SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Door: Wilbert Pijnenburg, directeur van InfoSecure en hoofddocent van de cursus Inzicht in Informatiebeveiliging.
“Gefeliciteerd, maar nu begint het pas echt!” Met deze woorden overhandigde een assessor van de World Lottery Association het ISO 27001 en het WLA-certificaat aan Yvonne van Oort, algemeen directeur van de Nederlandse Staatsloterij. Want hoe zorg je ervoor dat zo’n omvangrijk boekwerk over de hoogste standaards in informatiebeveiliging en procesmanagement z’n weerslag vindt in het dagelijks werk van alle medewerkers?
Voor een kansspelorganisatie die is gelieerd aan de staat, is het vertrouwen van de consument het grootste goed. Daarin speelt het beveiligen van informatie een grote rol. Daarom ontwikkelde de World Lottery Association (WLA) een stevig boekwerk aan regels en richtlijnen voor hun leden overal ter wereld. Voor de Nederlandse Staatsloterij gingen er twee jaar voorbereidingen aan vooraf om de organisatieprocessen geheel in te richten conform de WLA-certificering. Dat vergde bovenal veel van de ICT. In samenhang met de overstap naar een nieuw loterijsysteem zijn de processen nog verder aangescherpt. In 2007 brak het uur van de waarheid aan. De WLA-assessor kwam vijf dagen over de vloer. Die stelde in alle geledingen van de organisatie vast dat aan alles was voldaan. “Het voelde als een overwinningsroes”, blikken securitycoördinators Mike de Bruijn en Andrew Lomax terug. “De dag van de uitreiking kreeg dan ook een feestelijk tintje. Het voltallige personeel was in het atrium bijeengekomen om de uitreiking van het certificaat bij te wonen. En toen, om in de woorden van de WLA-assessor te blijven, ‘begon het pas echt’ voor ons…”
Veilige en zorgvuldige processen
‘Proces- en securitycoördinator’. Dat is de titel die op de businesscards van Mike de Bruijn en Andrew Lomax prijkt. Logisch, want de Nederlandse Staatsloterij is een organisatie waarin alles draait om uiterst goed beveiligde en zorgvuldige processen. In 2009 was de omzet € 889,7 miljoen en het prijzengeld moet altijd weer zonder fouten of oponthoud bij de rechtmatige winnaars terechtkomen. Maar aan de basis van al die processen staan mensen. Hoe houd je hen scherp als het gaat om zorgvuldigheid en risicobewustzijn? De hoge jaaromzetcijfers ten spijt is de Nederlandse Staatsloterij geen omvangrijke organisatie. Het personeelsbestand telt zo’n 120 medewerkers. Dat lijkt heel behapbaar maar, zo benadrukken Mike en Andrew, het brengt tevens een wat informele organisatiecultuur met zich mee. Andrew: “Iedereen kent elkaar immers. En dan is het toch lastiger om mensen te overtuigen van nut en noodzaak van bijvoorbeeld een clean desk policy of het strikt hanteren van het pasjessysteem.”
Nut en noodzaak
Nut en noodzaak. Die twee termen duiken steeds weer op in het relaas van de beide veiligheidscoördinatoren. Gedurende het certificeringsproces hielden ze de aandacht van de medewerkers erbij door onder meer een speciale ‘examenkrant’ uit te geven en bureauklappers met de regels over informatiebeveiliging uit te delen. Vervolgens gingen ze op zoek naar een middel dat niet alleen overtuigingskracht bezat, maar ook de aandacht voor informatiebeveiliging kon vasthouden. “Op een beurs zagen we een demo van de e-learningmodules van Infosecure en dat leek geheel aan onze eisen te voldoen”, aldus Mike. “De methode sprak ons aan. E-learning sluit goed aan op ons overwegend jonge medewerkersbestand. Bovendien hoorden we van andere organisaties dat die er goede resultaten mee boekten.” Maar waren de modules inhoudelijk ook voldoende toegespitst op hun organisatie? Ze besloten in gesprek te gaan met de aanbieder Infosecure, specialist en internationaal marktleider in het bevorderen van veiligheidsbewustzijn in organisaties. “In overleg met Wilbert Pijnenburg van Infosecure is een meerjarenplan opgesteld. Met als doel: het informatiebeveiligingsbewustzijn hoog houden onder alle medewerkers.“ De aftrap, inmiddels twee jaar geleden, geschiedde volgens Mike op passende wijze. “Infosecure maakte een introductiefilmpje waarin algemeen directeur Yvonne van Oort het belang van ieders rol in informatiebeveiliging nog eens benadrukte.” Wilbert Pijnenburg vult aan: “Op deze wijze maken we het committment van het management zichtbaar. We weten uit ervaring hoe belangrijk dat is voor het welslagen.” De respons bevestigt het: zo’n 97 procent van de e-modules wordt tijdig afgelegd.
