Gevoelige data ligt voor het grijpen
Opdrachtgever: BitSoldiers
Opdrachtnemer: Splintt online training services
Klantvraag: verhogen bewustzijn informatiebeveiliging
Oplossing: online training
De Belgische minister-president Di Rupo wiens laptop met gevoelige informatie wordt gestolen. Onbeheerd achtergelaten op de achterbank van zijn Audi A6 (NRC). “40.000 klantgegevens telecombedrijf op straat” (nu.nl). Twijfels of gemeenten wel ‘goede data beveiligers zijn’ (NRC). “En nu krijgen ze net een hele berg aan privacygevoelige data.”
Veel werknemers staan er niet bij stil hoe kwetsbaar hun organisatie is. Zeven van de tien beveiligingsincidenten worden veroorzaakt door menselijke fouten: informatie die – onbewaakt – op een bureau blijft liggen; een USB-stick voor het grijpen; een wachtwoord met een stickertje op een computer geplakt; prints die rondslingeren; mensen die rondlopen op plekken waar ze niet zouden mogen komen. Een beperkte opsomming van incidenten uit de dagelijkse praktijk.
Informatie beveiligen
BitSoldiers – een bedrijf gespecialiseerd in informatiebeveiliging – is er duidelijk over: de mens is de zwakste schakel in de beveiligingsketen. Het ziet dat bedrijven veel investeren in beveiligingstechnologie, maar veel te weinig in het opleiden van hun mensen. Terwijl een goed beveiligd systeem weinig nut heeft, als medewerkers hun wachtwoorden met post-its op de computer plakken. Daarom initieerde BitSoldiers een programma dat de medewerkers bewust moet maken van onveilig gedrag. De focus ligt op het herkennen van risicovolle situaties. Informatiebeveiliging is niet alleen een zorg voor de afdeling ICT, maar de verantwoordelijkheid van de hele organisatie.
Bewustzijn verhogen
Het programma van BitSoldiers bestaat uit live en online onderdelen. Het programma begint met priming: informatiebeveiliging moet op de kaart komen. Door guerrilla acties, phishing mails en gerichte communicatie wordt het concept geactiveerd onder alle medewerkers. Online wordt het bewustzijnsniveau getoetst. Gevolgd door online trainingsmodules die het bewustzijnsniveau verder verhogen. Herkenbare situaties, die dagelijks voorkomen, laten zien wat er kan gebeuren als je eventjes niet oplet. Live workshops, een toolkit met hulpmiddelen op maat en een ambassadeursprogramma moeten zorgen voor verdieping en borging.
Klantvraag
BitSoldiers vroeg Splintt om de online trainingsmodules te ontwikkelen. De modules moeten algemeen genoeg zijn om herkenbaar te zijn voor uiteenlopende organisaties en zo zijn opgezet, dat ze eenvoudig organisatie-specifiek gemaakt kunnen worden.
Aanpak
Op basis van een onderzoek bij klanten van BitSoldiers werd achterhaald waar mensen zich niet bewust van zijn, wat ze wel weten maar niet naar handelden en hoe groot de bekendheid is met het informatiebeveiligingsbeleid binnen de eigen organisatie. Op basis van deze informatie, gecombineerd met thema’s uit de media en met kennis binnen BitSoldiers en zusterbedrijf DearBytes (IT beveiliging), werden de leerdoelstellingen bepaald:
-
verhogen van het informatiebewustzijn binnen de organisatie
-
vergroten van de kennis over het veilig omgaan met informatie
-
leren om op een bewustere manier te kijken naar risicovolle situaties
-
leren effectiever te handelen in deze situaties
Vervolgens schetste Splintt een eerste storyboard. Daarbij waren herkenning en impact creëren het uitgangspunt. Splintt koos voor een aanzienlijke portie film met een beetje spanning, voor vragen die tot nadenken aanzetten en voor feedback waarmee duidelijk wordt dat het over een grijs gebied gaat. De modules zijn getoetst bij een pilotgroep met een online voor- en nameting. Ten opzichte van de groep die wel de meting kreeg, maar geen online training, steeg het bewustzijn significant. Daarnaast werd een kwalitatieve evaluatie gedaan. Daaruit bleek dat de modules impact hadden en het bewustzijn hadden vergroot. Tevens bleek dat er behoefte was aan een verdere vertaalslag naar de eigen organisatie, om de herkenbaarheid met de eigen praktijk te vergroten.
Oplossing
De online training is opgebouwd uit vier modules: introductie, bewustzijn, handelen en informatiebeveiligingsbeleid. In iedere module krijgen de cursisten casussen voorgelegd, worden ze aan het denken gezet en krijgen ze tips voor opvolging. Iedere module is flexibel opgezet, zodat deze op maat kan worden aangepast of kan worden aangevuld met bedrijfsspecifieke casuïstiek. De online training kan stand-alone worden ingezet, en als onderdeel van een blended programma.