View
219
Download
1
Category
Preview:
Citation preview
HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING
Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
2
Colofon
Naam document
Handreiking communicatieplan informatiebeveiliging
Versienummer
1.0
Versiedatum
Maart 2015
Versiebeheer
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Copyright
© 2015 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het
doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en
overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af
te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. KING wordt als bron vermeld;
2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker
berusten, blijven onderworpen aan de beperkingen opgelegd door KING;
4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze
paragraaf vermelde mededeling.
Rechten en vrijwaring
KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te
verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave
voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen
aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud
van de uitgave of door de toepassing ervan.
Met dank aan
De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit
product.
3
Voorwoord
De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het
Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor
de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op
informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017.
De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om
gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen.
De IBD heeft drie doelen:
1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden
van bewustzijn als het gaat om informatiebeveiliging.
2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke
aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.
3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging
in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij
het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project.
Hoe realiseert de IBD haar doelen?
Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline
Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de
gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft
twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn
beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere
gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben
met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de
organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de
Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de
Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) producten ontwikkeld op
operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele
Baseline Nederlandse Gemeenten.
Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld.
Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website
van de IBD.
De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de
regels. Hierbij geldt:
- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG,
PUN en WBP, maar ook de archiefwet.
- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG).
- De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor
afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
4
Leeswijzer
Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG).
Doel
Deze handreiking is geschreven om gemeenten hun informatiebeveiliging naar een hoger plan te
tillen door de inzet van bewustwording en de daarbij horende communicatie(middelen).
Doelgroep
Dit document is van belang voor de medewerkers van de afdelingen communicatie,
personeelszaken en ICT-beheer.
Relatie met overige producten
• Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
• Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten
• Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten
• Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, hoofdstuk 4 en §8.2
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten
(BIG).
Maatregel 3.1 Benoem verantwoordelijken
Maatregel 6.1.7 Contact met speciale belangengroepen
Maatregel 8.2.1 Directieverantwoordelijkheid
Maatregel 8.2.2 Bewustwording, opleiding en training ten aanzien van informatiebeveiliging
Maatregel 12.6.1 Beheersing van technische kwetsbaarheden
Maatregel 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen
Maatregel 13.2.1 Verantwoordelijkheden en procedures
Maatregel 14.1.1 Informatiebeveiliging opnemen in het proces van
bedrijfscontinuïteitsbeheer
5
Inhoud
1 Inleiding 6
1.1 Raakvlakken 6
1.2 Aanwijzing voor gebruik 6
2 Informatiebeveiligingsbewustzijn 8
2.1 Meten van informatiebeveiligingsbewustzijn 10
2.2 Informatiebeveiligingsbewustzijn bij uitbesteding 12
Bijlage 1: Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente> 13
Bijlage 2: Voorbeeld enquête informatiebeveiliging 25
Bijlage 3: Definities 34
Bijlage 4: Literatuur/bronnen 36
6
1 Inleiding
De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die
te maken hebben met bewustwording, opleiding en training ten aanzien van informatiebeveiliging,
zie hiervoor hoofdstuk 4 en paragraaf 8.2 in het voorbeeld gemeentelijk informatie
beveiligingsbeleid en paragraaf 8.2 van de BIG.
Gemeenten dienen continue aandacht te besteden aan kennisontwikkeling, kennisdeling en
kennisvermeerdering op het vlak van informatiebeveiliging om zich hierop professioneel en
krachtig neer te zetten. Dit kan worden gestimuleerd door de inzet van specifieke
communicatiemiddelen die qua vorm en inhoud maximaal aan deze doelstelling bijdragen.
Het is hierbij van belang dat gemeenten de samenwerking blijven zoeken met de Vereniging van
Nederlandse Gemeenten (VNG) (op bestuurlijk niveau) en de Informatiebeveiligingsdienst voor
gemeenten (IBD) (op tactisch en operationeel niveau) en met overige overheids- en ketenpartners
die zich vanuit het onderwerp informatieveiligheid of informatiebeveiliging op de gemeentelijke
overheidslaag richten.
Naast deze externe gerichtheid, dient het communicatieplan informatiebeveiliging gemeenten als
onderdeel van de bewustwordingscampagne ook een interne gerichtheid te adresseren. Dit
communicatieplan informatiebeveiliging gemeenten dient de detailuitwerking van de gemeentelijke
uitgangspunten met betrekking tot de communicatie over informatiebeveiliging te omvatten.
In het kader van een eenduidige boodschap, gerichtheid in de communicatie en om verwarring te
voorkomen is het van belang dat de communicatie over informatiebeveiliging binnen de gemeente
goed te organiseren en de verantwoordelijkheden op het juiste niveau te beleggen. Dit zodat deze
elkaar versterken en niet verzwakken. Beleg de verantwoordelijkheid met betrekking tot het
communicatieplan informatiebeveiliging gemeenten als onderdeel van de
bewustwordingscampagne bij de afdeling die verantwoordelijk is voor de coördinatie van het
algemene gemeentelijk communicatiebeleid en het bewaken van de samenhang en de kwaliteit van
verschillende communicatieplannen. De afdeling Personeelszaken is verantwoordelijk voor het
functioneren van het personeel, inclusief bewustwording en gedrag.
1.1 Raakvlakken
Overige raakvlakken die het communicatieplan informatiebeveiliging en bewustwording met de BIG
hebben zijn:
• Voorbeeld Informatiebeveiligingsbeleid van de gemeente
• Voorbeeld Incident management en Responsbeleid
• Bedrijfscontinuïteitsplannen (BCP) / Disaster Recovery Plan (DRP)
• Gedragsregels gebruiker
1.2 Aanwijzing voor gebruik
Deze handreiking is geschreven om aandachtspunten met betrekking tot communicatie en
bewustwording op het gebied van informatiebeveiliging aan te reiken, zodat invulling gegeven kan
7
worden aan de gemeentelijke informatiebeveiligingsbeleidsregels. Deze handreiking is geen
volledige procesbeschrijving en bevat geen compleet uitgewerkt communicatieplan
informatiebeveiliging en bewustwordingsprogramma. Echter het bevat wel voldoende informatie en
handvatten om goede (beleids)keuzes te maken met betrekking tot het opstellen en uitvoeren
hiervan.
De gemeentelijke informatiebeveiligingsbeleidsregels met betrekking tot bewustwording en gedrag
zijn onder andere:1
• De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale
beveiliging van hun organisatieonderdelen. De clusterdirectie stuurt op beveiligingsbewustzijn,
bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn).
• Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen)
dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor
informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het
beveiligingsbewustzijn op peil te houden.
• De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording
rondom informatiebeveiliging.
• Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen)
zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het
managementcontract.
• In werkoverleggen wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover
relevant worden hierover afspraken vastgelegd in planningsgesprekken.
1 Zie ook het ‘Voorbeeld Informatiebeveiligingsbeleid gemeenten’: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/13-0919-voorbeeld-informatiebeveiligingsbeleid-gemeenten-1.0.pdf
8
2 Informatiebeveiligingsbewustzijn
Bewustwording is van essentieel belang wanneer het gaat om informatiebeveiliging. Een gemeente
kan nog zo veel technische maatregelen nemen, wanneer medewerkers er niet naar handelen
hebben deze maatregelen uiteindelijk aanzienlijk minder effect. De gebruiker ziet niet altijd het
belang in van informatiebeveiliging. Zo worden wachtwoorden vergeten of op een Post-it onder het
toetsenbord geplakt, computers en/of laptops onbeheerd achtergelaten en bezoekers niet begeleid
door het pand. Bewustwording heeft als doel om alle gemeentelijke medewerkers bewust te maken
van de informatiebeveiligingsrisico’s die de gemeente loopt en ook van de wijze waarop zij zich
hiertegen kunnen beschermen.
Om vast te stellen welke bewustwordingsactiviteiten ontplooid dienen te worden bij een gemeente
dient het huidige en gewenste kennis- en bewustzijnsniveau bepaald te worden. Het belangrijkste
doel is uiteindelijk het veranderen van het gedrag van medewerkers als gevolg van het verhogen
van het kennisniveau en de mate van bewustwording. Om dit te verwezenlijken is inzicht in welk
gedrag (on)gewenst is en welke kennis noodzakelijk is, onmisbaar.
Verandering in houding en gedrag
Het bereiken van gedragsverandering bij medewerkers is vaak een lastige aangelegenheid. Uit
onderzoek blijkt dat het gedrag niet vanzelf in de gewenste richting verandert als je zorgt voor
meer kennis en een positieve houding bij mensen. Om gedrag te veranderen moet je je ook echt
op gedrag richten. Dit blijkt onder andere uit de studie ‘Gedragsverandering via campagnes’2.
Hierin komt naar voren dat de campagnes van de rijksoverheid succesvol zijn in het bereiken van
kennisoverdracht. Veranderingen in houding en gedrag blijken moeilijker te realiseren en
voornamelijk de effecten op gedrag zijn in het algemeen beperkt. In het eindrapport worden
handvatten gegeven hoe de effectiviteit vergroot kan worden.
Bewustwordingsprogramma
Het bepalen van het huidige kennis- en bewustzijnsniveau kan op diverse manieren. Onder andere
het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten3, leveren
inzicht op met betrekking tot informatiebeveiligingsbewustzijn (zie ook paragraaf 3.1 ‘Meten van
informatiebeveiligingsbewustzijn’). Inzicht verkrijgen in het huidige kennisniveau en de mate van
beveiligingsbewustzijn van gemeentelijke medewerkers is noodzakelijk. Op basis van dit inzicht en
de gestelde doelen met betrekking tot het gewenste gedrag, kan een specifieke aanpak voor een
bewustwordingsprogramma worden bepaald.
