handreiking - security awareness (concept)
DESCRIPTION
Deze handreiking bevat een stappenplan, een plan van aanpak en diverse voorbeelden, waarmee aandacht wordt besteed aan de menselijke en psychologische aspecten van bewust en veilig handelen.TRANSCRIPT
1
HandreikingSecurity Awareness
Een handreiking voor het opzetten en onderhouden van een bewustwordingsprogramma
werkdocument
“Bewust Vitaal”
Herstel van de zwakste schakel
Een handreiking voor het ontwikkelen van een
Security Awareness programma
1-dec-08, versie 0.6
1-dec-08, versie 0.6 pagina 3 van 36
Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de
verbetering van de fysieke en digitale beveiliging van de vitale infrastructuur in Nederland. Beheerders en
eigenaren van de vitale infrastructuur in Nederland kunnen bij het NAVI terecht voor informatie en onafhankelijk
advies op het gebied van de beveiliging tegen moedwillige verstoring (security). De vier kerntaken van het NAVI
zijn:
Advisering over beveiliging
Het NAVI geeft eigenaren of beheerders van vitale infrastructuur in Nederland advies over beveiliging.
Bijvoorbeeld bij het uitvoeren van risicoanalyses of van een second opinion op een bestaand beveiligingsplan.
Ook adviseert het NAVI over al genomen of nog te nemen beveiligingsmaatregelen op basis van een
risicoanalyse. Hierbij werkt het NAVI vraaggericht.
Delen van kennis en informatie over beveiliging
Het NAVI zorgt ervoor dat betrokken partijen kennis en informatie binnen de vitale sectoren in Nederland kunnen
delen. Het NAVI onderhoudt daartoe contacten met overheden en met het bedrijfsleven uit de vitale sectoren en
daarnaast met relevante contacten en instellingen in het buitenland. Kennis en informatie worden op
verschillende manieren beschikbaar gesteld, ondermeer door het organiseren van bijeenkomsten, via de website
en de beschikbaarheid van een kennisbank.
Productontwikkeling
Het NAVI ontwikkelt ook eigen producten. De focus ligt hierbij op producten die voor een hele sector of zelfs
meerdere sectoren toepasbaar zijn. Voorbeelden hiervan zijn de verschillende handreikingen die momenteel
worden ontwikkeld over beveiligingsonderwerpen. Indien nodig worden de producten op verschillende niveaus
van volwassenheid ontwikkeld. Ook spant het NAVI zich in om producten van derden voor de Nederlandse vitale
infrastructuur toegankelijk te maken.
Netwerkfunctie
Het NAVI onderhoudt en ontwikkelt een breed netwerk binnen de beveiligingswereld en fungeert als
ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur. Zowel voor overheidspartijen,
kennisinstellingen in binnen en buitenland, als bedrijven. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het
organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen uit een sector of uit
verschillende sectoren op reguliere basis bij elkaar om informatie te delen en om over beveiligingsonderwerpen te
spreken.
Kijk voor meer informatie op de website: www.navi-online.nl
1-dec-08, versie 0.6 pagina 4 van 36
1-dec-08, versie 0.6 pagina 5 van 36
Managementsamenvatting
Organisaties kunnen de integriteit, vertrouwelijkheid en
beschikbaarheid van informatie in hedendaagse
gedistribueerde netwerken en de veiligheid van
personeel, materieel, gebouwen en processen niet
garanderen zonder dat iedere betrokken medewerker
zijn rol en verantwoordelijkheid begrijpt en adequaat is
opgeleid. De menselijke factor is een dermate grote
kritieke succesfactor dat het noodzakelijk en verplicht is,
om management, beheerders en gebruikers van
systemen periodiek een bewustwordingsprogramma te
laten volgen dat gericht is op beveiliging.
Deze handreiking voor het ontwikkelen van een
Security Awareness programma geeft organisaties een
aanzet om een eigen bewustwordingsprogramma op te
zetten of verder uit te bouwen. Het behandelt op grote
lijnen het ontwikkelen van een plan, de ontwikkeling van
materiaal en de implementatie en evaluatie ervan.
De start van de ontwikkeling van deze handreiking ligt
nog maar kort achter ons en het NAVI is zich er van
bewust dat tussen maar ook binnen de vitale sectoren
een grote diversiteit is aan behoefte van bedrijven. Deze
handreiking heeft daarom de status van een eerste
openbare concept. De lezer wordt van harte uitgenodigd
commentaar en aanvullingen te geven waardoor het
plan van aanpak van het bewustwordingsprogramma
breder inzetbaar is en de kwaliteit verhoogd wordt.
Not My Problem
Professionals en hun organisaties zijn bereid om
grote investeringen te doen
om technische maatregelen te implementeren
(techniek): veelal de eerste
volwassenheidsfase.
Professionals komen er achter dat techniek alleen
niet genoeg is. Procedures
dienen volledig te zijn, gecommuniceerd te
worden – kortom: beveiliging dient
georganiseerd te worden. De tweede
volwassenheidsfase.
En als het dan georganiseerd is, en de techniek is
afgesteld, dan blijkt veelal
dat mensen 'het gewoon niet zo doen'. En
Nederlanders al helemaal niet.
Nederlanders hebben een hekel aan
beveiligingsmaatregelen: “Waar is het
voor nodig?” “Hier gebeurt nooit wat” “Laten ze
maar eerst bij zichzelf
beginnen ”en andere uitvluchten, samen te vatten
tot “It Is Not My Problem”.
Bron: Lezing van het Platform voor
Informatiebeveiliging
1-dec-08, versie 0.6 pagina 6 van 36
1-dec-08, versie 0.6 pagina 7 van 36
Inhoudsopgave 1. Productbeschrijving ..................................................................................................................................... 9
1.1. Inleiding ................................................................................................................................................ 9
1.2. Achtergrond.......................................................................................................................................... 9
1.3. Relatie met andere literatuur ................................................................................................................ 9
1.4. Leeswijzer .......................................................................................................................................... 10
2. Product ........................................................................................................................................................ 11
2.1. Algemeen ........................................................................................................................................... 11
2.2. Doelgroep........................................................................................................................................... 12
2.3. De relatie naar bekwaamheid en bewustzijn ...................................................................................... 12
2.4. Waarom “Eerste openbare Concept”?................................................................................................ 12
3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding ....................................... 15
4. De ontwerpfase ........................................................................................................................................... 17
4.1. Inleiding .............................................................................................................................................. 17
4.2. Structureren van een programma....................................................................................................... 17
4.3. Belangen- en behoeftebepaling.......................................................................................................... 18
4.4. Opstellen van een plan....................................................................................................................... 19
4.5. Stellen van prioriteiten ........................................................................................................................ 20
4.6. Mate van complexiteit......................................................................................................................... 20
4.7. Budgettering ....................................................................................................................................... 21
4.8. Commitment en draagvlak.................................................................................................................. 21
5. De ontwikkeling van materiaal................................................................................................................... 23
5.1. Inleiding .............................................................................................................................................. 23
5.2. Ontwikkelen van bewustwordingsmateriaal........................................................................................ 23
5.3. Selecteren van onderwerpen voor bewustwording............................................................................. 23
5.4. Bronnen voor materiaal ...................................................................................................................... 24
5.5. Uitbesteden of zelf doen?................................................................................................................... 25
5.6. Partnerschap ...................................................................................................................................... 25
5.7. Informatie-uitwisseling via de website van het NAVI .......................................................................... 25
5.8. De vorm.............................................................................................................................................. 25
6. De implementatiefase................................................................................................................................. 27
6.1. Wijze van communiceren ................................................................................................................... 27
6.2. Technieken om de “boodschap” over te brengen ............................................................................... 27
7. De evaluatie- en onderhoudsfase.............................................................................................................. 29
7.1. Meten van de deelname en de effectiviteit ......................................................................................... 29
7.2. Evaluatie en feedback ........................................................................................................................ 30
7.3. Veranderingen doorvoeren................................................................................................................. 30
7.4. Verhogen van het niveau.................................................................................................................... 31
7.5. Succes indicatoren ............................................................................................................................. 31
8. Bijlage 1: Voorbeelden ............................................................................................................................... 33
8.1. Bewustwordingsprogramma gericht op Social Engineering................................................................ 33
8.2. Enkele voorbeelden van posters ........................................................................................................ 34
9. Bijlage 2; Literatuuroverzicht .................................................................................................................... 35
1-dec-08, versie 0.6 pagina 8 van 36
1-dec-08, versie 0.6 pagina 9 van 36
1. Productbeschrijving
1.1. Inleiding
Voor u ligt het eerste openbare concept van ‘Bewust Vitaal’, de handreiking Security Awareness van het NAVI.
Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een Security
Awareness programma. Het bevat naast een stappenplan ook een plan van aanpak en creatieve ideeën om een
bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden
gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen.
1.2. Achtergrond
Het NAVI heeft ervaren dat er een grote diversiteit is in de mate waarin bedrijven binnen de vitale sectoren hun
bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn een voorwaarde voor
veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen, achtergronden van
maatregelen toe te lichten en de noodzaak om maatregelen te nemen te verduidelijken, zal zijn houding en
gedrag ten opzichte van security beïnvloed worden.
1.3. Relatie met andere literatuur
Bewustwordingsprogramma’s zijn er in veel geuren en kleuren, en ze
hebben allemaal gemeen dat ze geschreven zijn voor een bepaald
bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en
risico’s. Bewustwordingsprogramma’s kunnen daarom niet zonder
meer worden overgenomen van andere bedrijven en moeten dus
vaak zelf ontwikkeld of aangepast worden. Handleidingen om te
komen tot de ontwikkeling van een bewustwordingsprogramma die
zich richten op de bedrijven in Nederland in de vitale sectoren, zijn er
niet. Natuurlijk is er wel veel over geschreven in diverse publicaties
maar de benodigde informatie is te verspreid om een eenduidig beeld
te geven. De bundeling van de informatie voor deze doelgroep is
daarom uniek.
Enkele voorbeelden van publicaties die waardevolle aanvullende informatie kunnen geven zijn (zie ook
literatuurbijlage):
- Building an Information Technology Security Awareness and Training Program van het NIST (National
Institute of Standards and Technology)
- Information Technology Security Training Requirements van het NIST
- Bruce Schneier, Beyond Fear:
- K.D. Mitnick, The art of deception; the human factor in Information Security
- Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion
- Y. Lafrance, Psychology: A precious security tool
Bruce Schneier:
Security yes, but down to earth,
without the mumbo jumbo,
without shouting in utter Panic:
“Barbarians at The Gate”.
Boodschap: overdrijf niet en zorg
voor afweging tussen veiligheid en
werkbaarheid.
1-dec-08, versie 0.6 pagina 10 van 36
1.4. Leeswijzer
De beschrijving van de handreiking, de relatie naar een
volwassenheidsmodel en hoe deze handreiking gebruikt kan
worden vindt u in hoofdstuk 2.
In deze handreiking worden vier kritische stappen onderkend
om te komen tot een bewustwordingsprogramma:
- In Hoofdstuk 3 wordt de samenhang tussen de
componenten training, bewustzijn en opleiding
beschreven;
- De ontwerpfase waarin het doel en de behoefte
wordt bepaald en waarin een strategie wordt
ontwikkeld (hoofdstuk 4);
- De ontwikkeling van trainingsmateriaal, afgestemd
op de mogelijkheden, budget en beschikbare kennis
(hoofdstuk 5). In dit hoofdstuk worden diverse
soorten materiaal besproken zoals web-based
training, video, workshops, etc;
- De implementatie van het programma en de rol van
communicatie daarin (hoofdstuk 6);
- Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 7).
In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder een
programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan
onbekende personen, zogenaamde Social Engineering.
Bruce Schneier; Beyond fear.
Over the last years we've become
obsessed with security, and put in place
a whole host of policies and procedures
that will do... exactly what?
(..) The key is to think of security not in
absolutes, but in terms of sensible trade-
offs, whether on a personal or global
scale.
(..) is a refreshing antidote to today's
doomsday pessimism and anxiety.
Boodschap: overdrijf niet en zorg voor
afweging tussen veiligheid en
werkbaarheid.
1-dec-08, versie 0.6 pagina 11 van 36
2. Product
In dit hoofdstuk wordt beschreven wat de handreiking is, hoe deze gebruikt kan worden en ook wat de
handreiking niet beoogd te zijn. Tevens wordt aangegeven waarom dit document als “Eerste openbare concept”
ter beschikking wordt gesteld.
2.1. Algemeen
Het NAVI heeft zich naar aanleiding van signalen uit de vitale sectoren, tot doel gesteld om een handreiking te
schrijven, die door bedrijven in de vitale sectoren gebruikt kan worden om een bewustwordingsprogramma op te
zetten of te verbeteren. De mate waarin bedrijven een zeker niveau van “volwassenheid” hebben bereikt in het
realiseren van een bewustwordingsprogramma varieert zowel tussen de sectoren onderling, alsook binnen de
sectoren tussen de bedrijven. De mate van “volwassenheid” kan op hoofdlijnen worden onder verdeeld in drie
niveaus, variërend van laag, middel en hoog.
“volwassenheid”
Laag: Bedrijven hebben geen strategisch beleid en/of structureel budget
voor een bewustwordingsprogramma. Er is nog geen of slechts
incidenteel een bewustwordingsprogramma gerealiseerd. De
verantwoordelijkheid voor het uitvoeren van een
bewustwordingsprogramma is niet of slechts beperkt belegd bij een
daarvoor aangewezen medewerker. Opvolging van eerder uitgebracht
programma strandt door het ontbreken van beleid, budget en/of
creativiteit. Incidentregistratie wordt niet of niet volledig uitgevoerd.
Middel: Er is beleid en beschikbaar budget ten aanzien van
bewustwording en er worden bewustwordingsprogramma’s uitgevoerd.
De verantwoordelijkheid hiervoor is belegd bij een medewerker van het
bedrijf. Er vindt incidentregistratie plaats en er worden analyses op de
incidenten uitgevoerd. Het bedrijf is zich bewust van de incidenten die
het gevolg zijn van niet beveiligingsbewust handelen van medewerkers.
Het bedrijf heeft moeite om voortdurend aandacht te blijven vragen voor
het onderwerp beveiligingsbewustwording omdat budgetten onder druk
staan, de relatie naar een verlaging van het aantal incidenten niet
duidelijk is of door andere oorzaken, waaronder een gebrek aan
creativiteit.
Hoog: Er is beleid en beschikbaar budget ten aanzien van
bewustwording en er worden bewustwordingsprogramma’s uitgevoerd.
De verantwoordelijkheid hiervoor is belegd bij een medewerker of een
afdeling van het bedrijf. Over de stand van zaken wordt reguleer
gerapporteerd aan het management. Er vindt incidentregistratie plaats
en er worden analyses op de incidenten uitgevoerd. Het bedrijf is zich
bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust
handelen van medewerkers. De bewustwordingsprogramma’s maken
gebruik van vernieuwende en creatieve middelen en zijn daardoor in
staat de aandacht voor bewustwording vast te houden. Medewerkers
begrijpen de intentie achter maatregelen en zijn daardoor in staat
Informele organisatie
De socioloog Erving Goffman
beschrijft in zijn boek The
Presentation of Self in Everyday
Life op fascinerende wijze de
manier waarop we blijven
geloven in, en vasthouden aan de
formele realiteit:
De wetten, de regels, de Security
Policies, de bewustwordings
trainingen, de seminars, etc.
Daarnaast bestaat er echter een
informele, vaak ontkende
organisatie waarin zelfs in
autoritaire instituties met “total
control” (gevangenissen,
psychiatrische ziekenhuizen, het
leger, religieuze ordes) vinden
mensen hun weg om regels te
buigen en hun eigen realiteit te
creëren om drugs, alcohol, sex,
sigaretten etc. te bemachtigen.
Het is aan te raden om met deze
informele organisatie rekening te
houden bij het formuleren van
(soms complexe)
veiligheidsprocedures
1-dec-08, versie 0.6 pagina 12 van 36
beveiligingsbewust te handelen in alle voorkomende situaties.
2.2. Doelgroep
Deze handreiking Security Awareness richt zich op bedrijven die zich qua “volwassenheid” op de niveaus laag
en/of middel bevinden, dus voor bedrijven die een bewustwordingsprogramma willen starten of uitbreiden. Aan
de hand van case beschrijvingen zal de ervaring van bedrijven die zich op het niveau hoog bevinden, worden
meegenomen. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt bij tot het
uitdragen van kennis, ervaring en creativiteit.
