De informatiebeveiliging van uw organisatie is zo sterk als de zwakste schakel. U kunt alles nog zo goed op orde hebben, maar iedere zwakke plek kan de gehele betrouwbaarheid van informatiebeveiliging naar beneden halen. Bewustwording van informatiebeveiliging is daarom van belang. Wist u dat in de praktijk blijkt dat het menselijk handelen in de meeste situaties de zwakste schakel is?

Dit betekent dus dat uw medewerkers het grootste risico vormen bij het beschermen en beveiligen van gevoelige informatie of persoonsgegevens. Daarom is het van essentieel belang om alle medewerkers in uw organisatie bewust te maken van de risico’s rondom informatiebeveiliging, onderling afspraken te maken over gewenst gedrag en geheimhouden - waar nodig - te respecteren.

In dit blogartikel leert u hoe u bewustwording creëert bij uw medewerkers en welke gedragsregels relevant zijn. 

 

Bewustwording medewerkers

Bewustwording van medewerkers met betrekking tot de risico’s bij het werken en uitwisselen van gegevens is essentieel voor een goede beveiliging. Om de bewustwording van medewerkers te vergroten dienen daarom met regelmaat activiteiten te worden ondernomen om het bewustzijn te trainen en op peil te houden. 

Denk bij deze activiteiten aan:

  • Trainingen en workshops, bijvoorbeeld rondom risicomanagement;
  • Posters, flyers en andere visuals;
  • Nieuwsbrieven en updates;
  • Specifieke events zoals een hack demo.

Om de mate van bewustzijn te toetsen, kan gebruikt worden gemaakt van testen, zoals een nep-phishing e-mail of een mystery guest. De response van medewerkers zegt daarbij veel over het risicobewustzijn. Door de uitkomsten te communiceren wordt de bewustwording binnen de organisatie ook weer vergroot.

Als dergelijke testen vaker uitgevoerd worden kan hierop ook gestuurd worden en extra activiteiten worden ingepland wanneer het bewustzijn bij de medewerkers lijkt af te nemen. 

Voor specialisten kan nog gedacht worden aan trainingen of testen op het gebied van incident response en calamiteitenplannen.

Gedragsregels informatiebeveiliging

Om de informatiebeveiliging te waarborgen bij het uitvoeren van werkzaamheden door medewerkers is het goed afspraken te maken. Bijvoorbeeld in de vorm van gedragsregels, zie onderstaande lijst als voorbeeld. Merk op dat de doelstelling van deze gedragsregels doorgaans niet of heel moeilijk op een andere wijze te realiseren zijn maar uitsluitend door medewerkers toegepast kunnen en moeten worden.

  • Werkstation/laptop

    • Bij het verlaten van de werkplek dient u het werkstation/laptop te vergrendelen (shortcut Windows-toets + L). 

  •  Wachtwoorden

    • Het opschrijven van wachtwoorden is niet toegestaan;
    • Het delen van wachtwoorden is niet toegestaan;
    • Let op dat niemand meekijkt bij het invoeren van een wachtwoord of code;
    • Een wachtwoord dient u onmiddellijk te wijzigen indien het vermoeden bestaat dat het bekend is geworden aan een derde.

  • Schriftelijke informatie

    • Laat geen vertrouwelijke informatie op het bureau liggen;
    • Weggooien van vertrouwelijke documenten die persoonsgegevens bevatten dient in de papierversnipperaar te gebeuren.

  • Verlies of diefstal

    • Meld verlies of diefstal direct aan uw leidinggevende of IT helpdesk;
    • Het is niet toegestaan USB sticks te gebruiken.

  • Social engineering 

    • Bij mail of telefonisch contact, stel uzelf de vraag waarom een bepaald verzoek wordt gedaan.

  • E-mail

    • Controleer bij elke mail of de juiste personen zijn toegevoegd voor wie de mail bestemd is;
    • Voordat een mail verstuurd wordt: controleer of de juiste bijlagen zijn toegevoegd;
    • Ziet u een onbekende afzender en er wordt verzocht om op een link te klikken? Doe dit niet!;
    • Ziet u een bekende afzender maar de inhoud van de mail is verdacht en er wordt verzocht om op een link te klikken? Doe dit niet! 
    • Stuur geen virus informatie of verdachte e-mails door aan anderen;
    • Zet nooit uw gebruikersnaam en/of wachtwoord in e-mail;
    • Bij wantrouwen: verifieer altijd de afzender, telefonisch of via andere kanalen en neem contact op met uw leidinggevende of IT helpdesk

Eigen verantwoordelijkheid en geheimhouding

Uiteraard hebben medewerkers ook een eigen verantwoordelijkheid ten aanzien van informatiebeveiliging. Zo is het gebruikelijk dat medewerkers een geheimhoudingsclausule hebben die is opgenomen in het arbeidscontract. Het is daarbij raadzaam expliciet te maken dat zij ook een verantwoordelijkheid hebben ten aanzien van informatiebeveiliging door het volgen van de beleids- en gedragsregels verplicht te stellen.

Mochten medewerkers zich desondanks niet houden aan de regels, dan treedt een zogeheten ‘disciplinaire procedure’ in werking. Hierin ligt vast welke stappen het management kan nemen om medewerkers te verplichten om zich aan de regels te houden en welke gevolgen het uitblijven hiervan zullen hebben. 

Voor een kleine organisatie zal een dergelijke procedure er eenvoudiger, wellicht ook informeler, uit kunnen zien maar het is in alle gevallen belangrijk om de mogelijkheid te hebben tot het formeel aanspreken van medewerkers op hun gedrag en hieraan consequenties te kunnen verbinden.

Hulp nodig bij het vergroten van bewustwording van informatiebeveiliging?

Hebt u aan de hand van deze informatie nog vragen over de bescherming van data binnen uw organisatie of het bewust maken van uw werknemers? Wilt u meer weten over databescherming of informatiebescherming in het algemeen? Of bent u op zoek naar een platform om uw databescherming op orde te krijgen en te behouden? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.

Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging met onze gratis gids voor basiskennis van informatiebeveiliging.

 

Wij helpen bedrijven met hun digitale veiligheid