiddelen) en criminele en juridische informatie

over personen. In het merendeel van de gevallen was het enige dat ik hoefde te doen: Er (brutaal) om vragen!

Het meest extreme resultaat was het in ontvangst mogen nemen van vijf handvuurwapens, simpel op basis van

één telefoontje en een goed verhaal.

Ik ben er steeds meer van overtuigd geraakt dat de beveiliging niet zit in de Firewall, SafeWord tokens en andere

technische beveiligingsmaatregelen maar in de mens zelf.

Dit document is bedoeld als bijdrage aan het bestaande bewustwordingsprogramma en is tot stand gekomen in

samenwerking met de Corporate Security Officer en Corporate Information Management.

Inleiding

Waarom en hoe kan het menselijke gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om

vertrouwelijke informatie te verstrekken, wordt ingewilligd. In een serie van acht afleveringen ga ik in op het hoe

en waarom van menselijk gedrag en hoe daar misbruik van gemaakt kan worden door profiteurs. Met de kennis

kun je herkennen wanneer iemand jou probeert te beïnvloeden; zowel privé als zakelijk. Maar je kunt de kennis

uit deze serie ook gebruiken in je zakelijke of privé-sfeer om iets van een ander gedaan te krijgen.

Eigen ervaringen Bij een ministerie was de beveiliging van de kantoren van de minister en zijn directe staf sterk verbeterd. De

Plaatsvervangend Secretaris Generaal had mij de opdracht verstrekt om deze beveiliging te testen.

Ik kwam (gekleed in driedelig kostuum) hard aangelopen bij de bewaking van de achteringang en parkeerplaats

van de auto’s van de hogere ambtenaren. Hijgend zei ik tegen de portier dat ik zojuist bij het verlaten van het

complex mijn elektronische toegangspas was vergeten en vroeg hem of ik het pasje even mocht ophalen. Hij

aarzelde. Ik zei dat de Plaatsvervangend SG (ik noemde de voor en achternaam) twee straten verder ongeduldig

stond te wachten; er was haast bij en ik moest snel mijn pas hebben. De poort ging open en ik rende snel naar

een toegangdeur. Binnen in het gebouw pakte ik twee lege dozen en deed daar mijn colbertje en vestje in en liep

daarmee naar de toegang van het compartiment van de minister. Ik sloot achter een man aan die ook in dezelfde

richting liep. Toen hij zijn pas aanbood en het poortje open ging begon ik hoorbaar te mopperen dat ik mijn pas op


mijn kantoor vergeten was. Hij was erg vriendelijk en opende het poortje

voor me (er was geen anti-pass-back). Mijn visitekaartje heb ik op het

toetsenbord van mijn opdrachtgever geplaatst ten teken dat de opdracht

was uitgevoerd.

Door te benoemen dat ik in opdracht van een bekende autoriteit

handelde, voldeed de bewaker aan mijn verzoek en werd ik toegelaten

tot het complex.

Autoriteit Uit onderzoek is vastgesteld dat elk mens nagenoeg ieder opdracht

uitvoert als een autoriteit dit van hem verlangt. Vanaf de geboorte wordt

ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het

gehoorzamen aan autoriteiten levert ons ook voordelen op. Doordat zij

zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te

gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd

iets oplevert, bestaat de kans dat we er een automatisme van maken.

Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met

de symbolen die we met hen verbinden, zoals titels, kleding en

bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen. Mensen

willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen

kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen.

Verdediging Vaak zijn we niet voorzichtig genoeg wanneer ons om volgzaamheid verzocht wordt. Door constant waakzaam te

blijven tegenover zogenaamde autoriteiten kunnen we achteraf minder snel voor verrassingen komen te staan.

Wanneer we ons bovendien nog eens extra bewust worden van het feit dat gezagssymbolen eenvoudig kunnen

worden nagemaakt, zullen we ook waakzamer zijn wanneer autoriteiten ons willen beïnvloeden. De enige

kanttekening is echter dat we liever niet tegen het gezag ingaan. Meestal is het immers juist om autoriteiten te

gehoorzamen. Je kunt het beste leren ontdekken wanneer je de richtlijnen van autoriteiten wel, en wanneer je

deze niet zou moeten opvolgen. Deze twijfel kunnen we door middel van twee vragen wegnemen:

1. Is de autoriteit daadwerkelijk deskundig?

2. Is deze autoriteit ook betrouwbaar?

8.2. Enkele voorbeelden van posters

Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet

beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren.


9. Bijlage 2; Literatuuroverzicht

Building an Information Technology Security Awareness and Training Program van het NIST (National

Institute of Standards and Technology)

Information Technology Security Training Requirements van het NIST (National Institute of Standards and

Technology)

Bruce Schneier, Beyond Fear:

K.D. Mitnick, The art of deception; the human factor in Information Security

Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion

Y. Lafrance, Psychology: A precious security tool

Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD

Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007

Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI

waarin een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische

(digitale) en organisatorische beveiligingsmaatregelen wordt vastgelegd

December 2008werkdocument

Copyright© Nationaal Adviescentrum Vitale Infrastructuur (NAVI)Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder vooraf-gaande schriftelijke toestemming van het NAVI niet toegestaan. Rechten en vrijwaringHet NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan.

Het NAVI verleent u hierbij toestemming dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:het NAVI wordt als bron vermeld;het document en de inhoud mogen commercieel niet geëxploiteerd worden;publicaties of informatie waarvan de intellectuele eigendomsrechten niet berusten bij het NAVI blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s);ieder kopie van dit document of een gedeelte daarvan dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.

handreiking - security awareness (concept)

Self Improvement