2.3. De relatie naar bekwaamheid en bewustzijn
Een lage mate van beveiligingsbewustwording wordt gekenmerkt doordat mensen fouten maken zonder dat zij
zich er van bewust zijn (1. Onbewust onbekwaam). Het doel van bewustwordingstrainingen is initieel om
medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en waarom dit handelen als
fout getypeerd wordt (2. Bewust onbekwaam). Nadat dit stadium bereikt is wordt de medewerker het juiste gedrag
aangeleerd. De medewerker moet zich bewust zijn van de risico’s van zijn gedrag en handelt zoals hem is
aangeleerd (3. Bewust bekwaam). In de hoogste mate van bewustwording is het veilig handelen van de
medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij handelt in overeenstemming met wat hem
geleerd is en is in staat om het aangeleerde ook in andere situaties toe te passen (4. Onbewust bekwaam).
Onbekwaam Bekwaam
Onbewust 1. Onbewust onbekwaam 4. Onbewust bekwaam
Bewust 2. Bewust onbekwaam 3. Bewust bekwaam
Deze handreiking heeft met name betrekking op “bewust onbekwaam” en “bewust bekwaam” handelen.
2.4. Waarom “Eerste openbare Concept”?
Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed
toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de
ontwikkeling van deze handreiking ligt echter nog maar kort achter ons en het NAVI is zich er van bewust dat
tussen maar ook binnen de vitale sectoren een grote diversiteit is aan behoefte van bedrijven.
De eerste stap is daarom een concept van een generiek
stappenplan en plan van aanpak te presenteren. De
bedrijven binnen de sectoren worden nadrukkelijk
uitgenodigd om hun commentaar en aanvullingen te
geven.
Handreiking houdt hier in dat het gebruikt kan worden bij
de begeleiding van de totstandkoming van een
bewustwordingsprogramma. Het neemt degene die
verantwoordelijk is gesteld, mee in zijn proces om
problemen te onderkennen, doelen te definiëren en
oplossingen te creëren. Het is nadrukkelijk geen keurslijf,
The fallacy of novelty
Nieuwer is nog niet beter
Het is een misvatting dat nieuwe middelen
beter zijn dan de oude. Besluiten worden
vaak genomen op basis van de aanname
dat nieuwer ook beter is en het oude is
afgedankt, in plaats van op meetbare
gegevens. De symboliek van “state of the
art techniek” of “up-to-date” te willen zijn
is soms erg belangrijk.
1-dec-08, versie 0.6 pagina 13 van 36
geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat wordt overgelaten aan de creativiteit
van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit
bewustwordingsprogramma wordt geschreven
De tweede stap is om dit commentaar te verwerken tot een breder gedragen en toepasbare handreiking. Indien
uit de commentaren en aanvullingen blijkt dat er behoefte is aan meer specifieke onderwerpen per bedrijf of
sector, dan wordt deze opgenomen in aanvullende hoofdstukken. Het mag immers duidelijk zijn dat een
bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische
Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is.
U, de lezer, wordt daarom van harte uitgenodigd om bij te dragen aan een kwalitatief betere handreiking Security
Awareness door commentaar en aanvullingen te geven. Ook nodig ik u van harte uit om voorbeelden aan te
dragen van uitdagingen, die u in de praktijk hebt ervaren en die u hebt kunnen oplossen, zodat andere bedrijven
kunnen leren van uw creatieve oplossingen. Wij vragen u nadrukkelijk niet om veiligheidsincidenten die zich
binnen uw bedrijf hebben voorgedaan te beschrijven. Door het openbare karakter van deze handreiking Security
Awareness kunnen wij de vertrouwelijkheid van de incidenten en de afhandeling niet garanderen.
1-dec-08, versie 0.6 pagina 14 van 36
1-dec-08, versie 0.6 pagina 15 van 36
3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding
Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen:
• een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd op de
bestaande en onderkende risico’s;
• een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en
organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en
een Operator Security Plan (OSP);
• medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in
beveiligingsdocumentatie en procedures; en
• processen die het programma periodiek impulsen geven, bewaken en evalueren.
Een goed bewustwordingsprogramma moet aansluiten bij dit beveiligingsprogramma. Zowel de inhoud als het
gebruikte instructiemateriaal moet gebaseerd zijn op de strategie en beveiligingsplannen van de organisatie
alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de
organisatie en aansluit bij de belevingswereld van de medewerkers.
Een bewustwordingsprogramma moet zich niet alleen
richten op de medewerker op de werkvloer maar op alle
medewerkers van een organisatie, dus inclusief de
beheerders en het (top)management. Het management
heeft daarbij de bijzondere taak om voorbeeldgedrag te
vertonen. Goed voorbeeldgedrag is een noodzaak om te
communiceren dat het management de navolging van
veiligheidsregels onderschrijft. Slecht voorbeeldgedrag van
het management wordt door medewerkers op de werkvloer
gezien als excuus om zelf de veiligheidsregels niet na te
hoeven leven. De effectiviteit van een
bewustwordingsprogramma is hier in grote mate van
afhankelijk.
Veiligheidsvoorschriften en procedures zijn vaak wel voor
alle medewerkers beschikbaar, op het intranet of fysiek als
bundel in een archiefkast. Instructie over nut en noodzaak
en de beoefening van de procedures wordt vaak
achterwege gelaten. De medewerker krijgt in dat geval
opdracht om zich de procedures zelf eigen te maken, maar
zal daar geen prioriteit aan geven. Een bewustwordings- ,
opleidings- en trainingsprogramma is essentieel in de
verspreiding van noodzakelijke informatie die gebruikers,
inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als
communicatiemiddel in de verspreiding van veiligheidsmaatregelen.
Kadootjes doen het goed
Nederlanders zijn als geen ander volk spaarders van
zegeltjes, airmiles en freebees. Voor een klein
kadootje doen ze veel. Een ministerie wilde
stimuleren dat het overgrote deel van de
ambtenaren deel zou nemen aan een
bewustwordingsprogramma. Het bood aan alle
deelnemers een CD (in creditkaartformaat) aan met
gratis software voor thuisgebruik waaronder een
firewall, anti virus software en programma’s tegen
spam en ongewenste advertenties. Ook werd
software geleverd waarmee ouders hun kinderen
konden beschermen tegen bezoeken aan
ongewenste sites. Daarnaast werd een cursus veilig
PC-thuisgebruik op de CD aangeboden en bestond
de mogelijkheid een gekwalificeerde digitale
handtekening aan te vragen.
De deelname overtrof alle verwachtingen!
En de kosten? Die bedroegen € 3,00 per CD
1-dec-08, versie 0.6 pagina 16 van 36
Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een
medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de
veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een
sanctiemodel indien een medewerkers de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden
verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van
deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden
van deze maatregelen en weten elke mogelijke sancties staan op het niet opvolgen of naleven van deze
maatregelen.
Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van
beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht
gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm
van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden
aangeleerd.
Voor een deel van de medewerkers volstaat een
bewustwordingsprogramma niet. Medewerkers die specifieke of
specialistische kennis op het gebied van beveiliging nodig hebben
zullen veelal een externe opleiding volgen die in veel gevallen zal
lkeiden tot certificering. Op de Nederlandse markt zijn een groot
aantal aanbieders van internationaal erkende opleidingen actief
die leiden tot een eveneens internationaal bekende en erkende
titel.
Een goed bewustwordingsprogramma richt zich dus op alle
relevante psychologische componenten: kennis (d.m.v. interne of
externe opleidingen), houding (bewustzijn & competenties) en
gedrag (d.m.v. herhaalde oefening en training). Indien aan één
van deze drie componenten niet of onvoldoende aandacht wordt
besteed, functioneert een bewustwordingsprogramma niet naar
behoren en is het op termijn gedoemd te mislukken.
SE als nul-meeting
U wilt weten hoe het gesteld is met het naleven
van veiligheidsmaatregelen in uw organisatie?
Overweeg dan eens te starten met een security
audit die gebaseerd is op Social Engineering.
Hierbij proberen auditors door middel van list en
psychologische trucs om uw medewerkers (per
telefoon of op locatie) te verleiden af te wijken
van veiligheidsprocedures en vertrouwelijke
informatie te verstrekken, toegang te verlenen
tot locaties, netwerken en archieven.
