DOCUMENTATIE producten kwaliteitscirkel ibewustzijn

Transcriptie

1 DOCUMENTATIE producten kwaliteitscirkel ibewustzijn Uw organisatie op weg naar ibewustzijn!

2 INHOUDSOPGAVE DOCUMENTATIE ibewustzijn 1 CONTEXT VAN DE VRAAG ONZE DIENSTVERLENING - DE CIRKEL ROND LEERCYCLUS IBEWUSTZIJN - AANBIEDING IN ÉÉN OOGOPSLAG NULMETING IBEWUSTZIJNPLAN WORKSHOPS VOOR ORGANISATIE WORKSHOPS VOOR BESTUUR EN MANAGEMENT : START AWARENESS / STARTSESSIE DIGITALE LEERLIJN MET E-LEARNING EN KENNISTESTEN PHISHING SECURITY TEST (PST) MYSTERY GUEST SIMULATIE GAME OCEANS JAARLIJKSE ACTUALISATIE EN PERMANENT LEREN TOT SLOT BIJLAGE 1: VOORBEELD INFOGRAPHIC /16

3 1 Context van de vraag Informatieveiligheid en Privacy zijn onderwerpen die steeds prominenter op de agenda staan bij de lokale overheden. Dit is niet zo vreemd, als je bedenkt dat de primaire bedrijfsprocessen van deze organisaties steeds meer lijken op die van een informatiefabriek en de digitalisering steeds verder toeneemt. Cybercrime is de keerzijde van de digitalisering en neemt helaas ook toe. Dagelijkse berichtgeving in de media over informatiebeveiligings- en privacy incidenten en niet in de laatste plaats de dwingende weten regelgeving noopt lokale overheden tot het goed organiseren van informatieveiligheid. Informatieveiligheid is sterk afhankelijk van de menselijke kant van de organisatie. Hoe goed de techniek ook is georganiseerd, hoe goed de fysieke beveiliging ook is geregeld, als medewerkers de deuren open houden voor vreemden, slordig omgaan met wachtwoorden, phishing mail niet herkennen, et cetera, dan is de organisatie nog steeds erg vatbaar voor cybercrime. Om die reden is het van belang dat Bestuur, Management en de medewerkers ondersteund worden bij het ibewustzijn van informatieveiligheid. 2 Onze dienstverlening - de cirkel rond Onder punt 3 van deze documentatie treft u onze Leercirkel in één oogopslag aan. In de daarin opgenomen leercirkel over Houding en Gedrag worden de belangrijkste componenten van informatieveiligheid benoemd, te weten: Initiële activiteiten, zoals een nulmeting met een Infographic (zie bijlage 1) Het fundament, zoals het ibewustzijnplan, waardoor een plan met focus ontstaat en de interventies slim worden gekozen De uitbouw en het leren, met instrumenten als bv. workshops, digitale leerlijn met e-learning en een simulatie game De beproeving, met instrumenten als monitoring, certificering, phishing test en een mystery guest. SEP is een netwerkorganisatie van vakinhoudelijke en veranderkundige professionals. Onze missie is overheidsorganisaties te leren leren en te ondersteunen op actuele thema's. Op het gebied van Informatieveiligheid werken we samen met diverse partners om de kwaliteitscirkel rond te maken. Voor de dienstverlening rondom informatieveiligheid werken wij samen met Aranea. 3/16

