Bewustwordingscampagnes - Rein de Vries - LBVD GvIB bijeenkomst 15 mei 2007
LBVD Consultancy Op het snijvlak van Mens, Organisatie en Techniek Delft, www.lbvd LBVD.nl
Agenda Behoefte (waarom?) Mogelijkheden voor AKTIE Sturing Vragen
Agenda Behoefte (waarom?) Mogelijkheden voor actie Sturing Vragen
Een hopeloze zaak? Informatiebeveiliging kent veel aspecten Méér dan techniek! Informatiebeveiligings-mix: 10% Techniek? 10% Organisatie? 80% Mens?
Roet in het eten Mens: complicerende factor Veel verschillende soorten, karakters, culturen, waarden, normen, etc. Je wilt van allen hetzelfde: Dat ze zich houden aan een oerwoud aan richtlijnen, voorschriften, regels, gedragscodes, afspraken, overeenkomsten, etc.!!!
Toverwoord Informatiebeveiligingsbewustzijn / Security Awareness Welke 'awareness' is waarbij cq. waarvan nodig???
ISO17799:2005 (1) Beheersmaatregel 8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voorzover relevant voor hun functie. Baseline, deel van het beleid
ISO17799:2005 (2) 18 van de 133 beheersmaatregelen Dus bij meer dan 13% van de 'best practices' Effectieve marketing Aanvaarden van risico's Aanvaardbaar gebruik bedrijfsmiddelen Gevaren Gebruikers derde partijen
BSI - ITBPM Bedreigingen... Force Majeure Organisatorische tekortkomingen Technisch falen Menselijk falen Opzettelijk handelen
Bewustzijns-activiteiten De directie behoort plannen en programma's te initiëren om informatiebeveiligingsbewustzijn levend te houden (6.1.1). Coördinatie van informatiebeveiliging (6.1.2) Mogelijkheden te over...
Agenda Behoefte (waarom?) Mogelijkheden voor ACTIE Sturing Vragen
Mogelijkheden Posters Kalenders Puzzles Boekjes Training/Cursus Online leren Film Hack-demo Hebbedingen Bijeenkomsten Workshops Spellen Simulaties Gecontroleerde incidenten MysteryGuest Fake e-mail Etc. -> Veelal veel nadruk op aanreiken & zenden van informatie
Bericht / De Inhoud Gebruik van wachtwoorden, malware, e-mail, gebruik van internet, spam, shoulder surfing', afdanken van media, afdanken van papier, 'tailgating', toegangsbeveiliging, gebruik van software, waarde van de toegangspas, geheimhouding, omgaan met informatie, bezoekersregeling, incidentenprocedure, informeel tram/taxi/trein/terras-overleg, clear-desk, clear-screen, verantwoordelijkheden, taken, regels, richtlijnen, gedragscodes, enzovoorts...
Per situatie bepalen Omgevingen verschillen sterk High Churn Rate High Confidence High Value High Impact Bron: Technische oplossingen en security awareness, Koos Varkevisser, Informatiebeveiliging nr. 3, mei '07
Kalenders
Puzzles/Gadgets/Boekjes
Films (1) www.laatjenietpakken.nl Een campagne van SURFnet en Kennisnet ter bevordering van het bewustzijn met betrekking tot computerbeveiliging.
Films (2) www.laatjenietpakken.nl - daagt uit
Films (3) www.digibewust.nl - heftig prikkelend
Films (4) University of Virginia UVA - subtiel
Films (5) Marketing!!! Basisbeginsel: Opleuken van de boodschap! Borging??? (vgl. reclame op tv) -> Laten ondervinden, voelen
MysteryGuest (1) Geregisseerd / gecontroleerd incident Fysieke Penetratietest Fysieke observatie Social Engineering Specifieke missie Insteek: meting of bewustwordingsactie?
MysteryGuest (2) Veelal zeer succesvol I.c.m. pentest, film, foto's
Agenda Behoefte (waarom?) Mogelijkheden voor AKTIE Sturing Vragen
Sturing Peiling vooraf -> 0-meting Samenstellen campagne Uitvoering campagne Peiling achteraf -> doel behaald???
0-meting -> Bepalen IST Fysieke observatie MysteryGuest Face-to-face interviews Online IB-peiling
Face-to-face interviews Doorvragen Emoties Vrije uiting Bewerkelijk en tijdrovend Bij voorkeur door een externe interviewer
Online IB-peiling (1) Online vragenlijst Kennis, attitude, gedrag Groot bereik Schat aan informatie Bewustmakend effect Doorlooptijd 1,5 2 maanden Zorgvuldigheid
Online IB-peiling (2) Vind je het zinvol om je wachtwoord eens in de zoveel tijd te wijzigen?
Online IB-peiling (3) Zou je je wachtwoord bekendmaken als de ICT-helpdesk er om verzoekt via de telefoon? Zeer onwaarschijnlijk Zeer waarschijnlijk
Online IB-peiling (4) Vrije beantwoording 1 Dus geen mogelijkheid om dit uit te laten zetten door de ict afdeling, wat nog wel eens gebeurt. (automatische vergrendeling)...ik probeer me maar voor te stellen wat we hier eigenlijk voor ongelofelijke geheimen hebben... (gevoelige informatie) Ben me er nu met deze vraag bewust van dat ik veel te weinig actie onderneem. (reageren op...) Security Officer??? (onbekendheid met term)
Online IB-peiling (5) Vrije beantwoording (2) Niemand kan weten wat je wachtwoord is dus mijn inziens zijn bovenstaande wachtwoorden allemaal goed. Misschien dat aabbccdd eerder te kraken is (goede wachtwoorden) Wij hebben een lijstje met alle adressen van de afdeling, met wachtwoorden e.d. Ook vanwege het SAP-en, ivm de hoge kosten zijn er 2 mensen op de afdeling die toegang hebben tot SAP (bekendmaken van je wachtwoord) Wij hebben hier allezes hetzelfde wachtwoord. (gebruik van wachtwoorden)
Workshops Leidinggevenden & IB 'Harde' confrontatie! Uitkomsten Face-to-face gesprekken Uitkomsten MysteryGuest (foto/video) Uitkomsten Online IB-peiling -> Vergelijking met Benchmarks Actieplan -> Wat, Door wie, Wanneer Top down
???