Een anonieme bezoeker die ambtenaar is bij de centrale overheid heeft zijn of haar verantwoordelijken binnen de organisatie gewezen op mogelijke risico’s, waarbij tot op heden nog geen actie is ondernomen om deze te vermijden. Tijdens de beurs Overheid & ICT 2013 maakte deze persoon dit kenbaar en ook heeft deze ambtenaar daar een vraag over.
Hoe verhoog ik het bewustzijn omtrent risico’s van de beveiliging van interne gegevens binnen onze organisatie?
Gedurende de beurs Overheid & ICT 2013 kunnen lezers van Computable vragen stellen over ict bij de overheid aan de ruim 1100 Computable-experts. Tijdens de beurs is permanent een expert in de Computable-stand aanwezig. Een vraag kun je stellen door het invullen van een formulier. Experts beantwoorden de vragen z.s.m.
Anoniempje,
Onbekend maakt onbemind, wie niet weet waarom en waarover het gaat zal zich er ook niet om bekommeren. En daarom is de VNG i.s.m. met KING begin dit jaar een informatiebeveiligingsdienst begonnen welke tot doel heeft om:
1. Het opbouwen en onderhouden van bewustzijn bij gemeenten als het gaat om informatiebeveiliging.
2. Integrale coördinatie en concrete ondersteuning van gemeenten bij incidenten en crisissituaties op het vlak van informatiebeveiliging.
3. Projectmatige ondersteuning om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen.
Het gaat om het bewustzijn bij mensen. Om dit soort ideeen/concepten goed over te dragen, zodanig dat het blijft hangen, kan ik je het volgende boek aanraden: ‘Made to stick’ van Chip en Dan Heath.
Een interessante en ook niet onbekende vraag! In het algemeen is er n.m.m. helaas sprake van een laag risicobewustzijn van medewerkers. En niet alleen bij de overheid. Wat opvalt is dat een ICT-organisatie vaak wel risicobewust is en allerlei technische beveiligingsmaatregelen heeft getroffen. In de gebruikersorganisatie, ook bij management, ligt dat vaak wel anders. Met name omdat men onvoldoende inzicht heeft in bestaande risico’s, vaak geïnitieerd door eigen handelen. Helaas ook constateer ik dat ‘als het kalf verdronken is …”. Gelukkig vaak bij collega-bedrijven, maar dan toch! Zo zijn ICT-organisaties er ook toe overgegaan om beveiligingsmaatregelen te treffen. We zoeken het bovendien vaak in die technische maatregelen. Die zijn ook nodig (zo niet noodzakelijk). Mijn ervaring heeft geleerd dat al die technische maatregelen niet afdoende zijn. Aanvullend is het risicobewustzijn van de medewerkers. En een goede risico-attitude om e.e.a. ook daadwerkelijk toe te passen. Om dat risicobewustzijn te bevorderen hanteer ik vaak een A&K-analyse waarin de risico’s van de bedrijfsprocessen inzichtelijk worden gemaakt. En in het bijzonder de risico’s die zijn verbonden aan het in de verkeerde handen vallen van gegevens. Indien dit in de vorm van workshops wordt gedaan, worden de deelnemers actief getriggerd op die risico’s; ze bedenken die risico’s immers zelf! Zelf heb ik hier goede ervaringen mee. En die attitude dan? Laten we eerst maar beginnen bij het bewustzijn over risico’s. Men heeft vaak geen idee van welke risico’s er bestaan en hoe groot die zijn! En als verantwoordelijk management geen aandacht geeft aan gemelde risico’s? Tja, onbewust, onbekwaam!