4 In de volgende paragrafen beschrijven we per onderdeel de doelstelling, de aanpak en de taakverdeling. Volledigheidshalve is de gehele leercirkel met alle interventies beschreven. In overleg met u kiest u de onderdelen die u van toepassing verklaart. 3 Leercyclus ibewustzijn - aanbieding in één oogopslag Op het thema Informatieveiligheid heeft SEP met zorg een samengesteld programma ontwikkeld waarbij de medewerkers bewust kunnen worden van de risico s en handvatten krijgen rondom (informatie)veilig handelen. SEP richt dit in in een leercyclus. Afhankelijk van de awareness in uw organisatie wordt gestart met een nulmeting op houding en gedrag, de GAP-analyse op ibewustzijn. De resultaten van de nulmeting, samen met de actualiteit leiden tot leerdoelen. Deze worden vertaald naar een ibewustzijnplan met focus, waardoor interventies en beproevingsinstrumenten worden gekozen die passen bij de gemeentelijke organisatie. Deze interventies en beproevingen kunnen workshops zijn of een simulatie game, een digitale leerlijn met e-learning, kennistesten met aansluitend monitoring, certificering met kennistoetsen of een praktijktoets zoals phishing test en mystery guest. Leercirkel ibewustzijn Iedereen Veilig, Vaardig en ibewust Toetsen en beproeven: Digitale leerlijn met monitoren met platform, kennis-toetsen en (optioneel) certificering Phishing test Mystery guest Leren, begeleiden en ontwikkelen in diverse vormen: Digitale leerlijn met e-learning, kennistesten met feedback Workshop Organisatie Workshop Bestuur en management Simulatie game Nulmeting ibewustzijn GAP-analyse op houding en gedrag Focus met ibewustzijnplan Actualiteit en beveiligingsissues vertalen naar leerdoelen 4/16

5 Informatieveiligheid is geen eenmalige actie of project. Voor een succesvolle implementatie dienen organisaties een kwaliteitscirkel te implementeren op Techniek en Organisatie én op Houding en Gedrag, ondersteund met de leercirkel. van deze aanpak is uw organisatie ibewust te maken door het volgen van de (eerste) stappen in de leercyclus en dit geregeld te herhalen. 3.1 Nulmeting De standaard nulmeting is een meting op kennis en gedrag van de organisatie op het gebied van informatieveiligheid, inclusief rapportage hierover. Het is een eerste stap in de (permanente) leercirkel ibewustzijn. Met het inzicht van de nulmeting kunnen gerichte interventies worden ingezet die hout snijden voor uw organisatie. De nulmeting is gericht op het in kaart brengen van: Het niveau van bewustzijn met betrekking tot informatieveiligheid bij zowel het management, de afdelingshoofden als de medewerkers. De aanwezige kennis van informatieveiligheid, de begrippen en aspecten die hierbij horen en de wijze waarop de deelnemer dit in de praktijk toepast. De risico s op het vlak van houding en gedrag op het vlak van informatieveiligheid. De resultaten van deze nulmeting geven inzicht in het ibewustzijnsniveau van de organisatie en worden gepresenteerd in een standaardrapportage. Door de resultaten van de nulmeting op een prikkelende manier te presenteren, kunnen deze gebruikt worden om de bewustwording op gang te brengen en draagvlak te creëren om ibewust handelen te leren leren. Aanpak De nulmeting wordt uitgevoerd door het houden van een enquête, die bestaat uit een set van 40 vragen. Het invullen van de enquête kost circa 20 minuten. De resultaten van de enquête worden vastgelegd in een rapport en een Infographic* die digitaal en analoog (als bijvoorbeeld A3 of A4-poster, zie bijlage 1) kan worden ingezet. In de Infographic worden op een aantrekkelijke manier de resultaten uit de nulmeting aan de medewerkers gepresenteerd. Deze spiegel heeft meer effect dan een generieke poster om bewustwording te creëren bij de organisatie. De spiegel geeft tevens houvast om de leerdoelen op te stellen in het ibewustzijnplan. 5/16

6 * Een Infographic is een visuele plaat waarin in één oogopslag de belangrijkste issues worden gepresenteerd, zodat deze weer gebruikt kan worden voor de interne communicatie. Voor een voorbeeld zie bijlage 1. Taakverdeling SEP: stemt de 40 vragen met de organisatie af stemt de uitnodiging en planning af met de contactpersoon binnen uw organisatie. SEP levert een voorbeeld uitnodiging. leest de accounts in het systeem in. o Noot: hiervoor is geen bewerkersovereenkomst vereist. De gegevens worden na de meting verwijderd. SEP gaat zorgvuldig om met de privacy gegevens en zal deze niet gebruiken voor andere doeleinden. Dit is opgenomen in de algemene voorwaarden van SEP. verzendt de uitnodiging aan alle medewerkers voor de nulmeting verzendt een reminder halverwege de looptijd naar alle medewerkers verwerkt de resultaten in de rapportage (OPTIONEEL) verwerkt resultaten in Infographic. De gemeente levert de accounts aan, zorgt voor interne afstemming (planning, persoonlijke uitnodiging door sponsor). 3.2 ibewustzijnplan Voor een succesvolle aanpak van houding en gedrag is het belangrijk om na de nulmeting een ibewustzijnplan met focus op te stellen. De resultaten van de nulmeting, aangevuld met de actualiteit en de resultaten van de GAP- en impactanalyse vormen de basis van het ibewustzijnplan. Het ibewustzijnplan is een plan met focus waarmee de interventies worden geselecteerd op basis van de resultaten en het DNA van de organisatie. Op heldere wijze worden de doelen en in te zetten middelen beschreven, voorzien van een advies met volgordelijkheid en planning. Aanpak Op basis van de resultaten van de nulmeting en/of aanvullend een bespreking met de CISO en de verantwoordelijke manager/secretaris stelt de adviseur van SEP het ibewustzijnplan in concept op. Na review door de gemeente wordt het definitieve plan vastgesteld. 6/16

