Naar aanleiding van de resolutie ‘Informatieveiligheid’ (2013) is in 2014 besloten om voor de gemeenten Culemborg, Geldermalsen en Tiel een CISO (Chief Information Security Officer) aan te stellen om informatieveiligheid naar een hoger niveau te tillen. Die CISO ben ik en vanaf die tijd ben ik voortvarend aan de slag gegaan met informatieveiligheid.
Een belangrijk aspect van informatieveiligheid is het creëren van iBewustzijn. Voor iBewustzijn vind ik drie punten belangrijk: kennis, houding en gedrag. Medewerkers die kennis hebben van het beleid en weten welke risico’s de organisatie loopt op het gebied van informatieveiligheid zullen beter opletten. Een positieve houding aannemen ten opzichte van informatieveiligheid is ook belangrijk. Als medewerkers begrijpen waarom informatieveiligheid belangrijk is en hoe zij hieraan kunnen bijdragen, zijn ze eerder geneigd dit te doen. En ze moeten het gewenste gedrag vertonen in overeenstemming met ons beleid.
‘Kennis, houding en gedrag zijn van cruciaal belang voor iBewustzijn’
Een van de ontwikkelingen die nu bij ons speelt, is dat een derde partij zich gaat huisvesten in het stadhuis van een van de drie gemeenten. Deze partij gaat gebruik maken van onze werkplekken, de balies bij de frontoffice en de IT-voorzieningen. De uitdaging is niet het huisvesten van deze organisatie en zorgen dat ze gebruik kunnen maken van onze IT-voorzieningen en werkplekken. De uitdaging ligt volgens mij in het waarborgen van de informatieveiligheid bij de uitvoering hiervan in een omgeving waar we werken met gevoelige persoonsgegevens en waardedocumenten.
Wat betekent het huisvesten van de nieuwe partij in het stadhuis voor het vertrouwelijke karakter van de werkomgeving en wat betekent dit op het gebied van iBewustzijn, want alle aspecten worden nu onder een vergrootglas gelegd. De derde partij krijgt eenvoudiger toegang tot de informatie(systemen) die vanuit de gemeente te benaderen zijn. Daarnaast zijn vanuit de ene gemeente ook de informatiesystemen te benaderen voor de andere twee andere gemeenten en de samenwerkingsorganisatie. Een risico dat de ene gemeente loopt beperkt zich veelal niet alleen tot die gemeente. Kortom het vertrouwelijke karakter van de werkomgeving vervalt.
Als het gaat om iBewustzijn vind ik het belangrijk om strikter te sturen op het naleven van specifiek gedrag, zodat de risico’s worden verkleind. Zoals het naleven van cleardesk en clearscreen, het niet onbeheerd laten van devices en autorisatiemiddelen en geen vertrouwelijke (telefoon)gesprekken voeren in bijzijn van anderen. Natuurlijk zijn dit maatregelen die niet nieuw zijn, maar op het moment dat je in een omgeving werkt waar onbevoegden komen, betekent het scherper zijn op het naleven van specifiek gedrag om andere maatregelen te voorkomen die als belemmerend worden ervaren.
‘Het is een flinke uitdaging om het iBewustzijn bij de medewerkers op het gewenste niveau te krijgen’
Een van mijn uitdagingen is om dit gedrag te creëren en dat het daarom belangrijk is om risico’s samen te managen en structureel te werken aan het iBewustzijn bij de medewerkers van alle vier de organisaties. Bij een samenwerking geldt namelijk het principe dat de informatieveiligheid zo sterk is als de zwakste schakel. Met de mens als zwakste schakel! Het is dus een flinke uitdaging om het iBewustzijn bij de medewerkers op het gewenste niveau te krijgen.
Om hier grip op te krijgen en om risico’s samen te managen hebben wij een security-forum, waar leden van het managamentteam in zitten. Een security-forum op managementniveau helpt enorm om samen zaken te managen maar ook om ambassadeurs te hebben in elke organisatie op managementniveau. Bij onze samenwerking vormt dit het hart van de kwaliteit van informatieveiligheid op het gebied van iBewustzijn.
Geef een reactie