Cybersecurity is belangrijk op elke afdeling binnen een organisatie. In deze blog beschrijven we drie tips, in lijn met de cyberbeveiligingswet, die helpen het bewustzijn van informatiebeveiliging te verhogen.
Dat is toch van IT?
Binnen veel organisaties heerst het sentiment dat alles wat met informatiebeveiliging of cybersecurity te maken heeft, bij de IT-afdeling ligt. Vraag mensen waarom ze op hun werk moeten inloggen met een app of sms en elke drie maanden hun wachtwoord dienen te wijzigen. Het antwoord komt vaak neer op “het moet van IT” of een variatie daarop. Reden dat IT-managers of CISO’s ons regelmatig om hulp vragen om het bewustzijn van informatiebeveiliging binnen hun organisatie te verbeteren.
De realiteit is dat informatiebeveiliging en het bewustzijn ervan geen IT-kwestie is. Cybersecurity is belangrijk op elke afdeling binnen een organisatie. Iedereen verwerkt data, werkt in systemen of heeft toegang tot informatie die beveiligd moet worden. In het Cybersecuritybeeld 2024 benadrukt de NCTV dan ook dat “veiligheid van digitale processen essentieel blijft in een gedigitaliseerde samenleving”. Phishing is nog altijd een van de meest voorkomende cyberaanvallen en kan zich richten op elke afdeling. Zodoende loopt elke afdeling risico.
Onvoldoende bewustzijn van afdelingsspecifieke dreigingen
In een eerdere blog gaven we al aan dat bestuurders de kennis en kunde moeten bezitten om risico’s in te schatten en beslissingen te kunnen nemen over beheersmaatregelen. Verder bevat de Cyberbeveiligingswet artikel 23 de volgende verplichting:
“Iedere essentiële entiteit en belangrijke entiteit neemt passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen, die zij voor haar werkzaamheden of voor het verlenen van haar diensten gebruikt, te beheersen.”
In de memorie van toelichting is te lezen dat deze maatregelen passend en evenredig moeten zijn in relatie tot de specifieke risico’s waarmee de entiteiten (…) kunnen worden geconfronteerd.
Kortom, de maatregelen dienen te worden afgestemd op de risico’s en de ernst van de gevolgen van deze risico’s die de entiteit loopt. Deze maatregelen zijn niet alleen verbonden met de IT-afdeling, het gaat om alle afdelingen waar risico’s ten aanzien van de beveiliging van netwerk- en informatiesystemen van toepassing zijn. Bewustzijn bij alle medewerkers is daarom cruciaal.
Elke afdeling heeft te maken met de dreigingen rondom phishing, maar een afdeling klantenservice kan gegevens ook (per ongeluk) op andere manieren delen. Hier is dus maatwerk in bewustwording nodig. Helaas ontbreekt bij veel afdelingen beleid om die specifieke risico’s te adresseren. Soms zijn deze risico’s wel in het centrale beleid opgenomen maar alleen in algemene zin. Medewerkers weten onvoldoende waar ze op moeten letten en wat hun handelingsperspectief is. Dit kan gevolgen hebben voor de algehele veiligheid van de organisatie.
Hoe creëer je meer bewustzijn rondom informatiebeveiliging in de organisatie?
Het creëren van bewustzijn bij alle medewerkers is belangrijk, gezien de toenemende risico’s en wettelijke vereisten. Hieronder geven wij drie tips om hierin belangrijke stappen te zetten.
Geef medewerkers een concreet handelingsperspectief
Veel medewerkers weten niet wat er van hen verwacht wordt op het gebied van cyberbeveiliging. Soms zijn ze zich zelfs niet bewust van informatiebeveiliging in het algemeen. Het is cruciaal – onder meer vanwege de risico’s die overheidsinstanties lopen – om dit bewustzijn te vergroten door duidelijke en toegankelijke informatie te verstrekken.
Tip 1: Zorg dat alle medewerkers, ongeacht hun functie, zich bewust zijn van hun rol in het beschermen van gevoelige informatie. Dit kan door middel van regelmatige trainingen en doorlopende bewustwordingscampagnes. Geef in de trainingen een concreet en passend handelingsperspectief per functie. Dat verheldert wat medewerkers zelf moeten en kunnen doen. Baken verantwoordelijkheden duidelijk af.
Hanteer een gedifferentieerde aanpak
Medewerkers in organisaties vervullen verschillende rollen, waar ook verschillende verantwoordelijkheden bij horen. In onze eerste blog bespraken we bijvoorbeeld dat bestuurders een belangrijkere rol krijgen ten aanzien van informatiebeveiliging. In sommige gevallen zijn zij nu eindverantwoordelijke en kunnen ze aansprakelijk worden gesteld. Adviseurs zoals de CISO, ISO, security- en risk-professionals kunnen bij de invulling van deze rol ondersteunen en adviseren. Bestuurders dienen echter wel te beschikken over een zekere basiskennis. De trainingen en bewustwordingscampagnes dienen op de diverse soorten medewerkers aangepast te worden.
Tip 2: Hanteer een gedifferentieerde aanpak voor de verschillende doelgroepen in bewustwordingsprogramma’s. Beschouw bestuurders hierbij als aparte doelgroep. Op die manier kunnen alle medewerkers op maat ondersteund of bewust gemaakt worden.
Maak bewustzijn meetbaar
Bij het beter inrichten van de bewustwording van informatieveiligheid op afdelingen raden we aan om de effecten en resultaten meetbaar te maken. Organisaties kunnen hierdoor aantoonbaar maken wat ze doen en welke risico’s gemitigeerd worden. Verschillende normenkaders vragen hier ook om, zoals de ISO 27001 en de BIO. Organisaties zelf krijgen zo eveneens zicht op de organisatiebrede en afdelingspecifieke bewustwording.
Tip 3: Stel KPI’s op voor bewustwording. Hiermee kunnen de organisatie en afdelingen aantonen wat ze doen en welke effecten dit heeft op de risico’s.
Hebt u vragen naar aanleiding van de Cyberbeveiligingswet of wilt u eens doorpraten over informatiebeveiliging of privacy in het algemeen, neem dan gerust contact met ons op.