En weet u al dat ongenode gasten mee kunnen
liften bij de toegang tot het pand? Deze auditors
tonen op deze manier aan tot welke
vertrouwelijke informatie of (proces)systemen
zij toegang kunnen krijgen.
1-dec-08, versie 0.6 pagina 17 van 36
4. De ontwerpfase
In de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en een
strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van een
bewustwordings- en trainingsprogramma:
1. de ontwerp het programma zelf,
2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken
3. de feitelijke implementatie van het programma
Daarna is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt
bewustwordings- en trainingsprogramma vergt de nodige inspanning voordat het daadwerkelijk de veiligheid en
de waakzaamheid vergroot binnen een organisatie.
Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het
ontwerp van een programma.
4.1. Inleiding
Een bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een open deur? Wellicht, maar een
bewustwordingsprogramma zal alleen voldoende aandacht krijgen als het in overeenstemming is met de missie,
de directe belangen of de veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en
passen binnen zijn cultuur. De meest succesvolle programma’s zijn die, waarbij gebruikers ervaren dat de
onderdelen bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook
nadrukkelijk onderkennen). Iets wat als wezensvreemd wordt ervaren zal nooit worden uitgevoerd!
In de ontwerpfase worden de te beveiligen belangen en
behoeften vastgesteld, de hiervoor relevante onderwerpen
en prioriteiten geïdentificeerd, en vervolgens zaken als
draagvlak, commitment en budget gezocht.
In onderstaande paragrafen worden de volgende
onderwerpen behandeld:
- De structuur van een bewustwordings- en
trainingsprogramma
- De behoeftebepaling
- Het opstellen van een plan
- Het stellen van prioriteiten
- Het reduceren van complexiteit
- De budgettering
- Commitment en draagvlak
4.2. Structureren van een programma
Bij het bepalen van de structuur van een programma kan
gebruik worden gemaakt van drie basismodellen die
voornamelijk verschillen in de wijze waarop centraal of
decentraal uitvoering wordt gegeven aan het programma.
Voor alle drie de modellen geldt dat het beleid zelf centraal
Gebruik eenvoudige maar
effectieve hulpmiddelen
Dwingt uw netwerk ook af dat er gebruik
wordt gemaakt van sterke, cryptische
wachtwoorden (3 van de 4 mogelijkheden van
grote en kleine letters, cijfers en leestekens)
om ontdekking te voorkomen? In veel gevallen
wordt het wachtwoord dan Piet2009. Het
voldoet aan de regels maar is het ook veilig
genoeg?
Op het internet zijn voldoende handleidingen
te vinden om veilige wachtwoorden te maken;
gebruik ze binnen uw bedrijf en ondersteun
veilige wachtwoorden m.b.v. een tool die de
kwaliteit weergeeft in kleuren of cijfers.
1VpK=/Zm
(Een veilig password kiezen is niet zo moeilijk)
1-dec-08, versie 0.6 pagina 18 van 36
is vastgesteld. De modellen zijn:
Model 1: Gecentraliseerde strategie en uitvoering;
Model 2: Gecentraliseerde strategie en decentrale uitvoering;
Model 3: Decentrale strategie en uitvoering
De keuze voor het model wordt bepaald door:
- De geografische spreiding van onderdelen van de organisatie
- De functie, taken en verantwoordelijkheden van een (deel)organisatie
- De toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten)
De keuze voor een bepaald model dient bij voorkeur te sporen met
hetgeen in de reguliere bedrijfsvoering van de organisatie gebruikelijk is.
Een geheel gedecentraliseerde uitvoering van bewustwording binnen
een voor het overige volledige centraal geleide organisatie of vice versa
zal weinig succesvol zijn. Dit is roeien tegen de stroom in.
4.3. Belangen- en behoeftebepaling
Aan de voet van de beveiligingstrategie ligt een goede risico-analyse.
Hierin worden de belangen en bedreigingen van de organisatie
geïdentificeerd. De NAVI-handreiking over risico-analyse kan hierbij
behulpzaam zijn.
Op basis van deze belangenanalyse dient vervolgens een
behoeftebepaling plaats te vinden. Dit is een proces waarin bepaald
wordt in welke mate een organisatie ook behoefte heeft aan een
bewustwordingsprogramma in het kader van zijn beveiliging. Hierin
wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld,
als ook wat voor overbrugging daarvan noodzakelijk is.
- Strategisch management;
- Management verantwoordelijk voor beveiliging (fysiek e/o IT)
- Beveiligingsfunctionarissen, zowel management als uitvoering
- Systeemeigenaren en administrators
- Operationele managers en uitvoerders.
Om de behoefte te kunnen bepalen kan gebruik worden gemaakt van
o.a. diverse technieken:
- Interviews met bovenstaande groepen
- Onderzoek naar bestaande bewustwordings- en
trainingsprogramma’s, trainingsschema’s en deelnemerslijsten
- Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en
-procedures,
- Incidentregistratie en de afhandeling
- Trends in vakbladen
- Wijziging in wet- en regelgeving
- Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op
beveiligingsgebied)
Bang voor illegale
USB-sticks?
Meer dan 50% van mensen die een
USB-stick vinden brengen hun
computer in gevaar door ze aan te
sluiten; misschien bent u wel 1 klik
verwijderd van een groot
netwerkprobleem. Is uw
organisatie of het netwerk niet
ingericht om niet door de
organisatie verstrekte USB-sticks
te weren, overweeg dan eens om
een test uit te voeren met een
zogenaamde honeystick. Hierbij
worden door de organisatie
geprepareerde USB-sticks
schijnbaar achteloos achtergelaten
binnen en/of buiten het bedrijf.
Zodra een USB-stick aangesloten
wordt op het bedrijfsnetwerk,
wordt automatisch een verbinding
tot stand gebracht met een
systeem dat de USB-stick en de
gebruiker registreert en de
gebruiker vervolgens op de hoogte
brengt van de overtreden
veiligheidsregel. Voor meer
informatie zie:
http://honeystickproject.com
1-dec-08, versie 0.6 pagina 19 van 36
- Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT
Meetbare gegeven zoals de registratie van incidenten en deelnemers aan trainingen geven een objectief inzicht in
de stand van zaken en de behoefte voor evaluatie van een bestaand programma.
Analyse van de resultaten van de interviews en
onderzoeken moet leiden tot beantwoording van de
volgende vragen:
- Wat is de behoefte aan een
bewustwordings- en trainingsprogramma of
opleiding?
- Op welke manier wordt op dit moment
voorzien in de behoefte en hoe effectief is
dit?
- Wat is het verschil tussen de behoefte en
wat momenteel wordt gerealiseerd (gap-
analyse)?
- Welke onderwerpen wordt als het meest
kritisch gezien?
- En langs welke weg kan de wenselijke
situatie het best worden bereikt?
In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er
gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten
de bedrijfscultuur een hinderpaal vormt, of waarin de capaciteit en kwaliteit van het IT-netwerk van de organisatie
een Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te
onderzoeken of een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken
naar een externe locatie, enzovoort.
4.4. Opstellen van een plan
Nadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke
bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat
de basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende
onderwerpen:
- De formele basis voor het programma met bestaande wet- en regelgeving, aangevuld met bedrijfseigen
beleid en richtlijnen;
- De aansturing van het programma en de inbedding in de managementlijn;
- De scope van het programma;
- De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de
ontwikkeling en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die
betrokken zijn bij de uitvoering van het programma;
- Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training,
opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten;
- Bepaling van de doelgroepen voor de onderdelen van het programma;
- Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname;
- Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma;
Medisch Centrum zet
bewakingspersoneel in
Bij het uitvoeren van een
bewustwordingsprogramma zag een Medisch
Centrum zich voor de uitdaging gesteld om ook de
avond- en nachtdienst van de verpleging te
bereiken. Het betreffende MC heeft daarvoor de
beveiligers opgeleid die tijdens hun rondes en de
pauzes van de verpleging op de afdelingen actuele
beveiligingsonderwerpen bespraken. Het resultaat
was een duidelijke stijging in het aantal meldingen
van verdachte situaties en een verlaging van het
aantal diefstallen.
