Bewust Vitaal. Een handreiking voor het ontwikkelen van een Security Awareness programma

Transcriptie

1 Bewust Vitaal Een handreiking voor het ontwikkelen van een Security Awareness programma

2 2

3 Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen. Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en digitale dreigingen. Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren: Veilig platform voor informatie-uitwisseling Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen. Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken. Aanbieden van kennis en expertise Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank. Nationaal en internationaal contactpunt Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en buitenland, als bedrijven. Voor meer informatie over het NAVI kunt u terecht op de website: 3

4 4

5 Inhoudsopgave Inhoudsopgave 5 1. Inleiding Definities Wat is een Handreiking Security Awareness Waarom deze handreiking Voor wie is deze handreiking Volwassenheidsniveaus Volwassenheidsniveaus van de doelgroep Stadia van bekwaamheid en bewustzijn van medewerkers Doelgroep (on)bekwaam en (on)bewust Relatie met andere literatuur Verbeteringen na het eerste openbare concept Leeswijzer De componenten van SA: Training, bewustzijn en opleiding Is veiligheid wel belangrijk? Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis Een bewustwordingsprogramma is op maat gesneden Een bewustwordingsprogramma bevat alle psychologische componenten Fase 1: De ontwerpfase Inleiding Structureren van een programma Belangen- en behoeftebepaling op basis van een risicoanalyse Opstellen van een plan Zet enthousiaste medewerkers in Stellen van prioriteiten Mate van complexiteit moet worden afgestemd op gebruiker: hou het zo simpel mogelijk Commitment en draagvlak bij zowel management als medewerkers Budgettering Fase 2: De ontwikkeling van materiaal Inleiding Selecteren van onderwerpen voor bewustwording De vorm van het bewustwordingsmateriaal Bronnen voor materiaal YouTube als informatiebron Uitbesteden of zelf doen? Partnerschap met soortgelijke organisaties 29 5

6 5. Fase 3: De implementatiefase Wijze van communiceren Technieken om de boodschap over te brengen Management en communicatie Sancties en beloningen Fase 4: De evaluatie- en onderhoudsfase Meten van de deelname en de effectiviteit Evaluatie en feedback Veranderingen in het bewustwordingsprogramma doorvoeren Verhogen van het niveau van het bewustwordingsprogramma Commitment van het management Meerjarenplanning Social Engineering als nul-meeting Inleiding Social Engineering en psychologie Wederkerigheid: het aloude geven en nemen en nemen Commitment en consistentie: innerlijke spookbeelden Sociale bewijskracht Sympathie: de vriendelijke dief Autoriteit Schaarste: de regel van het tekort 43 Bijlage: Voorbeelden 45 Voorbeeld 1: Enkele voorbeelden van posters 45 Voorbeeld 2: Een bewustwordingstoolkit 45 Voorbeeld 3: NAVI coördineert uitwijkoefening 47 Voorbeeld 4: NCTb Security Awareness workshop voor bedrijven 48 Literatuuroverzicht 51 6

7 7

8 8

9 1. Inleiding Voor u ligt Bewust Vitaal, de handreiking Security Awareness (SA) van het NAVI. Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een bewustwordings- of Security Awareness (SA) programma. Het bevat naast een stappenplan ook een plan van aanpak, een voorbeeld van een meerjarenplanning en veel creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen. De eerste paragraaf behandelt in het kort de definities van veiligheid en bewustzijn. Verder wordt beschreven waarvoor en voor wie deze handreiking bedoeld is en hoe deze gebruikt kan worden. Er wordt ingegaan op de achtergrond van dit document en de relatie met andere literatuur. Tot slot worden verbeteringen behandeld die zijn aangebracht op het eerste openbare concept van de handreiking die eind 2008 is gepubliceerd Definities Deze handreiking beschrijft de activiteiten om te komen tot een bewustwordings- of Security Awareness programma (het proces). Het bewustwordingsprogramma moet leiden tot bewustzijn (het beoogde doel). Zoals met veel begrippen, circuleren ook voor het begrip beveiligingsbewustzijn en veiligheid veel verschillende definities. Hieronder zijn gangbare definities opgenomen van begrippen die in deze handleiding gebruikt worden. Veiligheid is de mate van: -- afwezigheid van potentiële oorzaken van een gevaarlijke situatie of -- aanwezigheid van beschermende maatregelen tegen deze potentiële oorzaken. Beveiligingsbewustzijn is de mate waarin elke medewerker: -- het belang van beveiliging voor de organisatie begrijpt; -- het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is begrijpt en er ook naar handelt. Veiligheidsbewustzijn heeft dus te maken met het besef van het bestaan van gevaar en hoe dit is af te wenden of de kans erop zo klein mogelijk te houden. Dit besef ontstaat door herhaling van de boodschap en door herhaalde versterking (conditionering). Social Engineering (SE): Het misleiden van mensen door middel van list, bedrog en psychologische trucs met het doel (vertrouwelijke) informatie te verkrijgen. Bij SE wordt de mens als zwakste schakel in de beveiliging gezien. Door de mens te misleiden kunnen technische en fysieke beschermingsmaatregelen omzeild worden. Bruce Schneier; Beyond fear Over the last years we ve become obsessed with security, and put in place a whole host of policies and procedures that will do... exactly what? The key is to think of security not in absolutes, but in terms of sensible trade-offs, whether on a personal or global scale. Security yes, but down to earth, without the mumbo jumbo, without shouting in utter Panic: Barbarians at The Gate. Boodschap: overdrijf niet en zorg voor afweging tussen veiligheid en werkbaarheid. 9