Om het informatiebeveiligingsbewustzijn en de kennis op het gebied van informatiebeveiliging te
vergroten, om zo de gewenste gedragsverandering te bereiken, is het uitvoeren van een
bewustwordingsprogramma noodzakelijk. Het opstellen van een bewustwordingsprogramma
bestaat in hoofdlijnen uit de volgende stappen:
2 Literatuuronderzoek ‘Gedragsverandering via campagnes’ (18 mei 2011) in opdracht van Dienst Publiek en Communicatie, Ministerie van Algemene Zaken. Den Haag (http://www.rijksoverheid.nl/onderwerpen/overheidscommunicatie/documenten-en-publicaties/brochures/2011/05/18/gedragsverandering-via-campagnes.html). Het doel van deze studie was om te onderzoeken hoe de effectiviteit van campagnes vergroot kunnen worden door meer gericht te sturen op gedrag. 3 In bijlage 2 van dit document vindt u een voorbeeld enquêteformulier informatiebeveiliging.
9
Figuur 1 Stappenplan opstellen van een bewustwordingsprogramma
• Stap 1 – Het opstellen van een plan van aanpak (communicatieplan
informatiebeveiliging)
De eerste stap is het opstellen van een plan van aanpak (communicatieplan
informatiebeveiliging). In dit plan wordt onder andere de communicatiedoelstelling, -strategie,
-doelgroepen, –middelen en de activiteitenplanning beschreven met betrekking tot het
verhogen van het bewustzijn op informatiebeveiligingsvlak. Zie bijlage 1 voor een voorbeeld
communicatieplan informatiebeveiliging.
• Stap 2 - Verzamelen informatie bewustwordingsprogramma
De volgende stap is het verzamelen van materiaal die u kunt gebruiken bij het op- en
samenstellen van de communicatiemiddelen. Hierbij kan gebruik worden gemaakt van het
gemeentelijke informatiebeveiligingsbeleid, de gedragscodes en de personeelshandboeken. Ook
uit externe bronnen, zoals publicaties van de IBD4 en de Campagne iBewustzijn Overheid5,
kunt u inspiratie halen.
• Stap 3 - Uitwerken communicatiemiddelen
Met behulp van de in de vorige stap verzamelde informatie kunnen de verschillende
communicatiemiddelen worden uitgewerkt.
• Stap 4 - Uitvoeren communicatieplan informatiebeveiliging
Gedurende deze stap worden de communicatieactiviteiten die in het communicatieplan
informatiebeveiliging zijn beschreven conform planning uitgevoerd. Hou ruimte in de planning
met het feit dat er onverwachte gebeurtenissen kunnen plaatsvinden, waarover de gemeente
moet worden geïnformeerd.
• Stap 5 - Evaluatie bewustwordingsprogramma
Uiteindelijk dient het bewustwordingsprogramma regelmatig geëvalueerd te worden, om vast
te stellen of de beoogde doelen zijn bereikt (gedragsverandering). Als dit niet het geval is, dan
is het noodzakelijk om het bewustwordingsprogramma bij te stellen.
4 Zie https://www.ibdgemeenten.nl/ 5 Zie https://www.ibewustzijnoverheid.nl/
10
Verantwoordelijkheden
De verantwoordelijkheid voor werving, selectie en algemene zaken rond het functioneren van
personeel ligt bij de afdeling personeelszaken. Dit is inclusief bewustwording en gedrag. De directie
en de verschillende afdelingen zijn verantwoordelijk voor het bevorderen van de algehele
communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement speelt bij de
uitvoering hiervan een belangrijke rol en dient te bevorderen dat gemeenteambtenaren, ingehuurd
personeel en (waar van toepassing) externe gebruikers van interne systemen:
• Algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, in overeenstemming
met het vastgestelde beleid.
• Zich houden aan beveiligingsrichtlijnen.
Om dit te borgen dienen hierover afspraken te worden vastgelegd in het managementcontract.
Activiteiten uit de Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten die een relatie
met bewustwording en gedrag hebben zijn, onder andere:
• Zorgen dat alle gemeentemedewerkers, voor zover van toepassing, ingehuurd personeel en
externe gebruikers:
o zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun
verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het
beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te
ondersteunen en het risico van een menselijke fout te verminderen.
o op de hoogte zijn van de procedures voor het melden (rapporteren) van
gebeurtenissen en escalatie.
o regelmatig attent worden gemaakt op het beveiligingsbeleid en de
beveiligingsprocedures van de gemeente, voor zover relevant voor hun functie.
o geschikte trainingen en regelmatige bijscholing krijgen met betrekking tot beleid en
procedures van de gemeente, voor zover relevant voor hun functie.
o training krijgen in procedures die binnen de gemeente of afdeling gelden voor
informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het
beveiligingsbewustzijn op peil te houden.
• Zorgen dat in werkoverleggen periodiek aandacht wordt geschonken aan informatiebeveiliging.
• Zorgen dat tijdens functionerings- en beoordelingsgesprekken het onderwerp
informatiebeveiliging wordt besproken. Dit geldt in het bijzonder voor gemeentemedewerkers
die risicovolle functies bekleden.
• Calamiteitenplannen gebruiken in de jaarlijkse bewustwording-, training en testactiviteiten.
• Maatregelen treffen voor detectie, preventie en herstellen, om gemeentelijke ICT-infrastructuur
te beschermen tegen virussen. Tevens behoren er geschikte procedures te worden ingevoerd
om het bewustzijn van de gebruikers te vergroten.
2.1 Meten van informatiebeveiligingsbewustzijn
De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) stelt dat bewustzijn in een aantal
gevallen een randvoorwaarde is. Het is dan ook zinvol om het informatiebeveiligingsbewustzijn van
de gemeentelijke medewerkers te meten en op deze manier vast te stellen of aan deze
randvoorwaarde is voldaan.
Als eerste dient de gemeente te bepalen wàt ze precies wil meten. Als dat bekend is, kan de
gemeente kijken hoe ‘dat’ te meten. Tot slot: wat te doen met de uitkomsten? Het doel waarvoor
11
de gemeente de uitkomsten wil gebruiken, stelt eisen aan (de bruikbaarheid van) datgene dat
moet worden gemeten.
Informatiebeveiligingsbewustzijn is een bepalende en belangrijke factor in de bijdrage die een
gemeentelijke medewerker levert aan het niveau van informatiebeveiliging van de gemeente.
Daarom is de noodzaak tot inzicht in hoe het zit met het informatiebeveiligingsbewustzijn binnen
de gemeente van belang. Een andere reden om een bewustzijnsmeting uit te voeren is om de
aandachtspunten van een bewustwordingsprogramma te bepalen. Het heeft geen zin om tijd en
aandacht te besteden aan zaken die al op orde zijn.
Uitgangspunten bij de meetmethode zijn onder meer:
• Het resultaat dient niet (te sterk) afhankelijk te zijn van de persoon die de meting uitvoert.
• De meting dient met een zelfde nauwkeurigheid op latere tijdstippen te kunnen worden
herhaald, zodat met een zekere betrouwbaarheid verbetering (of verslechtering) valt vast
te stellen.
• De meting dient toepasbaar en uitvoerbaar te zijn.
Observatie en het inzetten van een mystery guest, vraaggesprekken met medewerkers en
vragenlijsten, leveren inzicht op met betrekking tot het informatiebeveiligingsbewustzijn. Naast de
hoeveelheid aan informatie die deze meetmethoden opleveren, kleven er ook nadelen aan. Het
grootste nadeel van vragenlijsten is de (voorbereidings)tijd en de vele keuzes die hierbij gemaakt
dienen te worden bij het opstellen van de vragenlijst (zie bijlage 2 voor een voorbeeld
enquêteformulier informatiebeveiliging). Denk hierbij aan:
• In welke vorm moeten de vragen worden gesteld? Meerkeuze, open vragen, et cetera.
• In welke vorm wordt de vragen lijst aangeboden? Op papier of online via het intranet.
• Namens wie wordt de uitnodiging verstuurd? De burgemeester, wethouder met
informatiebeveiliging in zijn portefeuille, het college van Burgemeester en Wethouders
(college van B&W) of de Chief Information Security Officer (CISO).
Net als bij de vragenlijsten, is de inspanning die vraaggesprekken met medewerkers vergen het
nadeel. Naast de tijd die je kwijt bent voor het voeren van de gesprekken vergt het uitwerken van
de gesprekken ook een behoorlijke (tijds)inspanning.
Het nadeel van een mystery guest is dat het resultaat in enige mate afhankelijk is van de
kwaliteiten van de tester, de ‘mystery guest’.
Een voorbeeld van een meetinstrument voor het informatiebeveiligingsbewustzijn is de quickscan
‘Security Awareness in uw organisatie’.6 Met deze quickscan wordt een eerste indruk van het
informatiebeveiligingsbewustzijn bij de medewerkers in uw gemeente gegeven. Heeft uw gemeente
een bewustwordingsprogramma en voldoet dit? En indien een dergelijk bewustwordingsprogramma
er nog niet is, loopt u dan geen onnodig risico? De quickscan laat zien waar verbetering mogelijk
is.
6 www.nctv.nl/Images/QuickScan%20SAT_tcm126-443949.pdf
12
2.2 Informatiebeveiligingsbewustzijn bij uitbesteding
Informatiebeveiligingsbewustzijn is onmisbaar voor iedere organisatie, ook bij uitbestedingen.7
Echter bij een uitbesteding heeft het informatiebeveiligingsbewustzijn een aantal extra dimensies.
