Handreiking

Communicatieplan informatiebeveiliging

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

2

ColofonNaam document Handreiking communicatieplan informatiebeveiliging

Versienummer 2.01

Versiedatum Februari 2020

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaringDe IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig

3

gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aanDe expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie

Versie Datum Wijziging / Actie1.0 Maart 20151.0.1 Augustus 2016 Tasforce IBD verwijderd, WBP vervangen door Wbp, GBA

vervangen door BRP2.0 Februari 2019 BIO Update2.01 Februari 2020 Kleine tekstuele aanpassingen

Over de IBDDe IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

LeeswijzerDit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

DoelHet doel van dit document is om gemeenten een handreiking te bieden om hun informatiebeveiliging naar een hoger niveau te brengen door de inzet van bewustwording en de daarbij horende communicatie(middelen).

DoelgroepDit document is van belang voor de (Chief) Information Security Officer (CISO) en het management van de gemeente.

4

5

Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente

Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO):6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging6.1.3 Contact met overheidsorganisaties7.2.1 Directieverantwoordelijkheden7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging16.1.1 Verantwoordelijkheden en procedures16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen16.1.2.3 Alle medewerkers en contractanten hebben aantoonbaar kennis genomen van de

meldingsprocedure van incidenten16.1.2.5 De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten16.1.5 Respons op informatiebeveiligingsincidenten17.1.2 Informatiebeveiligingscontinuïteit implementeren

Wat is er veranderd ten opzichte van de BIG? Er is weinig veranderd ten opzichte van de BIG, in de maatregelen en controls is er een kleine nuance.

6

Inhoudsopgave

1. Inleiding.......................................................................................................................61.1. Raakvlakken....................................................................................................................... 61.2. Aanwijzing voor gebruik.....................................................................................................6

2. Informatiebeveiligingsbewustzijn.................................................................................82.1. Meten van informatiebeveiligingsbewustzijn..................................................................112.2. Informatiebeveiligingsbewustzijn bij uitbesteding...........................................................12

Bijlage 1 Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente>...13

Bijlage 2: Voorbeeld enquête informatiebeveiliging........................................................28

Bijlage 3: Definities.........................................................................................................35

Bijlage 4: Literatuur/bronnen..........................................................................................37

7

1. InleidingGemeenten dienen continue aandacht te besteden aan kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging zodat de bewustwording van medewerkers verder wordt verhoogd met als resultaat een gedrag dat het gewenste niveau van informatiebeveiliging borgt en de kans op incidenten verminderd. Dit kan worden gestimuleerd door de inzet van specifieke communicatiemiddelen die qua vorm en inhoud maximaal aan deze doelstelling bijdragen.

Het is hierbij van belang dat gemeenten de samenwerking blijven zoeken met de Vereniging van Nederlandse Gemeenten (VNG) (op bestuurlijk niveau),de Informatiebeveiligingsdienst voor gemeenten (IBD) (op tactisch en operationeel niveau) en met overige overheids- en ketenpartners die zich vanuit het onderwerp informatieveiligheid op de gemeentelijke overheidslaag richten.

Naast deze externe gerichtheid, dient het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne ook een interne gerichtheid te adresseren. Dit communicatieplan informatiebeveiliging gemeenten dient de detailuitwerking van de gemeentelijke uitgangspunten met betrekking tot de communicatie over informatiebeveiliging te omvatten.

In het kader van een eenduidige boodschap, gerichtheid in de communicatie en om verwarring te voorkomen is het van belang de communicatie over informatiebeveiliging binnen de gemeente goed te organiseren en de verantwoordelijkheden op het juiste niveau te beleggen. Dit zodat deze elkaar versterken en niet verzwakken. Beleg de verantwoordelijkheid met betrekking tot het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne bij de afdeling die verantwoordelijk is voor de coördinatie van het algemene gemeentelijk communicatiebeleid en het bewaken van de samenhang en de kwaliteit van verschillende communicatieplannen. De afdeling Personeelszaken ondersteund management bij het functioneren van het personeel, inclusief bewustwording en gedrag.

1.1. RaakvlakkenOverige raakvlakken die het communicatieplan informatiebeveiliging en bewustwording met de BIO hebben zijn:

Voorbeeld Informatiebeveiligingsbeleid van de gemeente Voorbeeld Incident management en Responsbeleid Bedrijfscontinuïteitsplannen (BCP) / Disaster Recovery Plan (DRP) Handreiking personeelsbeleid gemeente Gedragsregels gebruiker

1.2. Aanwijzing voor gebruikDeze handreiking is geschreven om aandachtspunten met betrekking tot communicatie en bewustwording op het gebied van informatiebeveiliging aan te reiken, zodat invulling gegeven kan worden aan de gemeentelijke informatiebeveiligingsbeleidsregels. Deze handreiking is geen volledige procesbeschrijving en bevat geen compleet uitgewerkt communicatieplan informatiebeveiliging en bewustwordingsprogramma. Echter het bevat wel voldoende informatie en handvatten om goede (beleids)keuzes te maken met betrekking tot het opstellen en uitvoeren hiervan.

8

De gemeentelijke informatiebeveiligingsbeleidsregels met betrekking tot bewustwording en gedrag zijn onder andere:1

De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen. De clusterdirectie stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn).

Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden.

De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording rondom informatiebeveiliging.

Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract.

In werkoverleggen wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover relevant worden hierover afspraken vastgelegd in planningsgesprekken.

1 Zie ook het ‘Voorbeeld Informatiebeveiligingsbeleid gemeenten’

9

2. InformatiebeveiligingsbewustzijnBewustwording is van essentieel belang wanneer het gaat om informatiebeveiliging. Een gemeente kan nog zo veel technische maatregelen nemen, wanneer medewerkers er niet naar handelen hebben deze maatregelen uiteindelijk aanzienlijk minder effect. De gebruiker ziet niet altijd het belang in van informatiebeveiliging. Zo worden wachtwoorden vergeten of op een Post-it onder het toetsenbord geplakt, computers en/of laptops onbeheerd achtergelaten en bezoekers niet begeleid door het pand. Bewustwording heeft als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico’s die de gemeente loopt en ook van de wijze waarop zij zich hiertegen kunnen beschermen.

Om vast te stellen welke bewustwordingsactiviteiten ontplooid dienen te worden bij een gemeente dient het huidige en gewenste kennis- en bewustzijnsniveau bepaald te worden. Het belangrijkste doel is uiteindelijk het veranderen van het gedrag van medewerkers als gevolg van het verhogen van het kennisniveau en de mate van bewustwording. Om dit te verwezenlijken is inzicht in welk gedrag (on)gewenst is en welke kennis noodzakelijk is, onmisbaar.