10 1.2. Wat is een Handreiking Security Awareness? De Handreiking Security Awareness is een hulpmiddel bij de totstandkoming van een bewustwordingsprogramma. Het neemt degene die verantwoordelijk is gesteld mee in zijn proces om problemen te onderkennen, doelen te definiëren en oplossingen te creëren. Het is nadrukkelijk geen keurslijf, geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat laatste wordt overgelaten aan de creativiteit van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven Waarom deze handreiking? Het NAVI heeft ervaren dat er een grote diversiteit bestaat in de mate waarin bedrijven binnen de vitale sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn voorwaarden voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen en de achtergronden van de genomen maatregelen, zal zijn houding en gedrag ten opzichte van security en het naleven van de maatregelen positief beïnvloed worden. De handreiking Security Awareness is een hulpmiddel voor bedrijven uit de vitale infrastructuur om een gedegen bewustwordingsprogramma op te zetten waarin de stappen om medewerkers bewust te maken worden opgenomen Voor wie is deze handreiking? Om aan te geven voor wie deze handreiking bedoeld is wordt in deze paragraaf ingegaan op de volwassenheidsniveaus van bedrijven, de volwassenheidsniveaus van de doelgroep en de stadia van bekwaamheid en bewustzijn van de medewerkers. SE als nul-meeting U wilt weten hoe het gesteld is met het naleven van veiligheidsmaatregelen in uw organisatie? Overweeg dan eens te starten met een security audit die gebaseerd is op Social Engineering (SE). Hierbij proberen auditors door middel van list en psychologische trucs om uw medewerkers (per telefoon of op locatie) te verleiden af te wijken van veiligheidsprocedures en vertrouwelijke informatie te verstrekken of toegang te verlenen tot locaties, netwerken en archieven. Zo komt u er ook achter of ongenode gasten mee kunnen liften bij de toegang tot het pand. Deze auditors tonen op deze manier aan tot welke vertrouwelijke informatie of (proces)systemen zij toegang kunnen krijgen. Lees meer over Social Engineering en het gebruik van psychologische trucs om medewerkers te misleiden in hoofdstuk Volwassenheidsniveaus Bedrijven kunnen worden ingedeeld in de verschillende volwassenheidsniveaus. De mate van volwassenheid kan op hoofdlijnen worden onderverdeeld in drie niveaus, variërend van laag tot middel tot hoog. De situaties die bij de onderstaande volwassenheidsniveaus beschreven worden, hoeven niet allemaal voor te komen of in dezelfde mate aanwezig te zijn; het is slechts een methode om te komen tot een globale indeling. Volwassenheidsniveau Laag: -- Bedrijven hebben geen strategisch beleid en/of structureel budget voor een bewustwordingsprogramma. -- Er is nog geen of slechts incidenteel een bewustwordingsprogramma gerealiseerd. -- De verantwoordelijkheid voor het uitvoeren van een bewustwordingsprogramma is niet of slechts beperkt belegd bij een daarvoor aangewezen medewerker. -- Opvolging van een eerder uitgebracht programma strandt door het ontbreken van beleid, budget en/of creativiteit. -- Incidentregistratie wordt niet of niet volledig uitgevoerd. 10