Zo dient de gemeente de dienstverlenende onderneming of toeleverancier bij het aangaan van een
overeenkomst, naast een groot aantal andere aan beveiliging gerelateerde zaken, in korte tijd op
de hoogte te stellen van het informatiebeveiligingsbewustzijn binnen de gemeente. Omdat er
sprake is van twee verschillende organisaties kan er sprake zijn van een verschil in kennis en
inzicht tussen de twee organisaties.
Een manier om bij het aangaan van een overeenkomst8 het informatiebeveiligingsbewustzijn van
een dienstverlenende onderneming of toeleverancier te testen, is het vragen van een 'pas toe of
leg uit' verklaring met betrekking tot het informatiebeveiligingsbeleid van de gemeente.
Hierbij dient de dienstverlenende onderneming of toeleverancier aan te geven in welke mate aan
het informatiebeveiligingsbeleid van de gemeente kan worden voldaan en dient zij uitleg te geven
over wanneer hiervan afgeweken wordt. Hierbij dient bij de beoordeling niet alleen gekeken te
worden naar de hoeveelheid groene vlakjes (‘pas toe’) maar is het interessanter om te kijken naar
de argumenten die bij non-compliance (‘leg uit’) gegeven worden.
7 Zie hiervoor ook het operationele product ‘Uitbesteding ICT-diensten en inhuur’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product ‘Bewerkersovereenkomst’ en ‘inkoopvoorwaarden en informatiebeveiligingseisen’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
13
Bijlage 1: Voorbeeld communicatieplan
informatiebeveiliging gemeente <gemeente>
1. Inleiding
Informatiebeveiliging is mensenwerk. Management en medewerkers dienen zich bewust te zijn van
de risico’s die samenhangen met de omgang met vertrouwelijke gegevens en van de noodzaak van
informatiebeveiliging. Hiervoor zijn communicatieactiviteiten ontwikkeld, die in dit
communicatieplan informatiebeveiliging gemeente <gemeente> gestructureerd zijn vastgelegd. Er
wordt onderscheid gemaakt in communicatiestrategie, -doelstellingen, -bouwstenen, -doelgroepen,
-kernboodschappen, -activiteiten en -middelen.
1.1 Aanleiding
Voor gemeenten is door de Informatiebeveiligingsdienst voor gemeenten (IBD) de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG) opgesteld. Deze baseline geeft aan dat
communicatie over informatiebeveiliging van groot belang is voor een succesvolle implementatie
van informatiebeveiliging. Om tot een succesvolle implementatie van de BIG te komen, worden
hiertoe in dit communicatieplan informatiebeveiliging activiteiten voorgesteld.
Dit communicatieplan informatiebeveiliging is bedoeld voor iedere gemeentelijke medewerker
binnen de gemeente <gemeente>. Met als doel om alle gemeentelijke medewerkers bewust te
maken van de informatiebeveiligingsrisico’s die de gemeente <gemeente> loopt, de samenhang
met het gebruik van computers en netwerken en van de noodzaak van beveiliging van informatie.
Hiermee wordt beoogd om informatiebeveiliging bij zoveel mogelijk gemeentelijke medewerkers tot
een punt van blijvende aandacht te maken.
Er kunnen voor de gemeente meerdere redenen zijn om te werken aan het verhogen van het
kennis- en bewustzijnsniveau van de medewerkers. Hieronder volgen enkele voorbeelden:
• Een streven naar kwaliteitsverbetering
Door het verhogen van het besef van de waarde van informatie voor de gemeente
<gemeente> houden gemeentelijke medewerkers zich beter aan procedures op dit gebied,
waardoor het aantal fouten wordt verkleind.
• Het verkrijgen/behouden van een betrouwbaar imago
Voor de gemeente <gemeente> is vertrouwen één van de basisprincipes. Hierdoor is het van
groot belang dat de gemeente <gemeente> betrouwbaar overkomt.
Informatiebeveiligingsincidenten hebben een negatief effect op de betrouwbaarheid van de
gemeente. Door een verhoging van het beveiligingsbewustzijn neemt het aantal
informatiebeveiligingsincidenten af.
• Het versterken van de zwakste schakel
Hoewel er veel technische mogelijkheden zijn om informatie te beveiligen, blijft de mens de
zwakste schakel in de keten. Technische maatregelen zijn zinloos als het beveiligingsbewustzijn
bij de gemeentelijke medewerkers ontbreekt. Naast het versterken van de zwakste schakel,
zou natuurlijk ook gekeken kunnen worden of de mens nog wel onderdeel van de keten dient
uit te maken. Is het beoogde resultaat te behalen zonder tussenkomst van de mens?
Bijvoorbeeld door het aanpassen van processen, procedures en/of informatiesystemen.
14
Een aantal randvoorwaarden dienen te zijn ingevuld om een effectieve en efficiënte invulling te
kunnen geven op de vraag: Hoe kan het kennis- en bewustzijnsniveau van de medewerkers
blijvend gestimuleerd, verhoogd en gestuurd worden op het gebied van informatiebeveiliging?
Deze randvoorwaarden zijn:
• Commitment van de directie en het management
De cruciale voorwaarde voor een succesvolle uitvoering van een bewustwordingsprogramma
binnen de gemeente <gemeente> is commitment. Zonder dat aan deze voorwaarde wordt
voldaan is de slagingskans van een dergelijk programma beperkt.
• Geen eenmalige exercitie
Bewustwording van gemeentelijke medewerkers binnen de gemeente <gemeente> is geen
eenmalige zaak. Het is noodzakelijk dat er continu gestimuleerd, gestuurd en gemeten wordt.
Zo wordt er constant aandacht besteed aan de ontwikkeling van het kennis- en
bewustzijnsniveau. Hierbij is het wel van belang om vooraf het gewenste en het huidige
kennis-, bewustzijnsniveau en gedrag in kaart te brengen. Tot slot dient het
bewustwordingsprogramma ook aan te sluiten bij de organisatiecultuur van de gemeente
<gemeente>.
2. Communicatieaspecten
In dit hoofdstuk wordt het kader van het communicatieplan informatiebeveiliging geformuleerd.
Welke doelen willen we bereiken met dit communicatieplan informatiebeveiliging ((beoogde)
verbetering), welke bouwstenen worden hierbij ingezet en wat zijn de gehanteerde uitgangspunten
en randvoorwaarden.
2.1 Doelen
Met betrekking tot de communicatie over informatiebeveiliging wordt onderscheid gemaakt naar
kennis, houding en gedrag.
2.1.1 Kennis over informatiebeveiliging
Het doel is dat gemeentelijke medewerkers op de hoogte zijn van de voor hen geldende taken,
regels en hulpmiddelen voor informatiebeveiliging. Voor het management geldt de doelstelling dat
de beleidsstukken met betrekking tot informatiebeveiliging bij hen bekend zijn.
2.1.2 Houding en gedrag met betrekking tot informatiebeveiliging
Het uitgangspunt is dat het management en de gemeentelijke medewerkers van de gemeente
<gemeente> zich onvoldoende bewust zijn van de risico's die samenhangen met het gebruik van
computers en netwerken en van de noodzaak van informatiebeveiliging. Dit bewustzijn varieert
natuurlijk binnen de verschillende afdelingen en onder individuele gemeentelijke medewerkers.
Verder vertonen niet alle gemeentelijke medewerkers het gewenste gedrag voor
informatiebeveiliging.
De communicatieactiviteiten dienen ertoe bij te dragen dat de individuele gemeentelijke
medewerkers een positieve houding hebben ten aanzien van informatiebeveiliging en dit ook
vertalen in het gewenste gedrag. Concreet betekent dit bijvoorbeeld dat:
• Werkplekken niet onbeheerd worden achtergelaten.
• Wachtwoorden geheim worden gehouden.
• Individuele wachtwoorden en persoonlijke accounts niet worden gedeeld.
• Vertrouwelijke gegevens niet onbeveiligd via e-mail worden verzonden.
15
• Dossiers van gemeentelijke medewerkers en burgers vertrouwelijk worden behandeld.
• Geen vertrouwelijke informatie wordt verstrekt via de telefoon.
• ‘Aanvallen’ zoals, phishing, spam en hoaxes worden herkend.
Voor het management wordt beoogd dat de communicatieactiviteiten ertoe bijdragen dat deze
groep een positieve houding heeft ten aanzien van informatiebeveiliging. Zo fungeren zij als
voorbeeldfunctie voor de gemeentelijke medewerkers, spreken zij gemeentelijke medewerkers aan
op ongewenst gedrag en steunen zij de betrokkenen in de activiteiten voor de verbetering van
informatiebeveiliging binnen de gemeente <gemeente>.
2.2 De communicatiebouwstenen
Om kennis, houding en gedrag van de betrokken doelgroepen maximaal positief te stimuleren,
leert ervaring dat het zinvol is om bij de communicatieaanpak rekening te houden met enerzijds
het communiceren van feiten en anderzijds de vertaalslag te maken naar de concrete werksituatie
en belevingswereld van de collega’s.
Het is uiteraard belangrijk dat de toon en de vorm van de communicatie naar de verschillende
doelgroepen vanuit een herkenbare gemeentelijke-huisstijl gebeurt. Dit vergroot de consistentie,
de herkenbaarheid en acceptatie onder de doelgroepen en zorgt mede voor het basis-vertrouwen
wat noodzakelijk is om een betrouwbare (kennis)partner te kunnen zijn.