Verandering in houding en gedrag

Het bereiken van gedragsverandering bij medewerkers is vaak een lastige aangelegenheid. Uit onderzoek blijkt dat het gedrag niet vanzelf in de gewenste richting verandert als je zorgt voor meer kennis en een positieve houding bij mensen. Om gedrag te veranderen moet je je ook echt op gedrag richten. Dit blijkt onder andere uit de studie ‘Gedragsverandering via campagnes’2. Hierin komt naar voren dat de campagnes van de rijksoverheid succesvol zijn in het bereiken van kennisoverdracht. Veranderingen in houding en gedrag blijken moeilijker te realiseren en voornamelijk de effecten op gedrag zijn in het algemeen beperkt. In het eindrapport worden handvatten gegeven hoe de effectiviteit vergroot kan worden.

Bewustwordingsprogramma

Het bepalen van het huidige kennis- en bewustzijnsniveau kan op diverse manieren. Onder andere het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten3, leveren inzicht op met betrekking tot informatiebeveiligingsbewustzijn (zie ook paragraaf 3.1 ‘Meten van informatiebeveiligingsbewustzijn’). Inzicht verkrijgen in het huidige kennisniveau en de mate van beveiligingsbewustzijn van gemeentelijke medewerkers is noodzakelijk. Op basis van dit inzicht en de gestelde doelen met betrekking tot het gewenste gedrag, kan een specifieke aanpak voor een bewustwordingsprogramma worden bepaald.

Om het informatiebeveiligingsbewustzijn en de kennis op het gebied van informatiebeveiliging te vergroten, om zo de gewenste gedragsverandering te bereiken, is het uitvoeren van een bewustwordingsprogramma noodzakelijk. Het opstellen van een bewustwordingsprogramma bestaat in hoofdlijnen uit de volgende stappen:

2 Literatuuronderzoek ‘Gedragsverandering via campagnes’ (18 mei 2011) in opdracht van Dienst Publiek en Communicatie, Ministerie van Algemene Zaken. Den Haag (https://www.communicatierijk.nl/binaries/communicatierijk/documenten/publicaties/2011/05/18/gedragsverandering-via-campagnes/literatuurstudie-

gedragsverandering-via-campagnes.pdf) Het doel van deze studie was om te onderzoeken hoe de effectiviteit van campagnes vergroot kunnen worden door meer gericht te sturen op gedrag.3 In bijlage 2 van dit document vindt u een voorbeeld enquêteformulier informatiebeveiliging.

10

Opstellen plan van aanpak

(communicatie-plan)

Verzamelen informatie

bewustwordingsprogramma

Uitwerken communicatie-

middelen

Uitvoeren communicatie-

plan

Evaluatie bewustwordings

programma

Figuur 1 Stappenplan opstellen van een bewustwordingsprogramma

Stap 1 – Het opstellen van een plan van aanpak (communicatieplan informatiebeveiliging)De eerste stap is het opstellen van een communicatieplan informatiebeveiliging. In dit plan wordt onder andere de communicatiedoelstelling, -strategie, -doelgroepen, –middelen en de activiteitenplanning beschreven met betrekking tot het verhogen van het bewustzijn op informatiebeveiligingsvlak. Zie bijlage 1 voor een voorbeeld communicatieplan informatiebeveiliging.

Stap 2 - Verzamelen informatie bewustwordingsprogrammaDe volgende stap is het verzamelen van materiaal die u kunt gebruiken bij het op- en samenstellen van de communicatiemiddelen. Hierbij kan gebruik worden gemaakt van het gemeentelijke informatiebeveiligingsbeleid, de gedragscodes en de personeelshandboeken. Op de IBD-community staan ook producten die gemeenten daar hebben gedeeld met elkaar. Ook uit externe bronnen, zoals publicaties van de IBD4 en de Campagne iBewustzijn Overheid5, kunt u inspiratie halen.

Stap 3 - Uitwerken communicatiemiddelenMet behulp van de in de vorige stap verzamelde informatie kunnen de verschillende communicatiemiddelen worden uitgewerkt.

Stap 4 - Uitvoeren communicatieplan informatiebeveiligingGedurende deze stap worden de communicatieactiviteiten die in het communicatieplan informatiebeveiliging zijn beschreven conform planning uitgevoerd. Hou ruimte in de planning met het feit dat er onverwachte gebeurtenissen kunnen plaatsvinden, waarover de gemeente moet worden geïnformeerd.4 Zie https://www.informatiebeveiligingsdienst.nl/project/bewustwording/

5 Zie https://www.digitaleoverheid.nl/dossiers/ibewustzijn/

11

Stap 5 - Evaluatie bewustwordingsprogrammaUiteindelijk dient het bewustwordingsprogramma regelmatig geëvalueerd te worden om vast te stellen of de beoogde doelen zijn bereikt (gedragsverandering). Als dit niet het geval is, dan is het noodzakelijk om het bewustwordingsprogramma bij te stellen.

Verantwoordelijkheden

De verantwoordelijkheid voor werving, selectie en algemene zaken rond het functioneren van personeel ligt bij het management. Het management wordt hierin ondersteund door de afdeling personeelszaken. Dit is inclusief bewustwording en gedrag. De directie en de verschillende afdelingen zijn verantwoordelijk voor het bevorderen van de algehele communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement speelt bij de uitvoering hiervan een belangrijke rol en dient te bevorderen dat gemeenteambtenaren, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen:

Algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, in overeenstemming met het vastgestelde beleid.

Zich houden aan beveiligingsrichtlijnen.

Activiteiten uit de BIO die een relatie met bewustwording en gedrag hebben zijn, onder andere:

Zorgen dat alle gemeentemedewerkers, voor zover van toepassing, ingehuurd personeel en externe gebruikers:

o zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen.

o op de hoogte zijn van de procedures voor het melden (rapporteren) van gebeurtenissen en escalatie.

o regelmatig attent worden gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de gemeente, voor zover relevant voor hun functie.

o geschikte trainingen en regelmatige bijscholing krijgen met betrekking tot beleid en procedures van de gemeente, voor zover relevant voor hun functie.

o training krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden.

Zorgen dat het management bij aanstelling en interne overplaatsing en bijvoorbeeld werkoverleggen of in personeelsgesprekken haar medewerkers en contractanten het belang benadrukt van opleiding en training op het gebied van informatiebeveiliging en hen actief stimuleert deze periodiek te volgen.

Maatregelen treffen voor detectie, preventie en herstellen, om gemeentelijke ICT-infrastructuur te beschermen tegen informatiebeveiligingsgebeurtenissen. Tevens behoren er geschikte procedures te worden ingevoerd om het bewustzijn van de gebruikers te vergroten.