11 Volwassenheidsniveau Middel: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker van het bedrijf. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de incidenten die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers, maar heeft moeite om voortdurend aandacht te blijven vragen voor het onderwerp beveiligingsbewustwording. -- Budgetten staan onder druk, de relatie naar een verlaging van het aantal incidenten is niet duidelijk of er zijn andere oorzaken, waaronder een gebrek aan creativiteit. Volwassenheidsniveau Hoog: -- Er is beleid en beschikbaar budget ten aanzien van bewustwording en er worden bewustwordingsprogramma s uitgevoerd. -- De verantwoordelijkheid hiervoor is belegd bij een medewerker of een afdeling van het bedrijf. -- Over de stand van zaken wordt regulier gerapporteerd aan het management. -- Er vindt incidentregistratie plaats en er worden analyses op de incidenten uitgevoerd. -- Het bedrijf is zich bewust van de risico s die het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. -- De bewustwordingsprogramma s maken gebruik van vernieuwende en creatieve middelen en zijn daardoor in staat de aandacht van de medewerkers voor beveiligingsissues vast te houden. -- Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat beveiligingsbewust te handelen in alle voorkomende situaties Volwassenheidsniveaus van de doelgroep Deze handreiking Security Awareness richt zich op (security managers van) bedrijven die zich qua volwassenheid op de niveaus Laag of Middel bevinden, dus bedrijven die een bewustwordingsprogramma willen starten of een bestaand programma willen uitbreiden. Aan de hand van korte casusbeschrijvingen zal de ervaring van bedrijven die zich op het volwassenheidsniveau Hoog bevinden, worden meegenomen; deze korte beschrijvingen worden in de tekstblokken weergegeven. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt ook bij tot het uitdragen van kennis, ervaring en creativiteit Stadia van bekwaamheid en bewustzijn van medewerkers Medewerkers maken bij het doorlopen van het bewustwordingsprogramma, een groei door tot een veilige medewerker via een viertal stadia. Hierin zijn twee aspecten van belang: (on)bewustzijn en (on)bekwaamheid die met elkaar verbonden zijn volgens de hiernaast getoonde diagram. ONBEWUST 1 BEKWAAM 4 BEWUST 2 3 ONBEKWAAM Figuur: De stadia van bewustzijn 11

12 Kenmerkend voor een lage mate van beveiligingsbewustwording is dat mensen fouten maken zonder dat zij zich er van bewust zijn (stadium 1. Onbewust onbekwaam). In dit stadium worden veel fouten gemaakt. Indien er binnen de organisatie een regeling is om fouten te rapporteren, zal blijken dat er vaak geen oorzaak van kan worden vastgesteld. Het is echter aannemelijker dat fouten helemaal niet herkend worden en dat het bedrijf er zich dus niet van bewust is dat (vertrouwelijke) informatie verloren gaat of er grote risico s gelopen worden. Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en te laten ervaren waarom dit handelen als fout getypeerd wordt (stadium 2. Bewust onbekwaam). In dit stadium kunnen medewerkers zich realiseren dat hun gedrag potentieel gevaarlijk is voor de veiligheid van de organisatie. Het is daarom noodzakelijk dat de organisatie uitstraalt dat gemaakte fouten niet bestraft worden, maar gebruikt worden om toekomstig gedrag te verbeteren en daardoor de veiligheid te vergroten. Aan dit belangrijke cultuuraspect wordt in komende hoofdstukken nader aandacht besteed. Nadat het de medewerkers duidelijk is wat fout gedrag is, kan hen het juiste gedrag aangeleerd worden. De medewerker wordt zich bewust van de risico s van zijn gedrag en handelt zoals hem dit wordt aangeleerd (stadium 3. Bewust bekwaam). De medewerker kan nu veiligheidsbewust handelen, maar hij zal in dit stadium nog steeds moeten nadenken om dit te realiseren. Langzamerhand zal het aangeleerde gedrag en het besef van de onderliggende risico s, leiden tot een meer natuurlijk gedrag van de medewerkers. Strenge maatregelen bij bewust overtreden van voorschriften Bruce Schneier: Fire someone who breaks security procedure, quickly and publicly. That ll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it. In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij herkent verdachte situaties en handelt in overeenstemming met wat hem is geleerd. Hij is in staat om het aangeleerde ook in andere vergelijkbare situaties toe te passen zonder dat hij daarbij bewust moet nadenken (stadium 4. Onbewust bekwaam). Een alternatieve maar krachtige manier om de eerste twee stadia te omschrijven is: -- wie niets weet en weet dat hij niets weet -- weet veel meer dan iemand -- die niets weet en niet weet dat hij niets weet Doelgroep (on)bekwaam en (on)bewust Deze handreiking richt zich op een bewustwordingsprogramma dat gericht is op medewerkers die onbewust onbekwaam zijn (nog niet weten dat zij fouten maken) of al bewust onbekwaam zijn (weten dat zij fouten maken). Voor beide doelgroepen geldt dat zij door middel het programma gebracht worden naar de situatie waarin zij weten hoe gehandeld moet worden, waar de risico s liggen en dat ten minste bewust uitvoeren (dus bewust bekwaam zijn). 12