2.3 Uitgangspunten
Bij de uitvoering van dit communicatieplan informatiebeveiliging worden de volgende
uitgangspunten gehanteerd:
• Om het beoogde effect te bereiken wordt een combinatie van communicatiemiddelen ingezet.
• Bij de communicatie wordt zoveel mogelijk gebruik gemaakt van zowel bestaande in- als
externe kanalen en middelen (<personeelsblad>, intranet, werkoverleg, campagne iBewustzijn
Overheid, et cetera).
• Om de herkenbaarheid van de boodschap voor informatiebeveiliging te vergroten wordt bij alle
communicatieactiviteiten de volgende adagium/slogan gehanteerd: ‘<adagium/slogan >’.
• De communicatie over informatiebeveiliging wordt doelgroepgericht ingezet (zie hoofdstuk 4
voor de te onderscheiden doelgroepen).
• Het effect van de communicatieactiviteiten wordt gemeten door een steekproefsgewijze
controle op de aanwezigheid van het gewenste kennis- en bewustzijnsniveau en gedrag.
Bijvoorbeeld door het afnemen van interviews of het laten invullen van vragenlijsten.
2.4 Randvoorwaarden
Voor een succesvolle uitvoering van dit communicatieplan informatiebeveiliging gelden de volgende
randvoorwaarden:
• Er dient voldoende commitment bij het management te zijn voor de uitvoering van de
voorgestelde communicatieactiviteiten. Deels is het verkrijgen van commitment voor
informatiebeveiliging natuurlijk een doelstelling van de communicatie over
informatiebeveiliging.
• Middelen die gemeentelijke medewerkers dienen in te zetten om het gewenste gedrag te
kunnen vertonen, dienen beschikbaar en bekend te zijn. Voorbeelden van deze middelen zijn
beveiligingsmiddelen voor veilig e-mailen via internet, screensaver op de werkplek, afsluitbare
kasten, et cetera.
• Met betrekking tot de voorgestelde communicatieactiviteiten geldt dat het geheel meer is dan
de som der delen. Dit houdt in dat het niet uitvoeren van bepaalde communicatieactiviteiten de
16
gehele communicatiestrategie ontkracht, waardoor de realisatie van de beoogde doelstellingen
in gevaar komt.
• Er dienen voldoende mensen en middelen ter beschikking te worden gesteld (zie paragraaf 8.2
Financiën).
3. De communicatiedoelgroepen
Omdat bewustzijn op informatiebeveiligingsvlak pas succesvol is als binnen de gemeente
<gemeente> van hoog tot laag, in evenwicht, aandacht is voor zowel de techniek- als voor de
menskant.
3.1 De primaire communicatiedoelgroepen
Met betrekking tot communicatie over informatiebeveiliging worden de volgende primaire
communicatiedoelgroepen onderscheiden:
1. Burgemeester, college van burgemeester en wethouders (B&W), de gemeenteraad, de
verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management
2. De gemeentelijke medewerkers
3. Specifieke medewerkers, zoals:
• Nieuwe medewerkers
• Archiefbeheerders
• ICT-medewerkers, bijvoorbeeld projectleiders, applicatiebeheerders en
systeembeheerders.
3.2 De secundaire communicatiedoelgroepen
Met betrekking tot communicatie over informatiebeveiliging worden de volgende secundaire
communicatiedoelgroepen onderscheiden:
1. Burgers
2. Leveranciers en partners van leveranciers, bijvoorbeeld hosting-, audit-, pentestpartijen en
adviseurs.
3. Media, bijvoorbeeld journalisten.
4. Communicatiedoelstelling
De doelstelling kan als volgt geformuleerd worden: ‘Het optimaal informeren, involveren en
inspireren van de eigen gemeentelijke medewerkers aangaande het onderwerp
informatiebeveiliging’. Dit wordt gedaan zodat:
• De verantwoordelijkheid en taken van de informatiebeveiligingsorganisatie duidelijk zijn.
• Het belang van het onderwerp informatiebeveiliging en de voorbeeldfunctie van de
gemeentelijke medewerkers hierin, duidelijk zijn en actief uitgedragen worden.
Om de communicatiedoelstelling te ondersteunen wordt gebruik gemaakt van het adagium/slogan:
‘<adagium/slogan >’. Bijvoorbeeld ‘De gemeentelijke ketting is zo sterk als de zwakste schakel’.
Daar waar relevant voor de gemeentelijke communicatie wordt meegelift op de
communicatiemiddelen en -momenten van de IBD, (keten)partners en leveranciers. Denk hierbij
aan de IBD-website en community, campagne iBewustzijn Overheid, nieuwsbrieven, congressen en
andere relevante bijeenkomsten en middelen.
17
4.1 Kernboodschappen
Alle communicatie-initiatieven van de gemeente met betrekking tot informatiebeveiliging worden
opgehangen aan een aantal kernboodschappen. Het adagium/slogan, ‘<adagium/slogan >’ wordt
bij alle communicatieactiviteiten gebruikt als terugkerend thema.
Hieronder worden de kernboodschappen weergegeven voor de verschillende
communicatiedoelgroepen. Deze zijn:
1. Burgemeester, College van Burgemeester en Wethouders (B&W), de gemeenteraad, de
verantwoordelijk wethouder Informatiebeveiliging, gemeentesecretaris en het management.
o Informatiebeveiliging is een onderdeel van integraal management.
o Iedere leidinggevende heeft een voorbeeldfunctie.
o Iedere leidinggevende dient toezicht te houden op de eigen medewerkers.
2. Gemeentelijke medewerkers.
o Beveiliging van (vertrouwelijke) informatie is belangrijk.
o Beschikbaarheid van informatie is belangrijk.
o Het is belangrijk dat informatie juist en volledig aanwezig is.
o Goede informatiebeveiliging is een voorwaarde voor een goede dienstverlening.
o Iedere medewerker heeft een eigen verantwoordelijkheid met betrekking tot
informatiebeveiliging.
3. Specifieke medewerkers.
o Bij de specifieke werkzaamheden horen ook taken voor informatiebeveiliging. Dit
vereist zorgvuldigheid, scholing en bijzondere aandacht.
5. Communicatiestrategie
De communicatiestrategie onderliggend aan dit communicatieplan informatiebeveiliging geeft in
hoofdlijnen aan langs welke weg we de communicatiedoelen, zoals in hoofdstuk 2 beschreven,
willen bereiken. In feite vormt de communicatiestrategie de verantwoording voor dit
communicatieplan informatiebeveiliging.
Hierbij dienen op verschillende fronten keuzes te worden gemaakt:
• Benader je de doelgroepen proactief, actief of passief?
• Hoe is de toon van de communicatie (zakelijk of persoonlijk, informeel of formeel)?
• Wat is de aard van de in te zetten communicatiemiddelen (mondeling, schriftelijk of een
combinatie van beide)?
• Op welke wijze ga je de doelgroepen benaderen (massaal, groepsgewijs, individueel)?
• Met wie wordt er samengewerkt?
• Welke prioriteiten worden gesteld?
De communicatiestrategie bestaat uit:
• Het gelijktijdig inzetten van verschillende communicatiemiddelen, omdat de verschillende
doelgroepen hierdoor de boodschap beter oppikken.
• Het zoveel mogelijk betrekken van de verschillende doelgroepen bij het ‘veranderingsproces’,
omdat daarmee meer draagvlak en bewustwording wordt gecreëerd voor informatiebeveiliging.
• Het zoveel mogelijk meeliften op de communicatiemiddelen en -momenten van andere
organisaties, zoals de IBD, campagne iBewustzijn Overheid, (keten)partners en leveranciers.
Op deze manier worden de doelgroepen vanuit verschillende invalshoeken geïnformeerd en
kunnen tevens de kosten voor de gemeente worden beperkt.
18
6. Communicatiemiddelen
Binnen de gemeente <gemeente> worden veel verschillende media als informatiebronnen
gebruikt. Echter, het is niet de bedoeling deze allemaal in te zetten om de boodschap van
informatiebeveiliging over te dragen. De hierna beschreven communicatiemiddelen (kunnen)
worden ingezet om de verschillende doelgroepen te bereiken. Uiteraard hangt het inzetten van de
hieronder beschreven communicatiemiddelen onder andere af van de grote van de gemeente en
het beschikbare budget.
Intern:
Intranet
Dit medium is voor alle doelgroepen van dit communicatieplan informatiebeveiliging toegankelijk
en is daardoor goed inzetbaar. Gekeken moet worden hoe bij andere communicatieactiviteiten de
aandacht op het onderdeel ‘informatiebeveiliging’ van het intranet kan worden gevestigd
(<personeelsblad>, nieuwsbrief, et cetera). Op de intranetpagina’s van de gemeente <gemeente>
worden regelmatig (bijvoorbeeld maandelijks) updates geplaatst van onderwerpen over
informatiebeveiliging. Met als doel dat de gemeentelijke medewerkers op de hoogte blijven van
waar de organisatie op het gebied van informatiebeveiliging mee bezig is.
Naast algemene achtergrondinformatie over informatiebeveiliging is het van belang dat het intranet
is voorzien van informatie die:
• Het grootste gedeelte van de vragen van medewerkers afvangt.
• De mogelijkheid biedt tot actieve berichtgeving in geval van incidenten.
(Digitale) nieuwsbrief informatiebeveiliging
Via afzonderlijke (digitale) nieuwsbrieven wordt op verschillende momenten aandacht besteed aan
informatiebeveiliging, met onder andere aandacht voor:
• Een concreet onderwerp of case op informatiebeveiligingsvlak.