12

2.1. Meten van informatiebeveiligingsbewustzijnDe Baseline Informatiebeveiliging Overheid (BIO) stelt dat bewustzijn randvoorwaardelijk is. Het is dan ook zinvol om het informatiebeveiligingsbewustzijn van de gemeentelijke medewerkers te meten en op deze manier vast te stellen of hieraan is voldaan.

Als eerste dient de gemeente te bepalen wàt ze precies wil meten. Als dat bekend is, kan de gemeente kijken hoe ‘dat’ te meten. Tot slot: wat te doen met de uitkomsten? Het doel waarvoor de gemeente de uitkomsten wil gebruiken, stelt eisen aan (de bruikbaarheid van) datgene dat moet worden gemeten.

Informatiebeveiligingsbewustzijn is een bepalende en belangrijke factor in de bijdrage die een gemeentelijke medewerker levert aan het niveau van informatiebeveiliging van de gemeente. Daarom is het noodzakelijk om inzicht te hebben in hoe het zit met het informatiebeveiligingsbewustzijn binnen de gemeente. Een andere reden om een bewustzijnsmeting uit te voeren is om de aandachtspunten van een bewustwordingsprogramma te bepalen. Het heeft geen zin om tijd en aandacht te besteden aan zaken die al op orde zijn.

Uitgangspunten bij de meetmethode zijn onder meer:

Het resultaat dient niet (te sterk) afhankelijk te zijn van de persoon die de meting uitvoert.

De meting dient met een zelfde nauwkeurigheid op latere tijdstippen te kunnen worden herhaald, zodat met een zekere betrouwbaarheid verbetering (of verslechtering) valt vast te stellen.

De meting dient toepasbaar en uitvoerbaar te zijn.

Observatie en het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten, leveren inzicht op met betrekking tot het informatiebeveiligingsbewustzijn. Naast de hoeveelheid aan informatie die deze meetmethoden opleveren, kleven er ook nadelen aan. Het grootste nadeel van vragenlijsten is de (voorbereidings)tijd en de vele keuzes die hierbij gemaakt dienen te worden bij het opstellen van de vragenlijst (zie bijlage 2 voor een voorbeeld enquêteformulier informatiebeveiliging). Denk hierbij aan:

In welke vorm moeten de vragen worden gesteld? Meerkeuze, open vragen, et cetera.

In welke vorm wordt de vragen lijst aangeboden? Op papier of online via het intranet.

Namens wie wordt de uitnodiging verstuurd? De burgemeester, wethouder met informatiebeveiliging in zijn portefeuille, het college van Burgemeester en Wethouders (college van B&W), de gemeentesecretaris of bijvoorbeeld de Chief Information Security Officer (CISO).

Net als bij de vragenlijsten, is het nadeel de inspanning die vraaggesprekken met medewerkers vergen. Naast de tijd die je kwijt bent voor het voeren van de gesprekken vergt het uitwerken van de gesprekken ook een behoorlijke (tijds)inspanning. Daarbij zijn antwoorden ook mogelijk tijdsgebonden. Zeker wanneer een mysterie guest wordt ingezet.Het nadeel van een mystery guest is dat het resultaat in enige mate afhankelijk is van de kwaliteiten van de tester, de ‘mystery guest’. Zorg er overigens voor dat de mystery guest een bewijs bij zich heeft waarop staat in opdracht van welke medewerker het bezoek plaatsvindt zodat bij aanhouding die medewerker wordt benaderd in plaats van de politie. Maak daarbij voordat het bezoek plaatsvindt met de mystery guest afspraken over in ieder geval: het wel of niet mogen filmen en fotograferen van medewerkers en gasten in de besloten delen van het gebouw; het wel of niet meenemen van rondslingerende waardevolle spullen; het wel of niet mogen gebruiken van niet afgeschermde werkplekken om de IT-omgeving te benaderen. Indien nodig, betrek bij deze set van afspraken het management en de OR.

13

2.2. Informatiebeveiligingsbewustzijn bij uitbestedingInformatiebeveiligingsbewustzijn is onmisbaar voor iedere organisatie en dient ook bij uitbestedingen goed geregeld te zijn.6 Echter bij een uitbesteding heeft het informatiebeveiligingsbewustzijn een aantal extra dimensies. Zo dient de gemeente de dienstverlenende onderneming of toeleverancier bij het aangaan van een overeenkomst duidelijk te maken wat verwacht wordt op het gebied van het informatiebeveiligingsbewustzijn. Omdat er sprake is van twee verschillende organisaties kan er sprake zijn van een verschil in kennis en inzicht tussen de twee organisaties.

Een manier om bij het aangaan van een overeenkomst7 het informatiebeveiligingsbewustzijn van een dienstverlenende onderneming of toeleverancier in beeld te krijgen, is het vragen van een 'pas toe of leg uit' verklaring met betrekking tot het informatiebeveiligingsbeleid van de gemeente. Hierbij dient de dienstverlenende onderneming of toeleverancier aan te geven in welke mate hieraan is voldaan en dient zij uitleg te geven over wanneer hiervan afgeweken wordt. Hierbij dient bij de beoordeling niet alleen gekeken te worden naar de hoeveelheid groene vlakjes (‘pas toe’) maar is het interessanter om te kijken naar de argumenten die bij non-compliance (‘leg uit’) gegeven worden.

6 Zie hiervoor ook het operationele product ‘Uitbesteding ICT-diensten en inhuur’ van de Baseline Informatiebeveiliging Overheid (BIO).7 Zie hiervoor ook het operationele product ‘Bewerkersovereenkomst’ en ‘inkoopvoorwaarden en informatiebeveiligingseisen’ van de Baseline Informatiebeveiliging Overheid (BIO).

14

Bijlage 1 Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente>

1. InleidingInformatiebeveiliging is mensenwerk. Management en medewerkers dienen zich bewust te zijn van de risico’s die samenhangen met de omgang met vertrouwelijke gegevens en van de noodzaak van informatiebeveiliging. Hiervoor zijn communicatieactiviteiten ontwikkeld, die in dit communicatieplan informatiebeveiliging gemeente <gemeente> gestructureerd zijn vastgelegd. Er wordt onderscheid gemaakt in communicatiestrategie, -doelstellingen, -bouwstenen, -doelgroepen, -kernboodschappen, -activiteiten en -middelen.

1.1. AanleidingVoor gemeenten is de Baseline Informatiebeveiliging Overheid (BIO) het leidende normen kader voor informatiebeveiliging. Deze baseline geeft aan dat communicatie over informatiebeveiliging van groot belang is voor een succesvolle implementatie van informatiebeveiliging. Om tot een succesvolle implementatie van de BIO te komen, worden hiertoe in dit communicatieplan informatiebeveiliging activiteiten voorgesteld.