1-dec-08, versie 0.6 pagina 20 van 36
- Wijze van communiceren (CBT, instructielokaal, presentatie,
posters, etc.);
- Documentatie, terugkoppeling en registratie van deelname;
- Wijze waarop de resultaten van het programma worden
verankerd in de reguliere bedrijfsvoering en hoe aan
onderhoud daarvan verder uitvoering kan worden gegeven;
- Hoe evaluatie van en nazorg vanuit het programma zal
plaatsvinden,
4.5. Stellen van prioriteiten
Als de strategie en het plan zijn opgesteld kan bepaald worden op
welke wijze de implementatie kan plaatsvinden. Bij een omvangrijk
programma kan dit in fasen gebeuren. Het is daarbij van belang zijn
om prioriteiten te stellen en om belangrijke en urgente zaken voorrang
te verlenen. De volgende overwegingen spelen daarbij een rol:
- De beschikbaarheid van materiaal en personen;
- De rol van de organisatie en de complexiteit (of eenvoud)
waarmee een programma kan worden gerealiseerd;
- De huidige stand van het niveau van bewustwording (grote
“gaten” eerst dichten);
- De vraag in hoeverre andere prioritaire projecten afhankelijk
zijn van het bewustwordingsprogramma?
In zijn algemeenheid geldt hier het volgende adagium. Hoe meer focus, hoe groter de kans op succes. Een vaak
voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te veel
zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei
cultuurprogramma’s die beogen ‘de’ bedrijfscultuur te veranderen. Te veel tegelijk willen vergroot de kans dat het
proces tussentijds ’krakend tot stilstand komt’, en men daardoor uiteindelijk minder bereikt dan met een duidelijke
focus wellicht wel het geval zou zijn geweest.
4.6. Mate van complexiteit
Een tweede succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de
complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het
programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk:
- de functie van de cursist en daarmee het opleidingsniveau
- de benodigde kennis en vaardigheden die voor die functie nodig zijn
Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de
over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het
management maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over
het beleid en de veiligheidsregels. Indien een bewustwordingsprogramma enige tijd is uitgevoerd kan
differentiatie worden aangebracht in de doelgroepen en kan de complexiteit van de informatie worden aangepast
aan het niveau en de functie van de deelnemers.
Het poldermodel in
security
Veiligheidsregel van bedrijven
worden soms onbewust maar ook
regelmatig bewust overtreden. In
tegenstelling tot andere landen
zijn Nederlanders over het
algemeen geneigd om hun eigen
mening omtrent security ook toe
te passen in de bedrijfsomgeving.
Regels waarvan nut en noodzaak
niet bekend zijn of niet
onderschreven wordt, worden dan
bewust niet opgevolgd. Bij het
opzetten van een programma moet
daarom niet alleen op de focus op
de inhoud liggen, maar ook op de
noodzaak van opvolgen van
veiligheidsregels.
1-dec-08, versie 0.6 pagina 21 van 36
4.7. Budgettering
Nadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget
worden bepaald.
Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die betrekking
hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de kosten die
gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies aan
productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn:
- Een zeker percentage van het gehele opleidings- en trainingsbudget
- Budget per medewerker, afhankelijk van zijn rol,
- Een percentage van het IT Budget (let op: Niet alle
beveiliging is IT-gerelateerd)
- Expliciete berekening van het gehele programma.
Er zijn problemen te verwachten in het realiseren van
beveiligingsbewustzijn indien de budgetten lager uitvallen dan
benodigd. Het is de expliciete verantwoordelijkheid van het
management om voldoende budget beschikbaar te stellen. Het
hanteren van het stappenplan en accorderen van het resultaat van
iedere stap (strategie, behoefte, plan) door het management, biedt de
grootste mate van zekerheid om het benodigde budget vrij te maken.
Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de
doelen (behoefte) bij te stellen, een fasering aan te brengen of
budgetten te herverdelen. Ook kan er uiteraard gelobbyd worden voor
meer budget.
4.8. Commitment en draagvlak
Een programma dat niet wordt gedragen, en dan met name door het
management, is gedoemd te mislukken. Het (top)management zal
actief en frequent zijn commitment moeten uitspreken door aanwezig
te zijn op belangrijke momenten in het programma zoals de start van
het programma, de openstelling van een website, de eerste
presentatie etc. Alleen dan zal het draagvlak creëren bij de
medewerkers.
Commitment van de
leiding, maar hoe?
De “baas” moet uitstralen dat hij
het bewustwordingsprogramma
belangrijk vindt en moet het dus
ook uitdragen. Een aantal
voorbeelden hoe dat gerealiseerd
kan worden:
- Laat de baas de opening doen,
kleed dat feestelijk aan en zorg
voor een prominente spreker;
- Plaats een interview met de baas
over zijn beleving van veiligheid
en werkbaarheid;
- Laat de baas prijzen uitreiken
aan de winnaars van een
veiligheidsprijsvraag en plaats
daar een artikel over.
- De baas onderwerpt zich
(uiteraard) ook aan de regels.
1-dec-08, versie 0.6 pagina 22 van 36
1-dec-08, versie 0.6 pagina 23 van 36
5. De ontwikkeling van materiaal
Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een
bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal,
afgestemd op de mogelijkheden, budget en beschikbare kennis. In dit hoofdstuk worden diverse soorten
materiaal besproken zoals web-based training, video, workshops, etc.
5.1. Inleiding
Nadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij
de ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden:
- Welk gedrag willen we versterken en
- Welke vaardigheden willen we aanleren en toe laten passen
Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en
horen in hun dagelijkse werk te implementeren, als zij het gevoel hebben dat
het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten bij de
belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit
houdt in dat materiaal ontwikkeld moet worden dat voor iedere medewerker
toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op een
specifieke doelgroep.
Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past
het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de
doelgroepmedewerkers daarbij indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat veel
mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat
allerlei ‘aanvullende’ zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag.
5.2. Ontwikkelen van bewustwordingsmateriaal
Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld
moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie
beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten,
vakbladen en nieuwsbrieven van diverse beveiligingsorganisaties en instellingen. Hierover in de volgende
paragrafen meer.
5.3. Selecteren van onderwerpen voor bewustwording
Een groot aantal onderwerpen kunnen in een bewustwordingsprogramma worden behandeld. Zonder uitputtend
te zijn volgt hier een overzicht met mogelijke onderwerpen:
- Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van
verandering, geheimhouding, hoe om te gaan bij meerdere systemen;
- Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat
doet die kwaadaardige software en hoe blijft mijn virusscanner up-to-date. Leg hierbij ook de relatie naar
het thuisgebruik;
- Beleid; implementatie in projecten en compliancy;
1-dec-08, versie 0.6 pagina 24 van 36
- Onbekende e-mails en/of bijlagen;
- Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van
gebruikershandelingen;
- Hoe om te gaan met SPAM berichten;
- Opslag van gegevens en de wijze van backup door de organisatie;
- Social Enginering; misbruik van vertrouwen van medewerkers door kwaadwillenden;
- Incidenten; wat te doen, bij wie te melden;
- Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”;
- Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water,
stof, vuur, tijdelijk uitgeschakelde toegangscontrole, etc.)
- Risico’s tijdens verhuizingen;
- Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen;
- Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.);
- Gebruik van vercijfering van gegevens tijdens transport en opslag;
- Laptops tijden reizen; risico’s van diefstal van apparatuur en gegevens;
- Installeren van updates;
- Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers
- Toegang tot bedrijfssystemen;
- Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie;
- Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie;
- Desktop beveiliging; screensavers, clear desk en clear screen
- Geheimhouding van vertrouwelijke informatie
- Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik.
5.4. Bronnen voor materiaal
Het aantal en de verscheidenheid van bronnen die materiaal kunnen
leveren voor een bewustwordingsprogramma is groot. Veel van dit
materiaal is beschikbaar op het Internet als openbare bron. In een
aantal gevallen zal het zelfs mogelijk zijn om te beschikken over
complete bewustwordingsprogramma’s. Daarbij is echter een
kanttekening op zijn plaats: Het programma is ontwikkeld met andere
uitgangspunten. Kopieer daarom niet klakkeloos maar selecteer die
onderwerpen die ook in het eigen proces geïdentificeerd zijn en pas ze
aan de eigen behoefte aan.