13 1.5. Relatie met andere literatuur Bewustwordingsprogramma s zijn er in vele geuren en kleuren. Ze hebben allemaal gemeen dat ze geschreven zijn voor een bepaald bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en risico s. Bewustwordingsprogramma s kunnen daarom niet zonder meer worden gekopieerd van andere bedrijven maar moeten dus vaak zelf ontwikkeld of aangepast worden. Handleidingen om te komen tot de ontwikkeling van een bewustwordingsprogramma die zich specifiek richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet. Natuurlijk is er wel veel over geschreven in diverse publicaties, maar de benodigde informatie is te verspreid om een eenduidig beeld te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. In het literatuuroverzicht zijn voorbeelden opgenomen van publicaties die waardevolle aanvullende informatie kunnen geven. De handreiking SA van het NAVI is niet hetzelfde als het NCTb-programma Zeker van je Zaak dat in oktober 2009 is gepresenteerd. De handreiking en het programma richten zich op verschillende niveaus binnen de organisatie maar vullen elkaar daardoor prima aan. Meer informatie over het NCTB-programma staat in de bijlage met voorbeelden Verbeteringen na het eerste openbare concept Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de ontwikkeling van deze handreiking is begonnen in De vervolgstap, namelijk het verwerken van het binnengekomen commentaar tot een breder gedragen en toepasbare handreiking heeft inmiddels plaatsgevonden. Uit de commentaren is gebleken dat de (concept) handreiking op hoofdlijnen en in de details voldoet aan een behoefte. Op een aantal onderwerpen is meer diepgang gewenst, of is het wenselijk om meer en uitgebreidere voorbeelden te geven. Verder is de behoefte geuit om aan te geven hoe een bewustwordingsprogramma kan worden opgenomen in een meerjarenplanning of als doorlopend programma in stand kan worden gehouden. De uitwerking van dit onderwerp wordt in het hoofdstuk 6 (Evaluatie- en onderhoudsfase) beschreven. It is not my problem Professionals en hun organisaties zijn bereid om grote investeringen te doen om technische maatregelen te implementeren (techniek): veelal de eerste volwassenheidsfase. Professionals komen er achter dat techniek alleen niet genoeg is. Procedures dienen volledig te zijn, gecommuniceerd te worden kortom: beveiliging dient georganiseerd te worden. De tweede volwassenheidsfase. En als het dan georganiseerd is, en de techniek is afgesteld, dan blijkt veelal dat mensen het gewoon niet zo doen. En Nederlanders al helemaal niet. Nederlanders hebben een hekel aan beveiligingsmaatregelen: Waar is het voor nodig?, Hier gebeurt nooit wat, Laten ze maar eerst bij zichzelf beginnen en andere uitvluchten, samen te vatten tot It Is Not My Problem. Bron: Lezing van het Platform voor Informatiebeveiliging Het mag duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is. Toch is gebleken dat deze handreiking generiek toepasbaar is ook al leidt het opzetten van een bewustwordingsprogramma tot een totaal verschillend resultaat per bedrijf of vitale sector. 13