Dit communicatieplan informatiebeveiliging is bedoeld voor iedere gemeentelijke medewerker binnen de gemeente <gemeente>. Het heeft als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico’s die de gemeente <gemeente> loopt, de samenhang met het gebruik van computers en netwerken en van de noodzaak van beveiliging van informatie. Hiermee wordt beoogd om informatiebeveiliging bij zoveel mogelijk gemeentelijke medewerkers tot een punt van blijvende aandacht te maken.

Er kunnen voor de gemeente meerdere redenen zijn om te werken aan het verhogen van het kennis- en bewustzijnsniveau van de medewerkers. Hieronder volgen enkele voorbeelden:

Een streven naar kwaliteitsverbeteringDoor het verhogen van het besef van de waarde van informatie voor de gemeente <gemeente> houden gemeentelijke medewerkers zich beter aan beleid en procedures op dit gebied, waardoor het aantal fouten wordt verkleind.

Het verkrijgen/behouden van een betrouwbaar imagoVoor de gemeente <gemeente> is vertrouwen één van de basisprincipes. Hierdoor is het van groot belang dat de gemeente <gemeente> betrouwbaar overkomt. Informatiebeveiligingsincidenten hebben een negatief effect op de betrouwbaarheid van de gemeente. Door een verhoging van het beveiligingsbewustzijn neemt het aantal informatiebeveiligingsincidenten af.

Het versterken van de zwakste schakelHoewel er veel technische mogelijkheden zijn om informatie te beveiligen, blijft de mens de zwakste schakel in de keten. Technische maatregelen zijn zinloos als het beveiligingsbewustzijn bij de gemeentelijke medewerkers ontbreekt. Naast het versterken van de zwakste schakel, zou natuurlijk ook gekeken kunnen worden of de mens nog wel onderdeel van de keten dient uit te maken. Is het beoogde resultaat te behalen zonder tussenkomst van de mens? Bijvoorbeeld door het aanpassen van processen, procedures en/of informatiesystemen.

Een aantal randvoorwaarden dienen te zijn ingevuld om een effectieve en efficiënte invulling te kunnen geven op de vraag: Hoe kan het kennis- en bewustzijnsniveau van de medewerkers blijvend gestimuleerd, verhoogd en gestuurd worden op het gebied van informatiebeveiliging?

15

Deze randvoorwaarden zijn: Commitment van de directie en het management

De cruciale voorwaarde voor een succesvolle uitvoering van een bewustwordingsprogramma binnen de gemeente <gemeente> is commitment. Zonder dat aan deze voorwaarde wordt voldaan is de slagingskans van een dergelijk programma beperkt.

Geen eenmalige exercitieBewustwording van gemeentelijke medewerkers binnen de gemeente <gemeente> is geen eenmalige zaak. Het is noodzakelijk dat er continu gestimuleerd, gestuurd en gemeten wordt. Zo wordt er constant aandacht besteed aan de ontwikkeling van het kennis- en bewustzijnsniveau. Hierbij is het wel van belang om vooraf het gewenste en het huidige kennis-, bewustzijnsniveau en gedrag in kaart te brengen. Tot slot dient het bewustwordingsprogramma ook aan te sluiten bij de organisatiecultuur van de gemeente <gemeente>.

16

2. CommunicatieaspectenIn dit hoofdstuk wordt het kader van het communicatieplan informatiebeveiliging geformuleerd. Welke doelen willen we bereiken met dit communicatieplan informatiebeveiliging ((beoogde) verbetering), welke bouwstenen worden hierbij ingezet en wat zijn de gehanteerde uitgangspunten en randvoorwaarden?

2.1. DoelenMet betrekking tot de communicatie over informatiebeveiliging wordt onderscheid gemaakt naar kennis, houding en gedrag.

2.1.1 Kennis over informatiebeveiliging

Het doel is dat gemeentelijke medewerkers op de hoogte zijn van de voor hen geldende taken, regels en hulpmiddelen voor informatiebeveiliging. Voor het management geldt de doelstelling dat de beleidsstukken met betrekking tot informatiebeveiliging bij hen bekend zijn.

2.1.2 Houding en gedrag met betrekking tot informatiebeveiliging

Het uitgangspunt is dat het management en de gemeentelijke medewerkers van de gemeente <gemeente> zich onvoldoende bewust zijn van de risico's die samenhangen met het gebruik van computers en netwerken en van de noodzaak van informatiebeveiliging. Dit bewustzijn varieert natuurlijk binnen de verschillende afdelingen en onder individuele gemeentelijke medewerkers. Verder vertonen niet alle gemeentelijke medewerkers het gewenste gedrag voor informatiebeveiliging.

De communicatieactiviteiten dienen ertoe bij te dragen dat de individuele gemeentelijke medewerkers een positieve houding hebben ten aanzien van informatiebeveiliging en dit ook vertalen in het gewenste gedrag. Concreet betekent dit bijvoorbeeld dat:

Clear desk en clear screen wordt gehanteerd. Wachtwoorden geheim worden gehouden. Individuele wachtwoorden en persoonlijke accounts niet worden gedeeld. Vertrouwelijke gegevens niet onbeveiligd via e-mail worden verzonden. Dossiers van gemeentelijke medewerkers en burgers vertrouwelijk worden behandeld. ‘Aanvallen’ zoals, phishing, spam en hoaxes worden herkend. Beveiligingsincidenten (zo snel mogelijk) worden gemeld.

Voor het management wordt beoogd dat de communicatieactiviteiten ertoe bijdragen dat deze groep een positieve houding heeft ten aanzien van informatiebeveiliging. Zo fungeren zij als voorbeeldfunctie voor de gemeentelijke medewerkers, spreken zij gemeentelijke medewerkers aan op ongewenst gedrag en steunen zij de betrokkenen in de activiteiten voor de verbetering van informatiebeveiliging binnen de gemeente <gemeente>.

2.2. De communicatiebouwstenenOm kennis, houding en gedrag van de betrokken doelgroepen maximaal positief te stimuleren, leert ervaring dat het zinvol is om bij de communicatieaanpak rekening te houden met enerzijds het communiceren van feiten en anderzijds de vertaalslag te maken naar de concrete werksituatie en belevingswereld van de collega’s.

Het is uiteraard belangrijk dat de toon en de vorm van de communicatie naar de verschillende doelgroepen vanuit een herkenbare gemeentelijke-huisstijl gebeurt. Dit vergroot de consistentie, de herkenbaarheid en acceptatie onder de doelgroepen en zorgt mede voor het basis-vertrouwen wat noodzakelijk is om een betrouwbare (kennis)partner te kunnen zijn.