7 Taakverdeling De adviseur bespreekt met de CISO en verantwoordelijke manager/gemeentesecretaris de aanpak op basis van het DNA van de organisatie en de resultaten van de nulmeting. Hierin worden de issues benoemd, de volgorde van de interventies bepaald en de planning uitgezet. De adviseur stelt het ibewustzijnplan op, voorzien van een advies met volgordelijkheid en planning van de interventies. De gemeente stemt intern de afspraak voor de bespreking af, levert input in de vorm van de bespreking en geeft feedback op het concept plan. 3.3 Workshops voor Organisatie In een presentatie van circa 45 minuten (met aanvullend 15 minuten voor vragen en discussie) wordt gewerkt aan de bewustwording en meer i(nformatie)bewust gedrag van de aanwezige deelnemers van uw organisatie. Dit doen wij door het onderwerp dichtbij de deelnemers te brengen. Per dagdeel verzorgen wij 3 aaneengesloten sessies (groepen) bij de gemeente op locatie. Voor het creëren van voldoende interactie adviseren wij een groepsomvang van maximaal 30 personen per sessie. Aanpak SEP maakt een presentatie waarin een aantal voorbeelden van recente beveiligingsincidenten zijn opgenomen, deels in filmpjes. In de presentatie nemen we ook specifieke zaken van de betreffende gemeente mee, zoals de resultaten van de nulmeting of recente incidenten. Specifieke onderwerpen zijn: Waarom ibewust? Dit gedeelte bestaat uit waarom informatieveiligheid en risico-analyse in een gemeente en wat is informatieveiligheid in relatie tot de BIG. Daarnaast een selectie uit de volgende thema s: ibewust binnen ibewust buiten en onderweg ibewust op de werkplek ibewust op malware ibewust en uw gemeente. 7/16

8 Indien een ibewustzijnplan is opgesteld, dan is hierin meegenomen welke thema s het beste passen op basis van het DNA van de organisatie en het resultaat van de nulmeting. Taakverdeling SEP zorgt voor het maken van de concept en definitieve presentatie, alsmede voor een adviseur die de presentaties verzorgt. De gemeente zorgt voor de gehele logistiek (uitnodigen en bevestigen deelnemers, benodigde ruimtes, presentatie scherm, beamer en dergelijke) Het is wenselijk dat de CISO van de organisatie aanwezig is bij deze workshops om de vragen te beantwoorden over de gemeentespecifieke aanpak. 3.4 Workshops voor Bestuur en Management In een presentatie worden de bestuurlijke risico s van informatieveiligheid geschetst in het licht van de huidige maatschappelijke en technologische ontwikkelingen, de aanpak van informatieveiligheid door de overheid (BIG) en de aanpak van de gemeente met de afwegingen en het beschikbaar stellen van de benodigde middelen. De workshop voor het Bestuur duurt circa 2 uur en ziet er als volgt uit: Waarom ibewust? De aanpak van Informatieveiligheid door de overheid Uw aanpak van Informatieveiligheid - bestuurlijke en organisatorische risicoafweging Aansluitend wordt aan het management de Verklaring Van Toepasselijkheid (VVT) en/of het informatiebeveiligingsplan gepresenteerd en kunnen de deelnemers hierover discussiëren. Hiermee werken we aan de bewustwording van de aanwezige deelnemers van uw organisatie, worden verantwoordelijkheden helder en kan het verantwoordelijk management met de inzichten afwegingen maken tussen risico-acceptatie en benodigde investering. Voor het creëren van voldoende interactie adviseren wij een groepsomvang van maximaal 10 personen per sessie. 8/16