14 Het poldermodel in security Veiligheidsregel van bedrijven worden soms onbewust maar ook regelmatig bewust overtreden. In tegenstelling tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen mening omtrent security ook toe te passen in de bedrijfsomgeving. Regels waarvan nut en noodzaak niet bekend zijn of niet onderschreven wordt, worden dan bewust niet opgevolgd. Bij het opzetten van een programma moet daarom niet alleen op de focus op de inhoud liggen, maar ook op de noodzaak van het opvolgen van veiligheidsregels en de sancties/ consequenties van het overtreden van de regels Leeswijzer Deze paragraaf geeft de lezer een handvat om de handreiking makkelijker te gebruiken. Het beschrijft, als aanvulling op de inhoudsopgave, in welk hoofdstuk welke onderwerpen aan de orde komen en hoe die in het proces van het komen tot een bewustwordingsprogramma passen. In deze handreiking worden vier kritische fasen onderkend om te komen tot een bewustwordingsprogramma. Nadat in het hierna volgende Hoofdstuk 2 de componenten van SA: training, bewustzijn en opleiding worden beschreven, worden deze vier fasen behandeld; 1. De ontwerpfase waarin het doel en de behoefte wordt bepaald en waarin een strategie wordt ontwikkeld (hoofdstuk 3); 2. De ontwikkeling van trainingsmateriaal, afgestemd op de mogelijkheden, het budget en de beschikbare kennis (hoofdstuk 4). In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc; 3. De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 5); 4. Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 6). In hoofdstuk 7 wordt gedetailleerder ingegaan op een methode om door middel van Social Engineering een nul-meting te houden. Deze vorm van security audit kan op heldere manier duidelijk maken waar het veiligheidsbewustzijn van mensen tekortschiet en leidt tot onveilig gedrag. In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma s, waaronder voorbeelden van posters en een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan onbekende personen. In de gekleurde tekstboxen die her en der in het document zijn opgenomen, vindt u steeds voorbeelden van creatieve oplossingen van bedrijven of andere relevante informatie. In een aantal tekstboxen wordt Bruce Schneier geciteerd. Schneier is een autoriteit op het gebied van (informatie)beveiliging, is auteur van een groot aantal boeken over dit onderwerp en staat vooral bekend om zijn pragmatische insteek bij het oplossen van problemen. 14

15 15

16 16

17 2. De componenten van SA: Training, bewustzijn en opleiding In dit hoofdstuk wordt besproken uit welke componenten een goed bewustwordingsprogramma is opgebouwd en hoe de verschillende componenten van een succesvol SA programma zich tot elkaar verhouden Is veiligheid wel belangrijk? Hoe is het gesteld met het aspect veiligheid in het bedrijf? Is het wel een belangrijk onderwerp en op grond waarvan wordt dat geconstateerd? Om deze vraag goed te kunnen beantwoorden kunnen een aantal basisvragen gesteld worden: -- Staat het onderwerp veiligheid permanent op de agenda van de directie? -- Is er iemand verantwoordelijk gesteld voor veiligheid (Security Officer)? Zo ja, zit deze persoon hoog genoeg in de organisatie en adviseert hij rechtstreeks aan de directie? -- Is de naleving van veiligheidsgerelateerde maatregelen onderwerp van het periodieke functioneringsgesprek? -- Wordt de aandacht voor veiligheid (naar belang) verdeeld over alle gebieden (productieveiligheid, fysieke veiligheid, ICT-veiligheid, personele veiligheid, etc.)? -- Wordt er over veiligheid actief gecommuniceerd in bijvoorbeeld het bedrijfsblad? Als de antwoorden op deze vragen leiden tot een beeld dat veiligheid kennelijk meer in woorden dan in daden beleden wordt, dan is het zaak om zich initieel in een bewustwordingsprogramma te richten op het management. De directie moet er van bewust gemaakt worden dat veiligheid hoger, veel hoger, op de agenda moet komen te staan. Als antwoorden op deze vragen leiden tot een beeld dat veiligheid wél belangrijk is, dan kan het bewustwordingsprogramma zich richten op de medewerker. De directie zal in dat geval wel regelmatig het beeld uitdragen dat grote waarde wordt gehecht aan veiligheid. KSF 1 : Het thema veiligheid heeft in de organisatie topprioriteit en is in de organisatie geborgd. Informele organisatie De socioloog Erving Goffman beschrijft in zijn boek The Presentation of Self in Everyday Life op fascinerende wijze de manier waarop we blijven geloven dat de mens zich schikt naar de formele realiteit: De wetten, de regels, de Security Policies, de bewustwordingstrainingen, de seminars, etc. Er bestaat echter een informele, vaak ontkende organisatie, waarin, zelfs in autoritaire instituties met total control (gevangenissen, psychiatrische ziekenhuizen, het leger, religieuze ordes), mensen hun weg vinden om regels te buigen en hun eigen realiteit te creëren om drugs, alcohol, sex, sigaretten etc. te bemachtigen. Dit buigen van regels is menselijk en gebeurt in elke organisatie. Het is aan te raden om met deze informele organisatie rekening te houden bij het formuleren van (soms complexe) veiligheidsprocedures Een bewustwordingsprogramma sluit aan bij het totale beveiligingsprogramma Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen: -- een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd is op de bestaande en onderkende risico s; -- een op die belangen en risico s toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security Plan (OSP) 2 ; -- medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in beveiligingsdocumentatie en procedures; -- processen die het programma periodiek impulsen geven, bewaken en evalueren. 1 KSF; Kritische Succes Factor, een voorwaarde voor het slagen van een programma. 2 Voor hulp bij het opstellen van een SMS en een OSP heeft het NAVI handreikingen gemaakt. Deze zijn te downloaden van de website van het NAVI ( 17