17

18

2.3. UitgangspuntenBij de uitvoering van dit communicatieplan informatiebeveiliging worden de volgende uitgangspunten gehanteerd:

Om het beoogde effect te bereiken wordt een combinatie van communicatiemiddelen ingezet. Bij de communicatie wordt zoveel mogelijk gebruik gemaakt van zowel bestaande in- als externe

kanalen en middelen (<personeelsblad>, intranet, werkoverleg, campagne iBewustzijn Overheid, et cetera).

Om de herkenbaarheid van de boodschap voor informatiebeveiliging te vergroten wordt bij alle communicatieactiviteiten de volgende adagium/slogan gehanteerd: ‘<adagium/slogan >’.

De communicatie over informatiebeveiliging wordt doelgroepgericht ingezet (zie hoofdstuk 4 voor de te onderscheiden doelgroepen).

Het effect van de communicatieactiviteiten wordt gemeten door een steekproefsgewijze controle op de aanwezigheid van het gewenste kennis- en bewustzijnsniveau en gedrag. Bijvoorbeeld door het afnemen van interviews of het laten invullen van vragenlijsten.

2.4. RandvoorwaardenVoor een succesvolle uitvoering van dit communicatieplan informatiebeveiliging gelden de volgende randvoorwaarden:

Er dient voldoende commitment bij het management te zijn voor de uitvoering van de voorgestelde communicatieactiviteiten. Deels is het verkrijgen van commitment voor informatiebeveiliging natuurlijk een doelstelling van de communicatie over informatiebeveiliging.

Middelen die gemeentelijke medewerkers dienen in te zetten om het gewenste gedrag te kunnen vertonen, dienen beschikbaar en bekend te zijn. Voorbeelden van deze middelen zijn beveiligingsmiddelen voor veilig e-mailen via internet, screensaver op de werkplek, afsluitbare kasten, et cetera.

Met betrekking tot de voorgestelde communicatieactiviteiten geldt dat het geheel meer is dan de som der delen. Dit houdt in dat het niet uitvoeren van bepaalde communicatieactiviteiten de gehele communicatiestrategie ontkracht, waardoor de realisatie van de beoogde doelstellingen in gevaar komt.

Er dienen voldoende mensen en middelen ter beschikking te worden gesteld (zie paragraaf 8.2 Financiën).

19

3. De communicatiedoelgroepenOmdat bewustzijn op informatiebeveiligingsvlak pas succesvol is als binnen de gemeente <gemeente> van hoog tot laag, in evenwicht, aandacht is voor zowel de techniek- als voor de menskant.

3.1. De primaire communicatiedoelgroepenMet betrekking tot communicatie over informatiebeveiliging worden de volgende primaire communicatiedoelgroepen onderscheiden:

1. Alle medewerkers (zowel in dienst als bijv. inhuur). Informatiebeveiliging is namelijk van iedereen en iedereen heeft hierin een rol, zodat het informatiebeveiligingsbeleid wordt nageleefd.

2. Bestuurders: de gemeenteraad (in haar kader stellende, budgetterende en controlerende rol), burgemeester, college van burgemeester en wethouders (B&W) (waaronder de verantwoordelijke wethouder informatiebeveiliging).

3. Het management: zij zijn verantwoordelijk voor risicomanagement. De gemeentesecretaris/algemeen directeur is de hoogste ambtenaar die hiervoor verantwoordelijk is.

4. ICT-medewerkers: ICT-projectleiders, applicatiebeheerders en bijvoorbeeld systeembeheerders.5. Dienstverlening: waaronder het Sociale Domein als Burgerzaken.6. De gemeenteraad als gebruiker. Zij gebruiken vaak middelen van de gemeenten. Zij dienen zich dus ook

voldoende bewust te zijn van de risico’s en passend gedrag te vertonen.

3.2. De secundaire communicatiedoelgroepenMet betrekking tot communicatie over informatiebeveiliging worden de volgende secundaire communicatiedoelgroepen onderscheiden:

1. Inwoners en ondernemers.2. Leveranciers en partners van leveranciers, bijvoorbeeld hosting-, audit-, pentestpartijen en adviseurs.3. Media, bijvoorbeeld journalisten.

20

4. CommunicatiedoelstellingDe doelstelling kan als volgt geformuleerd worden: ‘Het optimaal informeren, involveren en inspireren van de eigen gemeentelijke medewerkers aangaande het onderwerp informatiebeveiliging’. Dit wordt gedaan zodat:

De verantwoordelijkheid en taken van de informatiebeveiligingsorganisatie duidelijk zijn. Het belang van het onderwerp informatiebeveiliging en de voorbeeldfunctie van de gemeentelijke

medewerkers hierin, duidelijk zijn en actief uitgedragen worden.

Om de communicatiedoelstelling te ondersteunen wordt gebruik gemaakt van het adagium/slogan: ‘<adagium/slogan >’. Bijvoorbeeld ‘De gemeentelijke ketting is zo sterk als de zwakste schakel’.

Daar waar relevant voor de gemeentelijke communicatie wordt meegelift op de communicatiemiddelen en -momenten van de IBD, (keten)partners en leveranciers. Denk hierbij aan de IBD-website en community, campagne iBewustzijn Overheid, nieuwsbrieven, congressen en andere relevante bijeenkomsten en middelen.

4.1. KernboodschappenAlle communicatie-initiatieven van de gemeente met betrekking tot informatiebeveiliging worden opgehangen aan een aantal kernboodschappen. Het adagium/slogan, ‘<adagium/slogan >’ wordt bij alle communicatieactiviteiten gebruikt als terugkerend thema.

Hieronder worden de kernboodschappen weergegeven voor de verschillende communicatiedoelgroepen. Deze zijn:1. Alle medewerkers (zowel in dienst als bijv. inhuur).

• Beveiliging van (vertrouwelijke) informatie is belangrijk.• Beschikbaarheid van informatie is belangrijk.• Het is belangrijk dat informatie juist en volledig aanwezig is.• Goede informatiebeveiliging is een voorwaarde voor een goede dienstverlening.• Iedere medewerker heeft een eigen verantwoordelijkheid met betrekking tot

informatiebeveiliging.2. Bestuurders.

• Het college van B&W is eindverantwoordelijk.• De gemeenteraad controleert het college van B&W op informatiebeveiliging.• Iedere bestuurder heeft een voorbeeldfunctie.• Het bestuur stuurt op risicobeheersing.• Risicomanagement is onderdeel van de besluitvorming.

3. Het management.• Zij zijn verantwoordelijk voor risicomanagement.• Informatiebeveiliging en privacy zijn een onderdeel van integraal management.• Management is verantwoordelijk voor de beveiliging van de processen en systemen.• Iedere leidinggevende heeft een voorbeeldfunctie.• Iedere leidinggevende dient toezicht te houden op de eigen medewerkers.• HR is verantwoordelijke voor het borgen van informatiebeveiliging bij de werving en selectie,

indiensttreding, doorstroom en uitdiensttreding.4. ICT-medewerkers: ICT-projectleiders, applicatiebeheerders en bijvoorbeeld systeembeheerders.