Enkele voorbeelden van bronnen van materiaal:
- Handleidingen voor zakelijk en privé gebruik van Internet en e-
mail zoals die in nieuwsgroepen beschikbaar zijn;
- Nieuwsbrieven van security organisaties en magazines;
o http://www.schneier.com/crypto-gram.html .A free
monthly newsletter providing summaries, analyses,
insights, and commentaries on security: computer and
otherwise.
o http://www.biometrics.org/
- Whitepapers en ander materiaal dat op websites beschikbaar
GOVCERT; de
waarschuwingsdienst
GOVCERT, de organisatie die
namens de overheid de
bedreigingen op het Internet
bewaakt, biedt de mogelijkheid
om per sms gewaarschuwd te
worden indien b.v. ernstige
kwetsbaarheden in software
ontdekt worden of er een
virusuitbraak dreigt. De dienst is
gratis en kan zowel uw
medewerkers als uw kinderen
meer bewust maken van de
bedreigingen op het Internet.
www.waarschuwingsdienst.nl
1-dec-08, versie 0.6 pagina 25 van 36
wordt gesteld door organisatie van vakgenoten (voor leden en/of niet-leden);
o http://www.pvib.nl/ van het Platform voor InformatieBeveiliging.
- Websites met online nieuwsberichten;
o http://www.security.nl
- Materiaal van conferenties, seminars en cursussen;
- Professionele organisaties die bewustwordingsprogramma’s ontwikkelen.
5.5. Uitbesteden of zelf doen?
Het ontwikkelen van een bewustwordingsprogramma kost veel
tijd, energie en geld. Op enig moment zal de vraag gesteld
worden of we het allemaal zelf wel kunnen en willen.
Onderstaande overwegingen kunnen gebruikt worden rond de
besluitvorming:
- Heeft de organisatie zelf de kennis en capaciteit
beschikbaar? Hebben deze mensen de juiste
vaardigheden en ervaring? Zijn de mensen voor deze
opdracht beschikbaar?
- Is het meer kosten effectief om het programma zelf op te
zetten of uit te besteden?
- Zijn er budgetten beschikbaar?
- Is de organisatie in staat om eenmaal aangeleverde
programma’s zelf te onderhouden?
- Staat de gevoeligheid van de inhoud van het
programma uitbesteding wel toe?
- Past uitbesteding in het beoogde tijdsplan?
- Behoud van benodigde kennis.
5.6. Partnerschap
Waarom zelf ontwikkelen als anderen u al voor gegaan zijn. Het ontwikkelen van een programma kan gebaat zijn
bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan
worden uitgewisseld maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet
alleen de kosten maar bevorderd ook het uitwisselen van creatieve ideeën.
5.7. Informatie-uitwisseling via de website van het NAVI
De website van het NAVI biedt een beveiligde mogelijkheid voor het uitwisselen van vertrouwelijke informatie
door o.a. gebruik te maken van een geregistreerde en geautoriseerde gebruikers, fora en vercijferde toegang. Via
deze website kunt u veilig informatie uitwisselen en delen met door u zelf bepaalde organisaties en personen.
Voor meer informatie verwijs ik u naar http://www.navi-online.nl/.
5.8. De vorm
Er bestaat een groot scala aan technieken en vormen om de boodschap uit te dragen. De keuze, of combinatie
van keuzes, hangt af van het type boodschap, de organisatie en zijn cultuur, en de complexiteit van de
boodschap. Bij de start van een bewustwordingsprogramma is het van belang de focus te leggen op de meest
1-dec-08, versie 0.6 pagina 26 van 36
belangrijke risico’s die een organisatie loopt en zich te richten tot alle
medewerkers. Een overdosis aan onderwerpen, de wijze waarop het
programma gecommuniceerd wordt of te grote differentiatie naar type
medewerkers, zal afleiden van de essentie van het programma. Nadat
initieel een bewustwordingsprogramma gehouden is voor alle
medewerkers met de meest prangende onderwerpen, kan differentiatie
plaatsvinden naar medewerkers (uitvoerders, staf, midden en
strategisch management), de wijze waarop de onderwerpen
gecommuniceerd worden (webgebaseerde training, presentaties,
nieuwsbrieven). Onderstaand overzicht kan een hulpmiddel zijn bij de
keuze van de wijze waarop de onderwerpen gecommuniceerd kunnen
worden:
- Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen,
post-it briefjes, sleutelhangers, keycords, klokken;
- Posters met informatie over wat te doen of juist niet te doen;
- Screensavers met wisselende teksten;
- Nieuwsbrieven;
- E-mail berichten;
- Videoberichten;
- Webgebaseerde informatie of trainingen;
- Presentaties door een instructeur;
- Security dagen;
- Security tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een
bevestiging weer verdwijnen)
- Kruiswoordpuzzels
- Prijsvragen
In alle gevallen is het van belang om de boodschap op meerdere manier over te brengen. Dit versterkt de kracht
van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord
behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt.
Snelle reactie op
verloren USB-stick
Het ministerie van Defensie kwam
enige tijd geleden in het nieuws
door het verlies van een USB-stick
met zeer gevoelige informatie. Het
ministerie reageerde daarop direct
door extra aandacht te vragen voor
dit onderwerp in bestaande
bewustwordingsprogramma’s.
1-dec-08, versie 0.6 pagina 27 van 36
6. De implementatiefase
Na de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een
bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de rol van communicatie bij de
implementatie het programma.
6.1. Wijze van communiceren
Het bewustwordingsprogramma moet binnen de
organisatie uitgelegd en gecommuniceerd worden.
Het doel is begrip en ondersteuning te realiseren voor
de uitvoering van het programma en de bijdrage die
van de medewerkers verwacht wordt. De
communicatie zal moeten verduidelijken wat de
verwachtingen van het management zijn en de te
verwachten resultaten voor de organisatie. De wijze
waarop het project bekostigd wordt (centraal budget
of doorbelasting) moet voor het managent duidelijk
zijn. Verder is het van belang dat iedereen in de
organisatie die betrokken is bij het programma, zijn
eigen taken en verantwoordelijkheden kent, maar ook
die van de andere deelnemers. Als aanvulling hierop
moeten ook tijdschema’s en beoogde resultaten (in
aantal deelname en percentage geslaagden per
onderdeel) gecommuniceerd worden.
In paragraaf 4.2 wordt een aantal basismodellen
besproken voor het bepalen van de structuur van een
programma. De basismodellen verschillen
voornamelijk in de wijze waarop centraal of decentraal
uitvoering wordt gegeven aan het programma. Het
spreekt voor zich dat de wijze waarop de
communicatie moet worden ingericht (centraal of
decentraal) moet aansluiten bij de keuze die in paragraaf 4.2 gemaakt is.
6.2. Technieken om de “boodschap” over te brengen
In hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden
overgebracht. In deze paragraaf worden in aanvulling hierop verschillende technieken besproken.
De techniek die gebruikt gaat worden om de boodschap naar de medewerker te brengen moet voldoen aan een
aantal criteria:
- Eenvoud in gebruik; gebruiks- en onderhoudsvriendelijk (updates);
- Schaalbaarheid; verschillende kennisniveaus van de gebruikers, grootte van de deelnemersgroepen en
verschillende locaties (klaslokaal en auditorium);
Veiligheidsregels worden pas
opgevolgd indien een medewerker
het in zijn portemonnee voelt
Veiligheidsregels zijn lastig en worden niet altijd
begrepen. De naleving van de veiligheidsregels heeft
voor de medewerker vaak geen consequenties
waardoor het hem aan motivatie ontbreekt. Bij het
opzetten van een bewustwordingsprogramma moet
met top- en middenmanagement, personeelsafdeling
en eventueel de ondernemeningsraad worden
afgesproken op welke wijze naleving van
veiligheidsregels onderdeel worden van het
beoordelingssysteem en welke correctieve
maatregelen gebruikt kunnen worden. Dit kan
bijvoorbeeld door privileges op te schorten of
daadwerkelijk strafmaatregelen te nemen (b.v. korting
op een bonus).
Voorwaarde is een gedegen onderzoek bij een
geconstateerd veiligheidsincident met hoor en
wederhoor en schriftelijke vastlegging.
1-dec-08, versie 0.6 pagina 28 van 36
- Vastleggen van meetgegevens; aantal
deelnemers, scores, tijdsbesteding,
correlaties tussen deelnemersgroepen en
resultaten;
- Beschikbaarheid op de markt; aantal
potentiële leveranciers
De meest gebruikelijke technieken zijn:
- Interactieve Video Training (IVT) dat gebruikt
kan worden voor leren en trainen op afstand
en maakt gebruik van technologie die twee
richtingverkeer voor interactieve audio en
video mogelijk maakt. De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan
niet-interactieve vormen.