• Concrete tips en ‘instructies’.
• Informatiebeveiliging op de gemeentelijke werkvloer: een interview of artikel over de
dagelijkse uitdagingen als het gaat om informatiebeveiliging.
• Afhankelijk van de beschikbaarheid van (actuele) onderwerpen drie à vier per jaar.
Presentaties
Het geven van presentaties is een praktische methode die ingezet kan worden om informatie over
te brengen tijdens bijeenkomsten en/of afdelingsoverleggen. Deze kan worden afgestemd op de
verschillende doelgroepen.9
Training
Volgens het ‘train-de-trainer’-principe worden specifieke medewerkers voorgelicht over het nut en
de noodzaak van informatie en worden ze getraind in het gebruiken van de aanwezige
communicatiemiddelen. Deze getrainde medewerkers kunnen dan tijdens het afdelingsoverleg de
‘standaard’ presentatie verzorgen. Bijvoorbeeld de train-de-trainer Informatieveiligheid: Van ‘ja’
zeggen naar ‘ja’ doen!10
E-learning
9 Zie hiervoor ook het operationele product (presentatie) ‘Bewustwording Informatieveiligheid bij gemeenten’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10 http://www.vngacademie.nl/e-learning/train--de--trainer-informatieveiligheid-van-%E2%80%98ja%E2%80%99-zeggen-naar-%E2%80%98ja%E2%80%99doen!.aspx
19
E-learning is een methode die gebruikt kan worden om informatie via een digitale module over te
brengen, om de kennis te meten en de aanwezige houding, vaardigheden en gedrag te
beïnvloeden. Bijvoorbeeld de e-learning module ‘Bewust en veilig omgaan met (digitale)
informatie!’11
Workshops
Tijdens ‘denk-en-doe-sessies’ van maximaal twee tot vier uur kan er beter ingespeeld worden op
de impact van je eigen rol, het eigen handelen en het handelen van anderen op gebied van de
informatieveiligheid. Bijvoorbeeld de interactieve workshops iBewustzijn die via de VNG Academie
worden aangeboden.12
<Personeelsblad>
In het <personeelsblad> wordt op verschillende momenten iets over informatiebeveiliging
geplaatst. Dit geschiedt natuurlijk in overleg met de redactie en alleen wanneer er ook werkelijk
iets is te melden over informatiebeveiliging.
Posters
Door op verschillende plaatsen binnen de organisatie posters op te hangen worden de
medewerkers gewezen op (de noodzaak van) informatiebeveiliging. Dit is weer een middel om alle
gemeentemedewerkers te bereiken. Bij het bepalen van de inhoud van de posters wordt aandacht
besteed aan het feit dat deze informatie ook zichtbaar wordt voor bezoekers. Er moet namelijk niet
de indruk worden gewekt dat burgergegevens bij de gemeente niet in goede handen zijn.
Bijvoorbeeld de posters van de campagne iBewustzijn Overheid.13
Animatiefilmpjes
Soms is het kijken naar situaties die niet aan werk gerelateerd zijn datgene dat noodzakelijk is om
te beseffen welke handelingen beveiligingsbewust, of juist niet beveiligingsbewust zijn.
Bijvoorbeeld de (vier) animatiefilmpjes van de campagne iBewustzijn Overheid.14
Folders
Via folders kunnen gemeentelijke medewerkers (gemakkelijk) kennis met het onderwerp
informatiebeveiliging en wat beveiligingsbewustzijn inhoudt en het belang van een goed
beveiligingsbewustzijn. Bijvoorbeeld de folders van de campagne iBewustzijn Overheid.15
Werkoverleg
Het werkoverleg is een effectief middel om gewenst gedrag met betrekking tot
informatiebeveiliging bespreekbaar te maken. Om informatiebeveiliging hier goed onder de
aandacht te brengen, wordt hiervoor een kant-en-klaar pakket (presentatie, werkvorm, et cetera)
samengesteld.
11 http://www.vngacademie.nl/e-learning/ibewustzijn-overheid-.aspx 12 Zie voor meer informatie http://www.vngacademie.nl/e-learning/interactieve-workshops-ibewustzijn.aspx 13 https://www.ibewustzijnoverheid.nl/aanbod/posters/ 14 https://www.ibewustzijnoverheid.nl/aanbod/animatiefilmpjes/ 15 https://www.ibewustzijnoverheid.nl/aanbod/folder/
20
Mystery guest
In een real-life situatie wordt uw beveiliging aan een test onderworpen. Een mystery guest is een
social engineer16. Vaak is de toegang tot het gebouw beveiligd, maar kan de mystery guest door
een list, toeval of door uitbuiting van psychologische technieken toch toegang tot het gebouw
verschaffen. Eenmaal binnen in de beveiligde omgeving probeert de mystery guest vertrouwelijke
informatie te bemachtigen en kijkt hij of hij andere ‘schade’ kan aanrichten.
Introductie nieuwe medewerkers
Een introductiemap met informatie over informatiebeveiliging wordt aan nieuwe gemeentelijke
medewerkers (intern en extern, stagiairs, et cetera) uitgereikt.17 Dit wordt geborgd in de opzet van
de introductie voor nieuwe medewerkers. Daarnaast wordt, indien mogelijk, de nieuwe
medewerker in een persoonlijk gesprek door de manager op de hoogte gesteld van de regels voor
informatiebeveiliging binnen de gemeente.
Raadpleeg externe bronnen, zoals:
• https://www.ibewustzijnoverheid.nl/
iBewustzijn staat voor informatiebewustzijn. Met de campagne iBewustzijn Overheid wil de
overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen
van het bewustzijn betreffende informatieveiligheid. De campagne is voor alle medewerkers
van de provincies, waterschappen en gemeenten.
• https://veiliginternetten.nl/
Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken, het
ministerie van Veiligheid en Justitie / Nationaal Cybersecurity Centrum (NCSC) en ECP |
Platform voor de Informatiesamenleving en het bedrijfsleven. Op veiliginternetten.nl kunnen
mensen tips, trucs en praktische stap voor stap uitleg vinden over wat zij kunnen doen en
laten om veilig te internetten. Deze site is bedoeld voor iedereen met vragen over veilig
gebruik van internet.
• https://www.digivaardigdigiveilig.nl/
Het kunnen omgaan met digitale toepassingen en het beschikken over een veilige digitale
omgeving zijn cruciaal. Overheid, bedrijfsleven en maatschappelijke organisaties slaan hiervoor
de handen ineen binnen dit publiek-private programma.
• http://cyberawareness.nctv.nl/
Om je bewust te maken van de digitale sporen die je achterlaat, hoe kwaadwillenden daarvan
gebruikmaken en hoe je veiliger kunt handelen, hebben de Nationaal Coördinator
Terrorismebestrijding en Veiligheid (NCTV) en het NCSC een Cyber Security Awareness-
programma ontwikkeld: 'Je bent zichtbaarder dan je denkt'. Het programma bestaat uit een
film van ongeveer 15 minuten, factsheets en een e-learning module van ongeveer 30 minuten.
Extern:
Social Media
Om de burgers te informeren wordt er gebruik gemaakt van de gemeentelijke social media kanalen
zoals Twitter en Facebook:
• <gemeente>-IB-Twitter
o Vanuit dit <gemeente>-IB-Twitter-account wordt getwitterd naar gemeente-
volgers over het onderwerp informatiebeveiliging. Het kan natuurlijk ook zo zijn dat
16 Een social engineer probeert gebruikersgegevens te krijgen door zich bijvoorbeeld voor te doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost. 17 Dit kan uiteraard ook een verwijzing zijn naar de intranetpagina’s die deze informatie bevatten.
21
de tweets met betrekking tot informatiebeveiliging getwitterd worden via het
algemene <gemeente>-twitter-account.
o Tweets, relevant om kenbaar te maken aan de volgers van de gemeente worden
geretweet. Dit houdt in dat tweets van partijen die de gemeente volgt, in de gaten
gehouden dienen te worden.
o Tweets worden getweet met gebruik van een #(hashtag) bij woorden gerelateerd
aan de gemeente. Bijvoorbeeld: informatieveiligheid, informatiebeveiliging,
<gemeente>, ontwikkelingen et cetera. Dit met als doel, wanneer een twitteraar
zoekt op deze woorden, de tweets van de gemeente ook naar boven komen.
• <gemeente>-Facebook pagina
o De gemeente <gemeente> heeft een eigen pagina op Facebook om,
laagdrempelig, nog meer inwoners van de <gemeente> aan te spreken. Op deze
pagina staat nieuws voor mensen die wat met de gemeente <gemeente> hebben.
Het is mogelijk om te reageren op berichten of zelf informatie te plaatsen.
Iedereen, ook zonder Facebook-account, kan de pagina, foto's en reacties bekijken.
Wel is er een aantal spelregels: berichten met reclame-uitingen worden verwijderd.
Ook berichten die beledigend zijn, bedreigingen of (links naar) illegale zaken
bevatten worden verwijderd.
o Op deze gemeentelijke Facebook-pagina wordt ook voor de inwoners relevante
informatie met betrekking tot informatiebeveiliging en privacy geplaatst.
Desgewenst kunnen ook specifieke communicatiemiddelen worden ingezet afhankelijk van nut en
noodzaak op dat moment. Uiteraard wordt hier dan een specifiek plan van aanpak voor
vervaardigd.