9 Aanpak SEP verzorgt de inleidende presentatie over de landelijke aanpak, de ontwikkelingen en de risico s. Samen met de CISO van de gemeente wordt vervolgens de VVT en/of het informatiebeveiligingsplan gepresenteeerd. Daarbij discussiëren deelnemers over de gemaakte risico-afweging en over de voorgestelde maatregelen. Indien een ibewustzijnplan is opgesteld, wordt deze tevens gepresenteerd en besproken. Indien een ibewustzijnplan is opgesteld, dan is hierin meegenomen welke deelnemers het beste kunnen worden uitgenodigd op basis van het DNA van de organisatie (verantwoordelijkheden en bevoegdheden) en het resultaat van de nulmeting. Met name bij complexe samenwerkingsverbanden met bestuurders op afstand, directies en werkorganisaties, is het van belang de juiste deelnemers bij deze workshop te betrekken voor het draagvlak. Taakverdeling SEP zorgt voor het maken van de concept en definitieve presentatie, alsmede voor een adviseur die de presentaties verzorgt. De gemeente zorgt voor de gehele logistiek (uitnodigen en bevestigen deelnemers, benodigde ruimtes, presentatie scherm, beamer en dergelijke). De gemeente zorgt voor een CISO van de organisatie om de vragen te beantwoorden over de gemeentespecifieke afweging. 3.5: Start awareness / startsessie Hoe meer aandacht voor ibewustzijn en hoe meer besef bij elke medewerker dat ibewustzijn een verantwoordelijkheid is die je samen deelt des te succesvoller het project over informatieveiligheid zal zijn. Belangrijk dus om draagvlak te creëren en alle medewerkers, van bode tot burgemeester, te doordringen van het belang. Van iedereen wordt aandacht en inzet gevraagd. Maar hoe mobiliseer je de organisatie? Aanpak SEP verzorgt hiervoor de start awareness sessie. Op energieke en prikkelende manier wordt in een presentatie duidelijk waarom informatieveiligheid ieders tijd verdient. Met humor en voorbeelden wordt op een interactieve manier een boost gegeven aan het project. Hierna staan alle neuzen dezelfde kant op en staat ibewustzijn op ieders netvlies. 9/16

10 De sessie wordt op maat gemaakt voor uw gemeente en kan ingezet worden aan de start van het project. Maar de sessie kan ook tussentijds om de aandacht voor een bepaald onderwerp op scherp te zetten, de e-learning te lanceren of hernieuwd aandacht te vragen. We informeren u graag over de mogelijkheden. 3.6 Digitale leerlijn met e-learning en kennistesten Na een initiële kennistest (nulmeting) of na het volgen van een workshop worden deelnemers zich vaak bewust van een kennistekort. Dit heeft vaak per deelnemer een individueel karakter, afhankelijk van het kennisniveau en opleiding, rol en verantwoordelijkheid in de organisatie. Om dit kennistekort te verkleinen is e-learning een instrument wat wordt ingezet. Met als groot voordeel dat het per individu kan worden aangeboden, altijd en overal beschikbaar is en zonder veel regelwerk ingezet kan worden. Ook is het mogelijk om de voortgang van de deelnemers te volgen. De digitale leerlijn bestaat uit e-learning, kennistesten en de mogelijkheid tot het behalen van een certificaat. Aanpak In overleg met u wordt bepaald welke personen of groepen toegang krijgen tot de e-learningcursussen en kennistesten. Het pakket ibewustzijn bestaat uit één algemeen gedeelte dat in de eerste cyclus wordt ingezet en vijf specifieke korte modulen op de thema s: De digitale leerlijn ibewustzijn bestaat uit: 6 modulen e-learning: o waarom ibewust o ibewust binnen o ibewust buiten en onderweg o ibewust op de werkplek o ibewust op malware o ibewust en uw gemeente. 6 kennistesten ibewustzijn: o waarom ibewust o ibewust binnen o ibewust buiten en onderweg o ibewust op de werkplek o ibewust op malware o ibewust en uw gemeente. 10/16