- Web gebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo
deelnemen aan het programma. Er kunnen test- en meetmomenten ingebouwd worden en de resultaten
kunnen worden teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het
programma herhaald worden. De techniek van de web gebaseerde training is sterk in ontwikkeling. Het
is zelfs mogelijk dat instructeur en deelnemers (of deelnemers onderling) interactief met elkaar kunnen
communiceren;
- Niet- Web gebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal door
deze beschikbaar te stellen op intranet website voor download. Het programma wordt dan door iedere
deelnemer vanaf zijn eigen werkstation gevolg, zonder interactie met een instructeur of andere
deelnemers;
- On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de
begeleiding van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of
auditorium, een trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van
kennisoverdracht. In grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle
medewerkers ook deel kunnen nemen en kan geografische spreiding van medewerkers leiden tot lange
reistijden of instructie op meerdere locaties.
De meest krachtige vorm bij kennisoverdracht is het
gebruik van meerdere technieken. Zo kan een instructeur
eerst vertellen (presenteren) over een bepaald onderwerp
waarna een videopresentatie gestart wordt ter
ondersteuning van het onderwerp. In een later stadium kan
een deelnemer via een interactieve trainingg meer kennis
en vaardigheid opdoen vanaf zijn eigen werkplek.
Praatje, plaatje, daadje
Hoe blijft de boodschap het beste “hangen”?
De volgende wijsheid kan daarbij helpen:
“Vertel het me en ik zal het vergeten.
Laat het me zien en ik zal het onthouden.
Laat het me doen en ik zal het Begrijpen.”
1-dec-08, versie 0.6 pagina 29 van 36
7. De evaluatie- en onderhoudsfase
Na de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke
uitvoering van het bewustwordingsprogramma volgt de “laatste” fase in een bewustwordingsprogramma. Dit
hoofdstuk beschrijft deze “laatste” stap: de evaluatie- en onderhoudsfase van het programma. Deze fase
beoordeelt of het effect van het programma in overeenstemming is met het gedefinieerde ontwerp, en het
resultaat voldoet. Deze fase maakt van het gehele proces van de ontwikkeling van een
bewustwordingsprogramma een cyclisch en zich herhalend proces.
7.1. Meten van de deelname en de effectiviteit
Gedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden
over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om
informatie te verstrekken over:
• cursus- en opleidingsdata,
• inhoud van de opleiding
• deelname, zowel totalen als percentages per organisatieonderdeel
• waarderingen uit de evaluatieformulieren van de deelnemers
De meetgegevens kunnen gebruikt worden voor
rapportages aan het management over de mate van
compliance, de kwaliteit en volwassenheid van het
opleidings- en trainingsprogramma, de bereidheid
van afdelingen om deelnemers af te vaardigen en
kwaliteitsverbetering. De deelnamegegevens geven
een rechtvaardiging van beschikbaar gesteld budget
en geven in detail aan of medewerkers hebben
deelgenomen aan het programma. Hieruit kunnen
voor zowel de medewerkers als voor
afdelingsmanagement consequenties volgen.
Medewerkers die deelgenomen hebben aan een
dergelijk programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties. Is deelname aan een
bewustwordingsprogramma een functie-eis, dan kan het niet deelnemen of niet slagen consequenties hebben
voor de uitoefening van de betreffende functie. De organisatie loopt in dat geval een te groot risico loopt op
schade door onachtzaam foutief handelen van personeel dat geen training heeft gevolgd.
De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve actiefsmoeten
worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan het
verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden
opgedragen, er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt
aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak
om de correcties en aanpassingen uit te werken en te implementeren
1-dec-08, versie 0.6 pagina 30 van 36
7.2. Evaluatie en feedback
Formele evaluatie en feedback is een kritische component van een bewustwordingsprogramma. Voortdurende
verbetering kan niet plaatsvinden als het ontbreekt aan een goed gevoel hoe een programma werkt. Vanaf de
start van de ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te
tekenen, moet dus nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden
vastgesteld.
Er zijn een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te
stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van
kwaliteit, scope, gebruikte methoden (o.a. Interactieve Video trainging, web gebaseerd), moeilijkheidsgraad,
eenvoud van gebruik, duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en
suggestie voor verbetering.
De meest gangbare methoden voor evaluatie en feedback zijn:
- Evaluatieformulier; gebruik daarbij zo veel mogelijk
voorbedrukte teksten en normeringen zodat er weinig
geschreven hoeft te worden om een waardering aan te
geven;
- Open forum discussie waar bovenstaande onderwerpen
besproken kunnen worden. Deze vorm van evaluatie biedt
de beste mogelijkheid op nieuwe ideeën en inzichten ter
verbetering van het programma.
- Selectieve interviews met deelnemers waarop in een 1-op-
1 gesprek de onderwerpen van de evaluatie besproken
worden. De selectie van deze groep moet echter objectief
blijven om de uitkomst niet te beïnvloeden. Men moet er echter ook rekening mee houden dat
deelnemers, om diverse redenen, niet altijd hun mening aan (vertegenwoordigers van) het management
van de organisatie willen vertellen. In deze vorm van evaluatie wordt medewerkers wel de mogelijkheid
geboden om hun mening te geven zonder dat zij zich in een groep daarvoor moeten verantwoorden.
- Onafhankelijk observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel;
- Formele statusrapporten door managers van deelnemers.
- Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere,
soortgelijke organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties
die de beschikking hebben over uitgebreide gegevens van resultaten van bedrijven over een langere
periode.
7.3. Veranderingen doorvoeren
Het is noodzakelijk om maatregelen ter verbetering van een programma te nemen omdat er nieuwe technieken in
gebruik genomen worden (ieder weer met andere en nieuwe risico’s), en het kennisniveau en gedrag van de
medewerkers verandert. Noodzakelijke wijzigingen kunnen ook veroorzaakt worden omdat een organisatie zijn
missie of doelstelling bijstelt of inzichten wijzigen hoe de doelstellingen van het programma gehaald kunnen
worden. Belangrijke landelijke of internationale ontwikkelen, of de komst van nieuwe wetgeving kunnen ook hun
invloed hebben op een programma.
Not My Problem
Niet dat beveiliging niet als een
probleem wordt gezien, alleen niet dat
van mij. En vraag me niet van wie wel,
want dat weet ik niet precies.
Van medewerker tot directielid is dit
een veel gehoorde reactie: NMP.
Bron: Lezing van het Platform voor
Informatiebeveiliging
1-dec-08, versie 0.6 pagina 31 van 36
7.4. Verhogen van het niveau
Zoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op
de meest cruciale securiy aspecten en zich moeten richten op iedere medewerker, dus van (top)management tot
de medewerker op de werkvloer. Nadat het beoogde niveau gehaald is, zal de volgende stap gezet moeten
worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op te zetten
voor alle medewerkers, maar ook door differentiatie aan te
brengen naar type medewerker, zijn niveau, zijn taken en
verantwoordelijkheden. In dit laatste geval wordt er differentiatie
aangebracht naar doelgroepen, die ieder hun niveau toegesneden
programma gaan volgen. Op deze wijze zal het programma
groeien in volwassenheid. Het verdient aanbeveling om het
verhogen van het niveau in het ontwerp van het programma mee
te nemen en te baseren op meetbare gegevens. Een norm voor
het verhogen van het niveau zou in dat geval een deelname van
ten minste 85% en een slagingspercentage van 90% kunnen zijn.
Tijdens het uitvoeren van een programma verdient het
aanbeveling om voortdurend de ontwikkelingen op de mark van
bedreigingen, technologie, good practices en benchmarking bij te
houden waardoor mogelijkheden ontstaan om proactief de
kwaliteit en/of effectiviteit van het programma te verbeteren.
7.5. Succes indicatoren
CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente
verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het
programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat “de keten zo sterk is als de
zwakste schakel”. Beveiliging van een organisatie is een teaminspanning.
Onderstaand is een list opgenomen van indicatoren om
een inschatting te maken van de ondersteuning en de
acceptatie (commitment) van een programma.
- Is er voldoende budget beschikbaar gesteld om
de geaccordeerde doelstellingen te halen;
- Is de organisatie rond het programma ingericht
met medewerkers van voldoende kwaliteit;
- Is het programma een regelmatig terugkerend
onderwerp op de agenda van het management;
- neemt het management deel aan de training;
- het percentage deelname;
- het gemotiveerd uitdragen van (de
doelstellingen van) het programma door het
verantwoordelijke management.