• Bij de specifieke werkzaamheden horen ook taken voor informatiebeveiliging. Dit vereist zorgvuldigheid, scholing en bijzondere aandacht. Bij ICT-medewerkers staat dit bijvoorbeeld in relatie tot de kritische IT-beheerprocessen: incident-, change-, configuratie-, patch- en business continuity management (waaronder back-up en disaster and recovery).

21

5. Dienstverlening: waaronder het Sociale Domein als Burgerzaken.• In deze domeinen is extra aandacht benodigd voor de gevoelige persoonsgegevens waarmee zij

werken als ook de identiteiten en waardedocumenten die vanuit Burgerzaken worden verstrekt. Dit vereist, evenals bij de ICT-medewerkers, voor zorgvuldigheid, scholing en bijzondere aandacht.

22

5. CommunicatiestrategieDe communicatiestrategie onderliggend aan dit communicatieplan informatiebeveiliging geeft in hoofdlijnen aan langs welke weg we de communicatiedoelen, zoals in hoofdstuk 2 beschreven, willen bereiken. In feite vormt de communicatiestrategie de verantwoording voor dit communicatieplan informatiebeveiliging.

Hierbij dienen op verschillende fronten keuzes te worden gemaakt:

Benader je de doelgroepen proactief, actief of passief? Hoe is de toon van de communicatie (zakelijk of persoonlijk, informeel of formeel)? Wat is de aard van de in te zetten communicatiemiddelen (mondeling, schriftelijk of een combinatie

van beide)? Op welke wijze ga je de doelgroepen benaderen (massaal, groepsgewijs, individueel)? Met wie wordt er samengewerkt? Welke prioriteiten worden gesteld?

De communicatiestrategie bestaat uit:

Het gelijktijdig inzetten van verschillende communicatiemiddelen, omdat de verschillende doelgroepen hierdoor de boodschap beter oppikken.

Het zoveel mogelijk betrekken van de verschillende doelgroepen bij het ‘veranderingsproces’, omdat daarmee meer draagvlak en bewustwording wordt gecreëerd voor informatiebeveiliging.

Het zoveel mogelijk meeliften op de communicatiemiddelen en -momenten van andere organisaties, zoals de IBD, campagne iBewustzijn Overheid, (keten)partners en leveranciers. Op deze manier worden de doelgroepen vanuit verschillende invalshoeken geïnformeerd en kunnen tevens de kosten voor de gemeente worden beperkt.

23

6. CommunicatiemiddelenBinnen de gemeente <gemeente> worden veel verschillende media als informatiebronnen gebruikt. Echter, het is niet de bedoeling deze allemaal in te zetten om de boodschap van informatiebeveiliging over te dragen. De hierna beschreven communicatiemiddelen (kunnen) worden ingezet om de verschillende doelgroepen te bereiken. Uiteraard hangt het inzetten van de hieronder beschreven communicatiemiddelen onder andere af van de grote van de gemeente en het beschikbare budget.

Intern

Intranet

Dit medium is voor alle doelgroepen van dit communicatieplan informatiebeveiliging toegankelijk en is daardoor goed inzetbaar. Gekeken moet worden hoe bij andere communicatieactiviteiten de aandacht op het onderdeel ‘informatiebeveiliging’ van het intranet kan worden gevestigd (<personeelsblad>, nieuwsbrief, et cetera). Op de intranetpagina’s van de gemeente <gemeente> worden regelmatig (bijvoorbeeld maandelijks) updates geplaatst van onderwerpen over informatiebeveiliging. Met als doel dat de gemeentelijke medewerkers op de hoogte blijven van waar de organisatie op het gebied van informatiebeveiliging mee bezig is. Naast algemene achtergrondinformatie over informatiebeveiliging is het van belang dat het intranet is voorzien van informatie die:

Het grootste gedeelte van de vragen van medewerkers afvangt. De mogelijkheid biedt tot actieve berichtgeving in geval van incidenten.

(Digitale) nieuwsbrief informatiebeveiligingVia afzonderlijke (digitale) nieuwsbrieven wordt op verschillende momenten aandacht besteed aan informatiebeveiliging, met onder andere aandacht voor:

Een concreet onderwerp of case op informatiebeveiligingsvlak. Concrete tips en ‘instructies’. Informatiebeveiliging op de gemeentelijke werkvloer: een interview of artikel over de dagelijkse

uitdagingen als het gaat om informatiebeveiliging. Afhankelijk van de beschikbaarheid van (actuele) onderwerpen drie à vier per jaar.

PresentatiesHet geven van presentaties is een praktische methode die ingezet kan worden om informatie over te brengen tijdens bijeenkomsten en/of afdelingsoverleggen. Deze kan worden afgestemd op de verschillende doelgroepen.8

TrainingVolgens het ‘train-de-trainer’-principe worden specifieke medewerkers voorgelicht over het nut en de noodzaak van informatie en worden ze getraind in het gebruiken van de aanwezige communicatiemiddelen. Deze getrainde medewerkers kunnen dan tijdens het afdelingsoverleg de ‘standaard’ presentatie verzorgen. Bijvoorbeeld de train-de-trainer Informatieveiligheid: Van ‘ja’ zeggen naar ‘ja’ doen!9

E-learning

8 Zie hiervoor ook het operationele product (presentatie) ‘Bewustwording Informatieveiligheid bij gemeenten’ van de Baseline Informatiebeveiliging Overheid (BIO).9 http://www.vngacademie.nl/e-learning/train--de--trainer-informatieveiligheid-van-%E2%80%98ja%E2%80%99-zeggen-naar-%E2%80%98ja

%E2%80%99doen!.aspx

24

E-learning is een methode die gebruikt kan worden om informatie via een digitale module over te brengen, om de kennis te meten en de aanwezige houding, vaardigheden en gedrag te beïnvloeden. Bijvoorbeeld de e-learning module ‘Bewust en veilig omgaan met (digitale) informatie!’.10

Crisisgame11

Om te zorgen dat e gemeente adequaat reageert tijdens een incident, kan een crisisgame worden uitgevoerd. De IBD Crisisgame is een bewerking van een bestaande game van het CIP.

Bordspel: Spion op je pad12

In samenwerking met het ministerie van Economische Zaken heeft de IBD het bordspel “Spion op je pad” ontwikkeld. In het spel maken de deelnemers kennis met de dilemma’s rondom informatiebeveiliging en privacy. De deelnemers maken samen steeds de afweging tussen beveiliging, snelheid en kwaliteit. De deelnemers werken dus met elkaar en niet tegen elkaar.