11 Mogelijkheid tot het behalen van een certificaat. Wij adviseren u deze e-learning zorgvuldig in de organisatie te implementeren en draagvlak te creëren zodat de e-learning optimaal gebruikt wordt. De meest natuurlijke momenten zijn: met de resultaten van de nulmeting met de workshopssessies. Hierdoor kunt u een kop-staart -interventie inrichten, waardoor e-learning wordt opgepakt. Taakverdeling SEP: bepaalt met u wie toegang krijgt tot de digitale leerlijn stemt de doorlooptijd, de uitnodiging en planning over de rapportagemomenten met de organisatie af. SEP levert een voorbeeld uitnodiging. leest de accounts in het systeem in. o Noot: hiervoor is een bewerkersovereenkomst te adviseren wanneer de gemeente de permanente leercyclus invult. SEP gaat zorgvuldig om met de privacy gegevens en zal deze niet gebruiken voor andere doeleinden. Dit is opgenomen in de algemene voorwaarden van SEP. verzendt de uitnodiging aan alle medewerkers met de inlogaccounts verzendt een reminder halverwege de looptijd naar alle medewerkers rapporteert in overleg met de klant maandelijks over gebruik en voortgang levert 1 e lijn support aan de CISO De gemeente: levert de accounts aan zorgt voor interne afstemming (planning, persoonlijke uitnodiging door sponsor) is het 1 e aanspreekpunt voor de deelnemers bij inhoudelijke vragen (niet technisch) Indien een ibewustzijnplan is opgesteld, dan is het advies meegenomen in hoeverre de deelnemers op basis van het DNA van de organisatie verplicht zijn tot het doorlopen van de e-learning, het doorlopen van de kennistesten, het behalen van een certificaat danwel het permanent bijhouden van de e-learningcursussen en kennistesten. Indien uw gemeente kiest voor een eigen digitaal leerplatform, dan krijgt u een cursus waardoor u in staat bent zelf uitnodigingen te versturen, medewerkers toe te voegen en 11/16

12 rapportages uit te draaien. 3.7 Phishing Security Test (PST) Uit onderzoek blijkt dat meer dan 90% van alle succesvolle inbraken begon met een phishing-aanval. Het is daarom van groot belang dat uw werknemers in staat zijn om tijdig social engineering en phishing berichten te herkennen. Aanpak In overleg met u bereiden we een aantal phishing mail scenario s voor; deze worden in 3 separate campagnes verdeeld over het jaar verzonden naar groepen medewerkers van uw organisatie. Bijvoorbeeld een mail die wordt gestuurd namens de ICT afdeling en die aangeeft dat er een nieuwe multifunctional beschikbaar is. Om hiervan gebruik te maken dient de ontvanger in te loggen met password en user id. De PST geeft inzicht in het percentage van uw gebruikers dat phishing-gevoelig is. Het getal is vaak hoger dan je zou verwachten. We adviseren ook te registreren hoeveel gebruikers deze mail melden bij de ICT helpdesk. De resultaten werken we uit in een rapportage. Optioneel leveren wij een flyer met duidelijke informatie hoe gebruikers een phishing mail kunnen herkennen. Taakverdeling SEP zorgt voor het voorbereiden en uitvoeren van de PST, gedurende het jaar versturen wij een drietal phishing mail campagnes aan medewerkers van uw organisatie. We stemmen met u de doelgroep per campagne af, alsmede de te gebruiken phishing mail. Hierbij bieden wij u de keuze uit een aantal templates. SEP zorgt voor een rapportage van de resultaten. De gemeente registreert de interne meldingen bij de helpdesk of bij de CISO. De gemeente gebruikt de resultaten in interne overlegstructuren. Indien gekozen wordt voor de interne flyer dan zorgt de gemeente voor de interne verspreiding ervan. 12/16