6.1 Doelgroepen-middelenmatrix
Nadat de communicatiemiddelen zijn vastgesteld, kan de doelgroepen-middelenmatrix worden
ingevuld (zie tabel 1). Dit is een schematische weergave, waarbij de communicatiedoelgroepen
tegen de communicatiemiddelen worden uitgezet. De doelgroepen-middelenmatrix geeft
overzichtelijk weer welke communicatiedoelgroepen je met welke communicatiemiddelen wilt
bereiken.
22
Communicatiemiddelen Communicatiedoelgroepen
Burgemeester, college van
B&W, gemeenteraad,
verantwoordelijk wethouder
informatiebeveiliging,
gemeentesecretaris en het
management
Gemeentelijke
medewerkers
Specifieke
medewerkers
Burgers Leveranciers en
partners van
leveranciers
Media
Informatiebeveiliging op intranet
(Digitale) nieuwsbrief informatiebeveiliging
Presentaties
Training
E-learning
Workshops
Informatiebeveiliging in <personeelsblad>
Posters
Animatiefilmpjes
Folders
Informatiebeveiliging in werkoverleg
Inzet van mystery guest
Introductie nieuwe medewerkers
Tabel 1 Doelgroepen-middelenmatrix.
23
7. Activiteitenplanning
In (het) onderstaande overzicht(en) worden de communicatieactiviteiten vermeld, die ten behoeve
van de informatiebeveiliging worden uitgevoerd. Hierbij is ook aangegeven wanneer deze
activiteiten worden uitgevoerd en wie hierbij betrokken zijn.
Er worden hier twee voorbeelden (tabel 2 en 3) van de activiteitenplanning weergegeven. Bij
overzicht 1 zijn de communicatiemiddelen het uitgangspunt en bij overzicht 2 is dat de
communicatiedoelgroep.
Communicatiemiddel Communicatie-
doelgroep
Verantwoordelijk Datum
Informatiebeveiliging op intranet Vul hier in welke
communicatie-
doelgroep wordt
benaderd.
Vul hier in wie
verantwoordelijk is
voor deze
communicatie-
activiteit (dat hoeft
niet degene te zijn
die de activiteit
uitvoert).
Vul hier in op
welke datum of
in welke periode
de communica-
tieactiviteit
plaatsvindt.
(Digitale) nieuwsbrief informatiebeveiliging
Presentaties
Training
E-learning
Workshops
Informatiebeveiliging in <personeelsblad>
Posters
Animatiefilmpjes
Folders
Informatiebeveiliging in werkoverleg
Inzet van mystery guest
Introductie nieuwe medewerkers
Tabel 2 Overzicht 1 activiteitenplanning.
Communicatiedoelgroep Vul hier in welke communicatiedoelgroep wordt benaderd.
Communicatieboodschap/-doel Vul hier in wat je via deze communicatieactiviteit wil bereiken.
Communicatiemiddel Vul hier in op welke wijze de communicatieboodschap wordt
overgebracht.
Datum en tijdstip Vul hier in op welke datum of in welke periode de
communicatieactiviteit plaats vindt.
Verantwoordelijk Vul hier in wie verantwoordelijk is voor deze communicatieactiviteit
(dat hoeft niet degene te zijn die de activiteit uitvoert).
Opmerking
Tabel 3 Overzicht 2 activiteitenplanning.
24
8. Benodigde middelen
8.1 Mensen
De in hoofdstuk 7 opgesomde communicatieactiviteiten vereisen van de genoemde betrokkenen
(verantwoordelijke en/of uitvoerende) de onderstaande inzet in mensdagen (zie tabel 4).
Betrokkene Inschatting benodigde inzet (in mensdagen)
[functie] X
[functie] X
[functie] X
[functie] X
[functie] X
Tabel 4 Inschatting benodigde inzet.
8.2 Financiën
Het kan zijn dat het budget een vastgesteld gegeven is en het een van de randvoorwaarden is bij
het opstellen van het communicatieplan informatiebeveiliging. In andere gevallen wordt een
kostenbegroting aan de hand van het plan van aanpak opgesteld. Hieronder een aantal zaken
waarmee rekening gehouden dient te worden:
• Personeelskosten, bijvoorbeeld inhuur deskundigen. Hierbij zijn de kosten van de inzet van de
betrokken gemeentelijke medewerkers niet in rekening gebracht. Deze worden verondersteld
onderdeel te vormen van de bestaande begrotingen van de genoemde afdelingen.
• Kosten voor het ontwikkelen van communicatiemiddelen, bijvoorbeeld schrijven, opmaken en
drukwerk.
• Kosten voor het onderhoud van communicatiemiddelen.
• Kosten voor verspreiding, bijvoorbeeld het verzenden van brieven.
• Kosten voor bijeenkomsten, bijvoorbeeld het deelnemen aan congressen, trainingen.
• Onvoorziene kosten (over het algemeen 10% van het totaal).
De in dit communicatieplan informatiebeveiliging opgenomen communicatieactiviteiten leiden tot
de onderstaande kosten (zie tabel 5).
communicatieactiviteit Kosten (Euro's en excl. BTW)
[communicatiemiddel] X
[communicatiemiddel] X
[communicatiemiddel] X
Totaal X
Tabel 5 Begroting communicatieactiviteiten informatiebeveiliging.
25
Bijlage 2: Voorbeeld enquête
informatiebeveiliging
Opmerking:De hier vermelde enquête bevat voorbeeldvragen die aangepast dienen te worden
naar de eigen gemeentelijke situatie. Niet alle vragen zijn dan ook relevant voor uw gemeente. Het
gaat er hier om, om u een idee te geven van het soort vragen die in een vragenlijst/enquête met
betrekking tot bewustwording opgenomen kunnen worden.
Voor de gemeente is een goede beveiliging van informatie van groot belang. Gegevens van
burgers, ketenpartners en andere vertrouwelijke documenten mogen niet voor onbevoegden
toegankelijk zijn. Dit kan grote problemen veroorzaken voor de voortgang en de kwaliteit van de
gemeentelijke dienstverlening. Hierbij zijn we gebonden aan allerlei wet- en regelgeving,
waaronder de Wet bescherming persoonsgegevens (Wbp). Bovendien leiden incidenten
onmiddellijk tot imagoschade voor de gemeente. Door middel van bijgevoegde enquête willen wij
de bekendheid van informatiebeveiliging en het gedrag van gemeentelijke medewerkers meten.
Wij sturen deze enquête steekproefsgewijs aan 25% van de gemeentelijke medewerkers. Wij
zouden het bijzonder waarderen als u deze enquête invult. Het beantwoorden van de vragen kost u
ongeveer tien minuten.
De invulinstructie voor deze vragenlijst is als volgt:
− Per vraag kiest u een antwoord door het bijbehorende vakje aan te kruisen. Bij vrijwel alle
vragen dient u één antwoord te kiezen. Als dit niet het geval is staat dit duidelijk aangegeven.
− De vragenlijst is anoniem; u hoeft dus geen naam op het formulier te vermelden. Wij vragen
wel naar uw functie om hier eventueel bij de verwerking van de resultaten en het bepalen van
de vervolgacties gebruik van te kunnen maken.
U kunt de ingevulde vragenlijst via de interne post tot uiterlijk [datum] terugsturen naar:
<Adres>
Bij voorbaat hartelijk dank voor de medewerking!
<Ondertekening>
26
Aandacht voor informatiebeveiliging
Informatiebeveiliging heeft tot doel de beschikbaarheid, integriteit, vertrouwelijkheid en
controleerbaarheid van gegevens te waarborgen. Het maakt hierbij niet uit of de werkzaamheden
op kantoor plaatsvinden of vanuit huis en of dat het hierbij gaat om een door de gemeente
versterkte computer/mobiel apparaat of een privé-eigendom. Het gaat om betrouwbare
gemeentelijke dienstverlening. Dit betekent dat:
• De gemeentelijke informatiesystemen en informatie beschikbaar zijn wanneer we deze nodig
hebben (beschikbaarheid).
• We kunnen vertrouwen op wat de gemeentelijke informatiesystemen ons toont (integriteit).
• We zorgen dat vertrouwelijke gegevens niet in verkeerde handen terechtkomen
(vertrouwelijkheid).
• We zorgen dat het mogelijk is om te kunnen achterhalen welke handelingen met de
gemeentelijke informatiesystemen zijn uitgevoerd (controleerbaarheid).
1. Binnen welke van de onderstaande categorieën valt uw functie?
O <functie>
O <functie>
O anders, namelijk ..........................................................................................
2. Vindt u het belangrijk dat we binnen de gemeente aandacht besteden aan
informatiebeveiliging?
O Nee, ik vind informatiebeveiliging niet belangrijk
O Ja, ik vind informatiebeveiliging belangrijk
O Ik heb hierover geen mening
3. Informatiebeveiliging maakt een belangrijk onderdeel uit van mijn werk.
O Zeer mee eens
O Mee eens
O Neutraal
O Mee oneens
O Zeer mee oneens
4. Binnen de gemeente hebben we een informatiebeveiligingsbeleid opgesteld. Kent u dit
informatiebeveiligingsbeleid?
O Nee, ik heb hiervan nog nooit gehoord
O Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet
O Ja, ik ken de inhoud van dit informatiebeveiligingsbeleid
5. Binnen de gemeente hebben we een gedragscode voor het gebruik van computerfaciliteiten
opgesteld. Heeft u deze gedragscode gelezen en weet u hoe u met de door de gemeente
beschikbaar gestelde computerfaciliteiten om moet gaan?