Bewustwordingscampagne ‘Safe and Sound’13

Om het bewustzijn van informatiebeveiliging te verhogen binnen de gemeente, kan gebruik gemaakt worden van de campagne ‘Safe & Sound’. Deze is door de IBD ontwikkeld.

WorkshopsTijdens ‘denk-en-doe-sessies’ van maximaal twee tot vier uur kan er beter ingespeeld worden op de impact van je eigen rol, het eigen handelen en het handelen van anderen op gebied van de informatieveiligheid. Bijvoorbeeld de interactieve workshops iBewustzijn die via de VNG Academie worden aangeboden.14

<Personeelsblad>In het <personeelsblad> wordt op verschillende momenten iets over informatiebeveiliging geplaatst. Dit geschiedt natuurlijk in overleg met de redactie en alleen wanneer er ook werkelijk iets is te melden over informatiebeveiliging.

Posters Door op verschillende plaatsen binnen de organisatie posters op te hangen worden de medewerkers gewezen op (de noodzaak van) informatiebeveiliging. Dit is weer een middel om alle gemeentemedewerkers te bereiken. Bij het bepalen van de inhoud van de posters wordt aandacht besteed aan het feit dat deze informatie ook zichtbaar wordt voor bezoekers. Er moet namelijk niet de indruk worden gewekt dat burgergegevens bij de gemeente niet in goede handen zijn. Bijvoorbeeld de posters van de campagne iBewustzijn Overheid.15

AnimatiefilmpjesSoms is het kijken naar situaties die niet aan werk gerelateerd zijn datgene dat noodzakelijk is om te beseffen welke handelingen beveiligingsbewust, of juist niet beveiligingsbewust zijn. Bijvoorbeeld de (vier) animatiefilmpjes van de campagne iBewustzijn Overheid.16

FoldersVia folders kunnen gemeentelijke medewerkers (gemakkelijk) kennis met het onderwerp informatiebeveiliging en wat beveiligingsbewustzijn inhoudt en het belang van een goed beveiligingsbewustzijn. Bijvoorbeeld de folders van de campagne iBewustzijn Overheid.17

10 http://www.vngacademie.nl/e-learning/ibewustzijn-overheid-.aspx11 https://www.informatiebeveiligingsdienst.nl/ibd-crisisgame

12 https://www.informatiebeveiligingsdienst.nl/overzicht-bewustwordingscampagnes/spion-op-pad-ibd-bordspel-gemeenten/

13 https://www.informatiebeveiligingsdienst.nl/bewustwordingscampagne-safe-sound

14 Zie voor meer informatie http://www.vngacademie.nl/e-learning/interactieve-workshops-ibewustzijn.aspx 15 https://www.digitaleoverheid.nl/archief/ibewustzijn-overheid/campagnemateriaal/posters-campagne-ibewustzijn-overheid/ 16 https://www.digitaleoverheid.nl/archief/ibewustzijn-overheid/video/

17 https://www.digitaleoverheid.nl/dossiers/ibewustzijn/dossier-documenten/

25

Werkoverleg Het werkoverleg is een effectief middel om gewenst gedrag met betrekking tot informatiebeveiliging bespreekbaar te maken. Om informatiebeveiliging hier goed onder de aandacht te brengen, wordt hiervoor een kant-en-klaar pakket (presentatie, werkvorm, et cetera) samengesteld.

Mystery guestIn een real-life situatie wordt uw beveiliging aan een test onderworpen. Een mystery guest is een social engineer18. Vaak is de toegang tot het gebouw beveiligd, maar kan de mystery guest door een list, toeval of door uitbuiting van psychologische technieken toch toegang tot het gebouw verschaffen. Eenmaal binnen in de beveiligde omgeving probeert de mystery guest vertrouwelijke informatie te bemachtigen en kijkt hij of hij andere ‘schade’ kan aanrichten.

Introductie nieuwe medewerkersEen introductiemap met informatie over informatiebeveiliging wordt aan nieuwe gemeentelijke medewerkers (intern en extern, stagiairs, et cetera) uitgereikt.19 Dit wordt geborgd in de opzet van de introductie voor nieuwe medewerkers. Daarnaast wordt, indien mogelijk, de nieuwe medewerker in een persoonlijk gesprek door de manager op de hoogte gesteld van de regels voor informatiebeveiliging binnen de gemeente.

Raadpleeg externe bronnen, zoals:

De community van de IBDHier deelt de community kennis en kunnen discussies worden gestart.

De CISO-toolkit van de IBD20

De toolkit bevat een aantal (communicatie)producten van de IBD die de CISO kan gebruiken bij de uitoefening van zijn functie.

https://www.digitaleoverheid.nl/dossiers/ibewustzijn/ iBewustzijn staat voor informatiebewustzijn. Met de campagne iBewustzijn Overheid wil de overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen van het bewustzijn betreffende informatieveiligheid. De campagne is voor alle medewerkers van de provincies, waterschappen en gemeenten.

https://veiliginternetten.nl/ Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken, het ministerie van Veiligheid en Justitie / Nationaal Cybersecurity Centrum (NCSC) en ECP | Platform voor de Informatiesamenleving en het bedrijfsleven. Op veiliginternetten.nl kunnen mensen tips, trucs en praktische stap voor stap uitleg vinden over wat zij kunnen doen en laten om veilig te internetten. Deze site is bedoeld voor iedereen met vragen over veilig gebruik van internet.

https://www.digivaardigdigiveilig.nl/ Het kunnen omgaan met digitale toepassingen en het beschikken over een veilige digitale omgeving zijn cruciaal. Overheid, bedrijfsleven en maatschappelijke organisaties slaan hiervoor de handen ineen binnen dit publiek-private programma.

http://cyberawareness.nctv.nl/ Om je bewust te maken van de digitale sporen die je achterlaat, hoe kwaadwillenden daarvan gebruikmaken en hoe je veiliger kunt handelen, hebben de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het NCSC een Cyber Security Awareness-programma ontwikkeld: 'Je bent zichtbaarder

18 Een social engineer probeert gebruikersgegevens te krijgen door zich bijvoorbeeld voor te doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost.19 Dit kan uiteraard ook een verwijzing zijn naar de intranetpagina’s die deze informatie bevatten.20 https://www.informatiebeveiligingsdienst.nl/ciso-toolkit/

26

dan je denkt'. Het programma bestaat uit een film van ongeveer 15 minuten, factsheets en een e-learning module van ongeveer 30 minuten.

https://www.alertonline.nl/cyberskillstest#/ Alert online heeft een cyberkilltest ontwikkeld dat betrekking heeft op veilig internetten.