Onthouden en bewustmaken
Het eerste jaar zijn modules ingezet die de regels duidelijk maken en eraan bijdragen dat ze goed worden onthouden en nageleefd. “Een deur open laten die dicht zou moeten zijn, een collega even op jouw account laten werken, een zieke die vanuit huis zijn inlogwachtwoord doorgeeft, een bekende relatie tijdens de ‘bezoekersspits’ aan de receptiebalie zonder officiële aanmelding binnenlaten. Zulke dingen gebeuren toch gemakkelijker in een relatief kleine organisatie waarin iedereen elkaar kent”, aldus Mike. Strikte naleving van de regels staat echter los van het vertrouwen tussen collega’s. Die boodschap moest ook overkomen om ‘nut en noodzaak’ te onderstrepen. “De regels zijn er niet alleen om incidenten te voorkomen, maar ook – als er onverhoopt toch iets gebeurt – om mogelijkheden uit te sluiten, zodat je snel en gericht op zoek kunt gaan naar oorzaken.” Het tweede jaar is de aandacht uitgegaan naar de sociale aspecten van informatiebeveiliging en zijn modules ingezet die de medewerkers informeren over de gevaren van sociale netwerken en wapenen tegen onder meer social engineering. In het derde jaar kiezen ze voor een serie korte modules waarin het werken met externe partijen centraal staat. Mike: “De informatiestromen zijn de afgelopen jaren sterk toegenomen nu de Nederlandse Staatsloterij steeds meer als regie-organisatie is gaan werken. Er zijn talloze externe partners. Van de drukkerij die de loten produceert tot de ruim 3.200 verkooppunten in het land. Er gaat dus een hoop informatie over en weer”. Wilbert Pijnenburg vult aan: “We adviseren graag bij de keuzes van modules. Zo kunnen we aansluiten bij actuele ontwikkelingen in de organisatie. Daarnaast zorgen we voor een goede afstemming tussen algemene, en meer organisatiespecifieke, modules. Omdat we de afgelopen jaren in zoveel verschillende organisaties in binnen- en buitenland ervaring hebben opgedaan met bewustwordingsbevordering, hebben we een goed beeld van wat nodig is en wat wel en niet werkt.”
Aandacht vasthouden
Om de aandacht van de medewerkers vast te houden, is e-learning een vast onderdeel van het werk geworden. “Goede informatiebeveiligingsregels vormen uiteraard de basis. Die worden met elke nieuwe medewerker doorgenomen en daar tekenen ze ook voor”, vertelt Mike. “Vervolgens moet je ervoor zorgen dat die aandacht niet verslapt en dat je waar nodig actuele kennis aanvult.” Het valt hem op dat de meeste mensen het leuk vinden om de modules te volgen. Bovendien, wie de modules met goed gevolg heeft afgelegd, ontvangt een certificaat. Dat wordt op prijs gesteld. Andrew: “Ze komen het persoonlijk bij ons afhalen op kantoor. Heb je meteen weer even een contactmoment.” Mike: “Vaak horen we dan: ‘en wanneer komt de volgende module’?” Regelmatig lopen de securitycoördinators het gebouw door om te kijken of de regels worden nageleefd. Wat ligt er op de bureaus? Staan de schermbeveiligers aan? Zijn bureaulades afgesloten? Dat doen ze strikt, maar streng zijn ze alleen als het echt niet anders kan. “Met een kwinkslag bereik je meestal meer. Mensen moeten hun fouten toe durven geven.” Laatst hebben Mike en Andrew alle medewerkers weer bijeengeroepen in het atrium. “Het aantal incidentmeldingen is flink gestegen”, lieten ze toen weten. Om direct daarop te zeggen: “En daar willen we jullie voor bedanken.” Mike: “Want dat betekent dat de boodschap is overgekomen. Mensen herkennen onveilige situaties. Zo kan bewustwording daadwerkelijk bijdragen aan de beveiliging van informatie.”
Meer weten?
Op de cursus Inzicht in Informatiebeveiliging leert u van o.a. Wilbert Pijnenburg hoe u persoonlijke data en vertrouwelijke informatie in uw organisatie beveiligd.
Bron: Platform voor InformatieBeveiliging