O Nee, ik heb hiervan nog nooit gehoord
O Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet
O Ja, ik ken de inhoud van deze gedragscode, maar ik weet niet hoe ik met de door de
gemeente beschikbaar gestelde computerfaciliteiten om moet gaan
O Ja, ik ken de inhoud van deze gedragscode en ik weet hoe ik met de door de gemeente
beschikbaar gestelde computerfaciliteiten om moet gaan
27
6. Weet u dat er op het intranet aandacht wordt besteed aan informatiebeveiliging (<link>)?
O Nee, dat weet ik niet
O Ja, dat weet ik, maar ik heb de genoemde pagina’s niet bezocht
O Ja, ik heb de genoemde pagina’s wel eens bekeken
7. Weet u wie verantwoordelijk is voor Informatiebeveiliging binnen de gemeente? (Alles
selecteren wat van toepassing is)
� ICT-afdeling
� Afdelingen die de gegevens gebruiken
� Gemeentesecretaris
� Managers en teamleiders
� Informatiebeveiligingsfunctionaris
� Individuele gemeentelijke medewerkers
8. Heeft u de gemeentelijke bewustwordingstraining gevolgd?
O Ja
O Nee
9. Weet u of uw leidinggevende(n) inzicht heeft/hebben in de begrippen en principes van
informatiebeveiliging?
O Nee, dit weet ik niet (ga verder met vraag 11)
O Ja, maar mijn leidinggevende(n) kent/kennen de begrippen en principes van
informatiebeveiliging niet (ga verder met vraag 11)
O Ja, mijn leidinggevende(n) is/zijn bekend met de begrippen en principes van
informatiebeveiliging
10. Zo ja, hoe beoordeelt u het bewustzijn van uw leidinggevende(n) ten aanzien van
informatiebeveiliging?
O Mijn leidinggevende(n) vindt/vinden informatiebeveiliging alleen maar lastig
O Mijn leidinggevende(n) stelt/stellen zich neutraal op
O Mijn leidinggevende(n) stimuleert/stimuleren de realisatie en naleving van regels voor
informatiebeveiliging
11. Bent u zich bewust van uw eigen rol met betrekking tot informatiebeveiliging?
O Nee, daar ben ik mij niet van bewust
O Ja, maar dit heeft niet geleid tot concrete acties
O Ja, ik werk actief mee aan informatiebeveiliging
12. Voorbeelden van beveiligingsincidenten zijn virussen, gebruik van illegale programmatuur,
diefstal van gegevens, et cetera. Weet u dat u een beveiligingsincident moet melden?
O Nee, daar weet ik niets van
O Ja, daar heb ik wel eens van gehoord, maar dat doe ik in de praktijk niet
O Ja, als ik beveiligingsincidenten ontdek, meld ik deze
13. Weet u bij wie u een beveiligingsincident moet melden?
O Nee, dat weet ik niet
O Ja, als ik een beveiligingsincident ontdek, meld ik dit bij mijn leidinggevende
O Ja, als ik een beveiligingsincident ontdek, meld ik dit bij de
informatiebeveiligingsfunctionaris
28
14. Weet u wat met aanvaardbaar gebruik van de door de gemeente beschikbaar gestelde
computerfaciliteiten wordt bedoeld?
O Nee, dat weet ik niet
O Ja, daar heb ik wel eens van gehoord, maar dat pas ik in de praktijk niet toe
O Ja, ik ben hiervan op de hoogte en handel hier ook naar
15. Bent u zich bewust van het feit dat wat u op uw computer doet invloed kan hebben op andere
personen?
O Nee, daar ben ik me niet van bewust
O Ja, daar heb ik wel eens van gehoord, maar ik kan de impact niet volledig beoordelen
O Ja, daar ben ik me volledig van bewust en handel hier ook naar
De omgang met informatie (tijdens uw werk)
Informatiebeveiliging komt u tegen in uw dagelijkse werk. Bij het inloggen wordt om een
wachtwoord gevraagd, vertrouwelijke gegevens mogen niet zomaar onbeheerd worden
achtergelaten, et cetera.
16. Kruis aan in hoeverre u weet wat de volgende begrippen betekenen en inhouden?
Onvoldoende Voldoende Goed
Hoax
Keyboard-loggers
Malware
Phishing
Shoulder surfing
Social engineering
Spam
Sterk wachtwoord
Veilige internetverbinding
Virus
17. U bent zich bewust dat u een belangrijke rol kan spelen in het beschermen van uw computer
en de informatie die daarop is opgeslagen.
O Zeer mee eens
O Mee eens
O Neutraal
O Mee oneens
O Zeer mee oneens
29
18. Wachtwoorden zijn belangrijk voor het voorkomen van ongeautoriseerde toegang tot
informatie. Welke van de volgende wachtwoorden zijn sterke wachtwoorden volgens het
gemeentelijke wachtwoordbeleid? (Alles selecteren wat van toepassing is)
� Beheerder
� w3th0ud3r
� G3m33nt3
� Janssen
� Geheim22
� W@chtw00rd
� G3m33nt3s3cr3t@r!s
19. Worden binnen uw afdeling login codes en wachtwoorden gedeeld?
O Ja, om elkaars afwezigheid te kunnen opvangen
O Nee, we delen deze gegevens niet
20. Maakt u uw persoonlijke wachtwoord(en) wel eens bekend aan andere medewerkers?
O Nee, ik houd mijn persoonlijke wachtwoord(en) geheim
O Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend
O Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend,
maar wijzig het onmiddellijk nadat de noodzaak daarvoor is vervallen
21. Heeft een bekende u op het werk wel eens om uw persoonlijke wachtwoord gevraagd?
O Ja, en ik heb het toen ook gegeven
O Ja, en ik heb het toen niet gegeven
O Nee
22. Legt u uw wachtwoord(en) wel eens ergens vast (op papier, onder het toetsenbord of de
muismat, in uw agenda, et cetera)?
O Nee, ik houd mijn wachtwoord(en) geheim
O Ja, ik leg mijn wachtwoord(en) wel eens vast
O Ja, ik leg mijn wachtwoord(en) wel eens vast, maar wel op een beveiligde manier
23. Maakt u wel eens gebruik van het persoonlijke account van een andere medewerker?
O Nee, ik maak alleen gebruik van mijn eigen account
O Ja, maar alleen bij hoge uitzondering
O Ja, dat doe ik regelmatig
24. Als iemand u een e-mail stuurt met een bijlage/link die niet aan werk gerelateerd is, hoe
waarschijnlijk is het dat u deze opent?
O Niet waarschijnlijk
O Mogelijk, afhankelijk van wat wordt verzonden
O Zeer waarschijnlijk
O Altijd
25. Als u uw werkplek voor langere tijd verlaat, bijvoorbeeld een lunch of meeting, zorgt u er dan
voor dat anderen geen toegang kunnen krijgen tot uw computer?
O Ja, ik beveilig mijn computer (ga verder met vraag 26)
O Nee, daarvoor doe ik niks (ga verder met vraag 28)
30
26. Hoe beveiligt u uw computer als u deze voor langere tijd verlaat? (Alles selecteren wat van
toepassing is)
� Ik zet mijn monitor uit
� Ik log uit
� Ik zet de computer uit
� Ik maak gebruik van een met wachtwoord beveiligde screensaver
27. Een screensaver met wachtwoordbeveiliging kan u helpen bij de beveiliging van uw eigen
werkplek. Wat vindt u van het nut van een dergelijke maatregel?
O Ik vind een screensaver alleen maar lastig
O Het maakt mij niet uit
O Ik vind een screensaver nuttig
O Ik vind een screensaver nuttig, maar wil de instellingen wel zelf kunnen bepalen
28. Heeft uw werk betrekking op de volgende soorten informatie? (Alles selecteren wat van
toepassing is)
� Persoonsgegevens van burgers
� Persoonsgegevens van medewerkers
� Financiële Informatie
� Gegevens met betrekking tot SUWI
� Gegevens uit het sociaal domein
� Geen van bovenstaande
29. Bij de gemeente <gemeente> is het niet toegestaan om vertrouwelijke informatie, zoals
persoonsgegevens van burgers, via e-mail onbeveiligd over het internet te versturen. Verstuurt
u wel eens vertrouwelijke informatie via e-mail onbeveiligd over het internet?
O Niet van toepassing, want ik heb niet te maken met vertrouwelijke informatie
O Nee, dat doe ik nooit
O Ja, maar alleen bij hoge uitzondering
O Ja, dat doe ik regelmatig
30. U wordt gevraagd om informatie met onder andere namen en contactgegevens naar een
andere gemeentelijke afdeling op te sturen. Wat is een geschikte methode voor het verzenden
van deze informatie? (Alles selecteren wat van toepassing is)
� E-mailbericht
� Een door de gemeente beschikbaar gesteld uitwisselplatform
� Cloud, bijvoorbeeld Dropbox. Google Drive, Box of Microsoft OneDrive
� Telefoon
� Persoonlijk afleveren op papier of op een USB-stick
� Interne post
31. Elektronische en papieren documenten kunnen gevoelige persoonsgegevens bevatten, zoals
burgerservicenummer (BSN), namen, gebruikerscodes, adressen et cetera. Welke uitspraak
beschrijft het beste hoe deze documenten worden verwerkt binnen uw team?
O Documenten worden niet in een speciale manier behandeld
O Documenten zijn onderworpen aan de interne procedures en het beleid om de
vertrouwelijkheid te beschermen
31
32. Binnen de gemeente <gemeente> moet zorgvuldig worden omgaan met vertrouwelijke
documenten, zoals dossiers van burgers. Dit betekent dat deze documenten zodanig moeten
worden bewaard dat ze niet door onbevoegden kunnen worden ingezien of worden
meegenomen. Gaat u zorgvuldig om met vertrouwelijke documenten?