- Is er brede ondersteuning voor de distributie van
materiaal;
Commitment van de leiding
Bij een ministerie was de draagplicht van de
personeelspas reeds lange tijd ingevoerd maar
werd de maatregel niet altijd consequent
uitgevoerd. Als onderdeel van een
bewustwordingsprogramma werd extra aandacht
aan de noodzaak voor deze maatregel besteed en
werd de uitvoering van strenger gecontroleerd.
Personeel dat de pas niet bij zich had werd de
toegang tot de kantine ontzegd en personeel dat
de pas niet zichtbaar droeg werd gecorrigeerd. De
meeste indruk maakte echter een van de
topfunctionarissen die collega’s direct aansprak
en hen corrigeerde.
1-dec-08, versie 0.6 pagina 32 van 36
1-dec-08, versie 0.6 pagina 33 van 36
8. Bijlage 1: Voorbeelden
8.1. Bewustwordingsprogramma gericht op Social Engineering
Onderstaand voorbeeld is afkomstig uit een bewustwordingsprogramma van een ICT dienstverlener waar uit
onderzoek is gebleken dat regelmatig vertrouwelijke informatie werd opgevraagd door onbekende personen die
zich voordeden als collega. Het ging daarbij vaak om tarieven van consultants, informatie over lopende offertes,
details over klanten of opdrachtgevers en onderwerpen waarop business development plaatsvond. Het
bewustwordingsprogramma richt zich op Social Engineering (het d.m.v. list, en psychologische trucs inwinnen van
vertrouwelijke informatie) en behandelt in acht afleveringen de psychologische achtergrond van een bepaalde
truc. De onderwerpen zijn als onderdeel van een bredere bewustwordingscampagne in een maandelijkse
nieuwsbrief opgenomen. Deze nieuwsbrief was wederom onderdeel van een breed pakket aan producten rond
bewustwording.
Deel 5: Social Engineering en psychologie; het aspect autoriteit Voorwoord In mijn rol als security consultant heb ik de laatste jaren een aantal security audits uitgevoerd in de vorm van zgn.
Social Engineering Assessment, zowel binnen de publieke als private sector. Social Engineering kan omschreven
worden als het verkrijgen van toegang tot vertrouwelijke informatie door middel van list, bedrog en
psychologische trucs.
De resultaten van de security audits die ik heb uitgevoerd verbaasden me in hoge mate; van username/password
van kritische of vertrouwelijke systemen of applicaties, vriendelijke portiers die me toegang verleenden tot hoog
beveiligde delen van het gebouw, toegang tot opiaten (geneesmiddelen) en criminele en juridische informatie
over personen. In het merendeel van de gevallen was het enige dat ik hoefde te doen: Er (brutaal) om vragen!
Het meest extreme resultaat was het in ontvangst mogen nemen van vijf handvuurwapens, simpel op basis van
één telefoontje en een goed verhaal.
Ik ben er steeds meer van overtuigd geraakt dat de beveiliging niet zit in de Firewall, SafeWord tokens en andere
technische beveiligingsmaatregelen maar in de mens zelf.
Dit document is bedoeld als bijdrage aan het bestaande bewustwordingsprogramma en is tot stand gekomen in
samenwerking met de Corporate Security Officer en Corporate Information Management.
Inleiding
Waarom en hoe kan het menselijke gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om
vertrouwelijke informatie te verstrekken, wordt ingewilligd. In een serie van acht afleveringen ga ik in op het hoe
en waarom van menselijk gedrag en hoe daar misbruik van gemaakt kan worden door profiteurs. Met de kennis
kun je herkennen wanneer iemand jou probeert te beïnvloeden; zowel privé als zakelijk. Maar je kunt de kennis
uit deze serie ook gebruiken in je zakelijke of privé-sfeer om iets van een ander gedaan te krijgen.
Eigen ervaringen Bij een ministerie was de beveiliging van de kantoren van de minister en zijn directe staf sterk verbeterd. De
Plaatsvervangend Secretaris Generaal had mij de opdracht verstrekt om deze beveiliging te testen.
Ik kwam (gekleed in driedelig kostuum) hard aangelopen bij de bewaking van de achteringang en parkeerplaats
van de auto’s van de hogere ambtenaren. Hijgend zei ik tegen de portier dat ik zojuist bij het verlaten van het
complex mijn elektronische toegangspas was vergeten en vroeg hem of ik het pasje even mocht ophalen. Hij
aarzelde. Ik zei dat de Plaatsvervangend SG (ik noemde de voor en achternaam) twee straten verder ongeduldig
stond te wachten; er was haast bij en ik moest snel mijn pas hebben. De poort ging open en ik rende snel naar
een toegangdeur. Binnen in het gebouw pakte ik twee lege dozen en deed daar mijn colbertje en vestje in en liep
daarmee naar de toegang van het compartiment van de minister. Ik sloot achter een man aan die ook in dezelfde
richting liep. Toen hij zijn pas aanbood en het poortje open ging begon ik hoorbaar te mopperen dat ik mijn pas op
1-dec-08, versie 0.6 pagina 34 van 36
mijn kantoor vergeten was. Hij was erg vriendelijk en opende het poortje
voor me (er was geen anti-pass-back). Mijn visitekaartje heb ik op het
toetsenbord van mijn opdrachtgever geplaatst ten teken dat de opdracht
was uitgevoerd.
Door te benoemen dat ik in opdracht van een bekende autoriteit
handelde, voldeed de bewaker aan mijn verzoek en werd ik toegelaten
tot het complex.
Autoriteit Uit onderzoek is vastgesteld dat elk mens nagenoeg ieder opdracht
uitvoert als een autoriteit dit van hem verlangt. Vanaf de geboorte wordt
ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het
gehoorzamen aan autoriteiten levert ons ook voordelen op. Doordat zij
zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te
gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd
iets oplevert, bestaat de kans dat we er een automatisme van maken.
Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met
de symbolen die we met hen verbinden, zoals titels, kleding en
bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen. Mensen
willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen
kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen.
Verdediging Vaak zijn we niet voorzichtig genoeg wanneer ons om volgzaamheid verzocht wordt. Door constant waakzaam te
blijven tegenover zogenaamde autoriteiten kunnen we achteraf minder snel voor verrassingen komen te staan.
Wanneer we ons bovendien nog eens extra bewust worden van het feit dat gezagssymbolen eenvoudig kunnen
worden nagemaakt, zullen we ook waakzamer zijn wanneer autoriteiten ons willen beïnvloeden. De enige
kanttekening is echter dat we liever niet tegen het gezag ingaan. Meestal is het immers juist om autoriteiten te
gehoorzamen. Je kunt het beste leren ontdekken wanneer je de richtlijnen van autoriteiten wel, en wanneer je
deze niet zou moeten opvolgen. Deze twijfel kunnen we door middel van twee vragen wegnemen:
1. Is de autoriteit daadwerkelijk deskundig?
2. Is deze autoriteit ook betrouwbaar?
8.2. Enkele voorbeelden van posters
Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet
beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren.
1-dec-08, versie 0.6 pagina 35 van 36
9. Bijlage 2; Literatuuroverzicht
Building an Information Technology Security Awareness and Training Program van het NIST (National
Institute of Standards and Technology)
Information Technology Security Training Requirements van het NIST (National Institute of Standards and
Technology)
Bruce Schneier, Beyond Fear:
K.D. Mitnick, The art of deception; the human factor in Information Security
Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion
Y. Lafrance, Psychology: A precious security tool
Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD
Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007
Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI
waarin een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische
(digitale) en organisatorische beveiligingsmaatregelen wordt vastgelegd
1-dec-08, versie 0.6 pagina 36 van 36
December 2008werkdocument
Copyright© Nationaal Adviescentrum Vitale Infrastructuur (NAVI)Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder vooraf-gaande schriftelijke toestemming van het NAVI niet toegestaan. Rechten en vrijwaringHet NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan.
Het NAVI verleent u hierbij toestemming dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:het NAVI wordt als bron vermeld;het document en de inhoud mogen commercieel niet geëxploiteerd worden;publicaties of informatie waarvan de intellectuele eigendomsrechten niet berusten bij het NAVI blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s);ieder kopie van dit document of een gedeelte daarvan dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.