18 Een effectief bewustwordingsprogramma sluit aan bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte instructiemateriaal is gebaseerd op de strategie en beveiligingsplannen van de organisatie, alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit bij de belevingswereld van de medewerkers Het bewustwordingsprogramma richt zich op alle medewerkers van een organisatie Een bewustwordingsprogramma richt zich niet alleen op de medewerker op de werkvloer maar op alle medewerkers van een organisatie, inclusief de beheerders en het (top)management. Het management heeft daarbij de bijzondere taak om voorbeeldgedrag te vertonen. Goed voorbeeldgedrag is een noodzaak om te communiceren dat het management de navolging van veiligheidsregels belangrijk vindt en onderschrijft. Slecht voorbeeldgedrag van het management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te hoeven leven. De effectiviteit van een bewustwordingsprogramma is hier in grote mate van afhankelijk. KSF: De betrokkenheid en het goede voorbeeldgedrag van alle niveaus, maar met name van het management, is een voorwaarde voor het slagen van een bewustwordingsprogramma Bewustwordingsprogramma wordt aangeboden in de vorm van een training of opleiding Veiligheidsvoorschriften en procedures zijn vaak voor alle medewerkers beschikbaar, op het Intranet of fysiek als bundel in een archiefkast. Instructie over nut en noodzaak en de beoefening van de procedures wordt echter vaak achterwege gelaten of overgelaten aan de medewerker zelf. De medewerker krijgt in dat geval opdracht om zich de procedures zelf eigen te maken, maar zal daar geen prioriteit aan geven. Impliciet wordt dit ook vaak door het bedrijf geaccepteerd (zie ook 2.2 Is veiligheid wel belangrijk?). Een bewustwordings-, opleidings- en trainingsprogramma is essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van veiligheidsmaatregelen Duidelijk communiceren over nut en noodzaak van veiligheidsmaatregelen en veilig handelen Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een sanctiemodel indien een medewerker de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van deze maatregelen en weten welke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen. Praatje, plaatje, daadje Hoe blijft de boodschap het beste hangen? De volgende wijsheid kan daarbij helpen: Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden. Laat het me doen en ik zal het begrijpen. 18

19 2.6. Bewustwordingsprogramma richt zich op verandering van gedrag en vergroting van kennis Bewustwordingsprogramma s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd Een bewustwordingsprogramma is op maat gesneden Voor een deel van de medewerkers volstaat een algemeen bewustwordingsprogramma alleen niet. Medewerkers die specifieke of specialistische kennis op het gebied van beveiliging nodig hebben, volgen veelal een externe opleiding die in veel gevallen zal leiden tot certificering. Op de Nederlandse markt is een groot aantal aanbieders van internationaal erkende opleidingen actief die opleiden tot een eveneens internationaal bekende en erkende titel Een bewustwordingsprogramma bevat alle psychologische componenten Een goed bewustwordingsprogramma richt zich op alle relevante psychologische componenten: kennis (d.m.v. interne of externe opleidingen), houding (bewustzijn en competenties) en gedrag (d.m.v. herhaalde oefening en training). Indien aan één van deze drie componenten niet of onvoldoende aandacht wordt besteed, functioneert een bewustwordingsprogramma niet naar behoren en is het op termijn gedoemd te mislukken. 19

20 20