O Nee, ik houd mij niet aan deze regels
O Ja, ik ruim vertrouwelijke documenten altijd op, zodat onbevoegden hier niet bij
kunnen
33. U slaat uw bestanden op uw bureaublad of op de harde schijf van uw computer op in plaats
van op de gemeentelijke netwerkomgeving? Dit geldt zowel voor een werk als privécomputer of
mobiel apparaat.
O Altijd
O Soms
O Zelden
O Nooit
O Ik weet het niet
34. Er staat geen informatie op uw computer of op de voor u toegankelijke gemeentelijke
netwerkomgeving dat van enig belang is of waarde heeft voor anderen. Dit geldt zowel voor
een werk als privécomputer of mobiel apparaat.
O Zeer mee eens
O Mee eens
O Neutraal
O Mee oneens
O Zeer mee oneens
35. Hoe vaak neemt u informatie mee naar huis om daar thuis aan verder te werken met uw
computer thuis?
O Bijna elke dag
O Minstens één keer per week
O Minstens één keer per maand
O Nooit
36. Hoe vaak heeft u op afstand (remote) toegang tot de gemeentelijke gedeelde schijven,
bestanden, toepassingen of uw e-mails?
O Bijna elke dag
O Minstens een keer per week
O Minstens een keer per maand
O Nooit
37. U ontvangt een e-mail van inkoop@leverancier.nl. Opent u een email waarvan u de persoon en
organisatie niet kent om de inhoud ervan te bekijken.
O Nooit
O Soms
O Regelmatig
O Altijd
32
38. U bent aan het surfen op het internet, opeens verschijnt een scherm waarin u wordt
meegedeeld dat u een prijs heeft gewonnen. Het enige wat u daarvoor moet doen is een aantal
persoonlijke vragen te beantwoorden.
O Daar doe ik nooit aan mee.
O Daar doe ik soms aan mee, maar ik ben me bewust van de risico’s
O Daar doe ik soms aan mee, hangt af van de prijs die ik kan winnen
O Daar doe ik altijd aan mee
39. U wordt gewaarschuwd dat er nieuwe updates beschikbaar zijn voor het besturingssysteem van
uw computer. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.Wat doet u?
O Ik installeer nooit updates voor mijn computer, omdat ik niet weet hoe dit moet
O Ik installeer altijd de updates voor mijn computer
O De updates worden automatisch geïnstalleerd
40. Maakt u een back-up van de gegevens op uw computer? Dit geldt zowel voor een werk als
privécomputer of mobiel apparaat.
O Ik maak nooit een back-up van de gegevens op mijn computer
O Als ik eraan denk maak ik een back-up van de gegevens op mijn computer
O Ik maak iedere week een back-up van de gegevens op mijn computer
41. Controleert u tijdens het mobiel werken of u gebruik maakt van een veilige internetverbinding?
O Ik maak nooit gebruik van een openbaar wifinetwerk voor mijn werk
O Ik maak nooit gebruik van een openbaar wifinetwerk
O Ik maak soms gebruik van een openbaar wifinetwerk voor mijn werk
O Ik maak gebruik van een openbaar wifinetwerk als er een beschikbaar is
Communicatie
Voor informatiebeveiliging is communicatie van groot belang. Over de zorgvuldige omgang met
vertrouwelijke informatie hebben wij u in het afgelopen jaar op verschillende manieren
geïnformeerd.
42. We willen het personeel blijven informeren over het nut en de noodzaak van
informatiebeveiliging. Wat is hierover uw mening?
O Ik vind deze activiteiten zinloos
O Ik heb hierover geen mening
O Ik vind deze activiteiten zinvol
43. Om de boodschap over informatiebeveiliging te verspreiden, zetten we verschillende
communicatiemiddelen in. Op welke manier bent u iets over informatiebeveiliging te weten
gekomen? (Alles selecteren wat van toepassing is)
� Brochure informatiebeveiliging
� Artikelen in <het personeelsblad>
� Intranet
� Toelichting in het werkoverleg
� Posters
� Overig, namelijk ………………………………………………………………………..
33
44. Over welke onderwerpen die samenhangen met informatiebeveiliging wilt u nader worden
geïnformeerd?
...............................................................................................................................
...............................................................................................................................
...............................................................................................................................
...............................................................................................................................
45. Heeft u naar aanleiding van deze enquête vragen, opmerkingen of suggesties?
...............................................................................................................................
...............................................................................................................................
...............................................................................................................................
...............................................................................................................................
Wij danken u hartelijk voor uw medewerking! Uw gegevens worden in de uitslagen van de enquête
anoniem verwerkt. De resultaten worden gebruikt om de communicatie over informatiebeveiliging
verder vorm te geven.
34
Bijlage 3: Definities
Corporate Information Security Officer (CISO): Onder CISO wordt de functionaris verstaan
die bij een gemeente qua governance verantwoordelijk en aanspreekbaar is voor de
informatiebeveiliging. De CISO is de gesprekspartners voor de teamleider van de IBD, voor
beleidskwesties en voor eerste escalaties. De CISO is of wordt aangewezen door het management
van de gemeente. In alle gevallen geldt dat het rollen betreft, en back-ups dus afdoende
vastgelegd moeten zijn.
Hoax:18 In de computerwereld wordt het woord in het bijzonder gebruikt voor een vals gerucht,
een bewering die niet waar is en per e-mail wijde verspreiding vindt. In deze betekenis begint het
ook in andere talen door te dringen. Het betreft hier meestal zeer bijzondere aanbiedingen (onder
meer het beloven van grote sommen geld), reddingsacties van zieke kinderen (waardoor iemand
een telefoon roodgloeiend had staan) of een aankondiging van een uitzonderlijk gevaarlijk
computervirus. Het bericht gaat meestal vergezeld van de oproep om het bericht vooral toch
onbeperkt naar iedereen door te sturen.
Keyboard-loggers: Met een keyboard-logger wordt in dit geval een toetsenbordstekker bedoeld
die tussen het toetsenbord en de pc wordt gestoken. Deze keyboard-loggers slaan alle
toetsaanslagen op, en daarmee ook de ingetoetste gebruikersnamen en wachtwoorden. Er bestaan
ook softwarematige keyboard-loggers. Een tegenmaatregel tegen fysieke keyboard-loggers is om
regelmatig aan de buitenkant van de pc de toetsenbord aansluiting te controleren. De meeste
antivirussoftware herkent de meeste softwarematige keyboard-loggers.
Malware:19 is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige
informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een
samenvoeging van het Engelse malicious software (kwaadwillende software). Malware wordt
gedefinieerd door middel van zijn kwaad opzet.
Phishing: Bij phishing wordt gebruik gemaakt van een e-mail waarbij de eindgebruiker wordt
verleid om zijn gebruikersgegevens, waaronder het wachtwoord, in te vullen op een malafide
website. Tegenmaatregelen die kunnen helpen zijn: gebruikmaken van een goede up-to-date
antivirusscanner en er dient aandacht te zijn voor het openen van e-mailbijlagen in
bewustwordingscursussen.
Post-it briefjes: Wachtwoorden worden soms op briefjes opgeschreven en aan de monitor
geplakt, of onder het toetsenbord of op een andere onveilige plaats bewaard. Dit dient
geadresseerd te worden in bewustwordingscursussen.
Shoulder surfing: Meekijken met het invoeren van wachtwoorden. Een tegenmaatregel is dat
men zich bewust moet zijn van deze vorm van een aanval en dat men het meekijken over de
schouder voorkomt.
Social engineering20: Is een techniek waarbij een kwaadwillende een aanval tracht te
ondernemen door de zwakste schakel in de beveiliging, namelijk de mens, te kraken. De aanval is
18 http://nl.wikipedia.org/wiki/Hoax 19 http://nl.wikipedia.org/wiki/Malware 20 http://nl.wikipedia.org/wiki/Social_engineering_%28informatica%29
35
erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de kwaadwillende
dichter bij het aan te vallen object/doel kan komen.
Spam:21 is een verzamelnaam voor ongewenste berichten en is ook bekend als Unsolicited
Commercial E-mail en Unsolicited Bulk E-mail. Onder deze term vallen ongewenste e-mails en
reclameboodschappen op websites.
21 http://nl.wikipedia.org/wiki/Spam_%28post%29
36
Bijlage 4: Literatuur/bronnen
Voor deze publicatie is gebruik gemaakt van onderstaande bronnen:
Titel: SP 800-50 -Building an Information Technology Security Awareness and Training
Program
Wie: National Institute of Standards and Technology(NIST)
Datum: oktober 2003
Link: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf
Titel: Diverse documenten
Wie: Informatiebeveiliging in de zorg - Werken met NEN 7510
Datum: 2012
Link: https://www.werkenmetnen7510.nl/
Titel: Security awareness in de praktijk
Wie: Platform voor InformatieBeveiliging (PVIB)
Datum: juni 2007
Link: https://www.pvib.nl/download/?id=6474256&download=1
Titel: Security Awareness bij outsourcing
Wie: Platform voor InformatieBeveiliging (PVIB)
Datum: juni 2007
Link: https://www.pvib.nl/download/?id=6474253&download=1
Titel: Het meten van informatiebeveiligingsbewustzijn
Wie: Platform voor InformatieBeveiliging (PVIB)
Datum: juni 2007
Link: https://www.pvib.nl/download/?id=6474235&download=1
Recommended