13 3.8 Mystery Guest Organisaties hebben vaak de overtuiging dat ze voldoende voorzieningen en maatregelen hebben getroffen om ongewenste bezoekers buiten de deur te houden. En dat hun medewerkers handelen in lijn met deze maatregelen. Met het inzetten van een mystery guest wordt onderzocht hoever een buitenstaander uw organisatie kan binnendringen, kan infiltreren. Enerzijds controleren wij daarmee de fysieke beveiliging van uw gebouwen en organisatie, maar tegelijkertijd ook het houding en gedrag component. Vaak is er immers een vriendelijke medewerker of medewerkster, die de deur even open houdt. De mystery guest kan zich bijvoorbeeld voor doen als klant, als leverancier of als stagiair. Aanpak Tijdens de (telefonische) intake spreken we af wat de mystery guest wel en niet mag, en eventueel al wat tips in welke richting gekeken kan worden. We bepalen welke locaties/afdelingen bezocht mogen worden. De verslaglegging dient goed te laten zien wat er mis is, zonder dat meteen duidelijk wordt wie het verkeerd doet, en ook zonder privacy of vertrouwelijkheid te schenden. De mystery guest zal proberen zover mogelijk door te dringen. Hij/zij zal onderzoeken of er mogelijkheden zijn om fraude te plegen of bijvoorbeeld informatie te stelen. Taakverdeling SEP zorgt voor de voorbereiding en uitvoering van het bezoek door de mystery guest. SEP verzorgt de productie van een beknopte rapportage alsmede een presentatie van de resultaten. De gemeente zorgt voor een briefing van de mystery guest. 13/16

14 3.9 Simulatie Game Oceans99 De kracht van een simulatie game ligt in het feit dat de deelnemers (10-12 personen per groep) daadwerkelijk ervaren wat de gevolgen zijn van gebrekkige informatiebeveiliging. Het spel wordt gespeeld in een aantal rondes, met tussentijdse interventies op de diverse processtappen zoals het ontwikkelen en later verbeteren van het beleid, het uitvoeren van de risico analyse en het implementeren van verbetermaatregelen). Duur: 1 dag. Aanpak De deelnemers krijgen een rol in de simulatie game. In de game heeft de Nationale Bank van Tokio besloten een van de belangrijkste tentoonstellingen in Tokio te sponsoren. De bank heeft, om zoveel mogelijk bezoekers te krijgen, besloten om drie zeer aantrekkelijke objecten naar Tokio te halen. Allereerst de Star of Africa, de grootste diamant ter wereld op dit moment gehuisvest in de Tower of London. Dan het schilderij Jewish Bride van Rembrandt, te bewonderen in Amsterdam. Tot slot de Bugatti type 59 Grand Prix welke zich in een garage in Las Vegas bevindt. Echter deze objecten hebben ook de aandacht van Oceans99, die alles in staat zullen stellen een of meer van de gewilde objecten te bemachtigen. Vindt uw team binnen budget en tijd de juiste balans tussen doelstellingen, risico s en (tegen)maatregelen? Taakverdeling SEP zorgt voor een trainer en observator, alsmede voor de game licentie en verbruiksmaterialen. De gemeente zorgt voor een locatie (met beamer) en koffie/lunch Jaarlijkse actualisatie en permanent leren Eén van de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is het repeterend instrueren van de organisatie op het thema Informatieveiligheid om de organisatie ibewust te houden. Hierin hoort ook de Deming cirkel waarin jaarlijks het ibewustzijnplan wordt bijgesteld en uitgevoerd naar de situatie van uw gemeente, gebaseerd op de actualiteit en de beveiligingsissues in uw organisatie. We adviseren (na afronding van de eerste cyclus) deze cyclus permanent in te vullen. Indien u de cyclus permanent invult met een abonnement, dan beschikt u tevens over een eigen digitale omgeving met eigen look-and-feel. Een abonnement scheelt tevens in de kosten. 14/16

15 4 Tot slot Indien u bent geïnteresseerd in ons ibewustzijn-pakket of een deel daarvan, neemt u dan contact op met Jules Emanuels via of diensten@sep.nl, hij maakt dan graag een op maat voorstel voor u. Met vriendelijke groet, SEP Ingrid van Zeeland Directeur 15/16

16 BIJLAGE 1: voorbeeld Infographic Hier uw gemeentelogo 16/16