Extern

Social Media

Om de burgers te informeren wordt er gebruik gemaakt van de gemeentelijke social media kanalen zoals Twitter en Facebook:

<gemeente>-IB-Twittero Vanuit dit <gemeente>-IB-Twitter-account wordt getwitterd naar gemeente-volgers over het

onderwerp informatiebeveiliging. Het kan natuurlijk ook zo zijn dat de tweets met betrekking tot informatiebeveiliging getwitterd worden via het algemene <gemeente>-twitter-account.

o Tweets, relevant om kenbaar te maken aan de volgers van de gemeente worden geretweet. Dit houdt in dat tweets van partijen die de gemeente volgt, in de gaten gehouden dienen te worden.

o Tweets worden getweet met gebruik van een #(hashtag) bij woorden gerelateerd aan de gemeente. Bijvoorbeeld: informatieveiligheid, informatiebeveiliging, <gemeente>, ontwikkelingen et cetera. Dit met als doel, wanneer een twitteraar zoekt op deze woorden, de tweets van de gemeente ook naar boven komen.

<gemeente>-Facebook paginao De gemeente <gemeente> heeft een eigen pagina op Facebook om, laagdrempelig, nog meer

inwoners van de <gemeente> aan te spreken. Op deze pagina staat nieuws voor mensen die wat met de gemeente <gemeente> hebben. Het is mogelijk om te reageren op berichten of zelf informatie te plaatsen. Iedereen, ook zonder Facebook-account, kan de pagina, foto's en reacties bekijken. Wel is er een aantal spelregels: berichten met reclame-uitingen worden verwijderd. Ook berichten die beledigend zijn, bedreigingen of (links naar) illegale zaken bevatten worden verwijderd.

o Op deze gemeentelijke Facebook-pagina wordt ook voor de inwoners relevante informatie met betrekking tot informatiebeveiliging en privacy geplaatst.

Desgewenst kunnen ook specifieke communicatiemiddelen worden ingezet afhankelijk van nut en noodzaak op dat moment. Uiteraard wordt hier dan een specifiek plan van aanpak voor vervaardigd.

6.1. Doelgroepen-middelenmatrixNadat de communicatiemiddelen zijn vastgesteld, kan de doelgroepen-middelenmatrix worden ingevuld (zie tabel 1). Dit is een schematische weergave, waarbij de communicatiedoelgroepen tegen de communicatiemiddelen worden uitgezet. De doelgroepen-middelenmatrix geeft overzichtelijk weer welke communicatiedoelgroepen je met welke communicatiemiddelen wilt bereiken.

27

Communicatiemiddelen CommunicatiedoelgroepenBurgemeester, college van B&W, gemeenteraad, verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management

Gemeentelijke medewerkers

Specifieke medewerkers Burgers Leveranciers en partners van leveranciers

Media

Informatiebeveiliging op intranet(Digitale) nieuwsbrief informatiebeveiligingPresentatiesTrainingE-learningWorkshopsInformatiebeveiliging in <personeelsblad>PostersAnimatiefilmpjesFoldersInformatiebeveiliging in werkoverlegInzet van mystery guestIntroductie nieuwe medewerkers

Tabel 1 Doelgroepen-middelenmatrix

28

7. ActiviteitenplanningIn (het) onderstaande overzicht(en) worden de communicatieactiviteiten vermeld, die ten behoeve van de informatiebeveiliging worden uitgevoerd. Hierbij is ook aangegeven wanneer deze activiteiten worden uitgevoerd en wie hierbij betrokken zijn.

Er worden hier twee voorbeelden (tabel 2 en 3) van de activiteitenplanning weergegeven. Bij overzicht 1 zijn de communicatiemiddelen het uitgangspunt en bij overzicht 2 is dat de communicatiedoelgroep.

Communicatiemiddel Communicatie-doelgroep

Verantwoordelijk Datum

Informatiebeveiliging op intranet Vul hier in welke communicatie-doelgroep wordt benaderd.

Vul hier in wie verantwoordelijk is voor deze communicatie-activiteit (dat hoeft niet degene te zijn die de activiteit uitvoert).

Vul hier in op welke datum of in welke periode de communica-tieactiviteit plaatsvindt.

(Digitale) nieuwsbrief informatiebeveiligingPresentatiesTrainingE-learningWorkshopsInformatiebeveiliging in <personeelsblad>PostersAnimatiefilmpjesFoldersInformatiebeveiliging in werkoverlegInzet van mystery guestIntroductie nieuwe medewerkers

Tabel 2 Overzicht 1 activiteitenplanning.

Communicatiedoelgroep Vul hier in welke communicatiedoelgroep wordt benaderd.Communicatieboodschap/-doel Vul hier in wat je via deze communicatieactiviteit wil bereiken.Communicatiemiddel Vul hier in op welke wijze de communicatieboodschap wordt

overgebracht.Datum en tijdstip Vul hier in op welke datum of in welke periode de

communicatieactiviteit plaats vindt.Verantwoordelijk Vul hier in wie verantwoordelijk is voor deze communicatieactiviteit

(dat hoeft niet degene te zijn die de activiteit uitvoert).Opmerking

Tabel 3 Overzicht 2 activiteitenplanning.

29

8. Benodigde middelen8.1. MensenDe in hoofdstuk 7 opgesomde communicatieactiviteiten vereisen van de genoemde betrokkenen (verantwoordelijke en/of uitvoerende) de onderstaande inzet in mensdagen (zie tabel 4).

Betrokkene Inschatting benodigde inzet (in mensdagen)[functie] X[functie] X[functie] X[functie] X[functie] X

Tabel 4 Inschatting benodigde inzet.

8.2. FinanciënHet kan zijn dat het budget een vastgesteld gegeven is en het een van de randvoorwaarden is bij het opstellen van het communicatieplan informatiebeveiliging. In andere gevallen wordt een kostenbegroting aan de hand van het plan van aanpak opgesteld. Hieronder een aantal zaken waarmee rekening gehouden dient te worden:

Personeelskosten, bijvoorbeeld inhuur deskundigen. Hierbij zijn de kosten van de inzet van de betrokken gemeentelijke medewerkers niet in rekening gebracht. Deze worden verondersteld onderdeel te vormen van de bestaande begrotingen van de genoemde afdelingen.

Kosten voor het ontwikkelen van communicatiemiddelen, bijvoorbeeld schrijven, opmaken en drukwerk.

Kosten voor het onderhoud van communicatiemiddelen. Kosten voor verspreiding, bijvoorbeeld het verzenden van brieven. Kosten voor bijeenkomsten, bijvoorbeeld het deelnemen aan congressen, trainingen. Onvoorziene kosten (over het algemeen 10% van het totaal).

De in dit communicatieplan informatiebeveiliging opgenomen communicatieactiviteiten leiden tot de onderstaande kosten (zie tabel 5).

communicatieactiviteit Kosten (Euro's en excl. BTW)[communicatiemiddel] X[communicatiemiddel] X[communicatiemiddel] XTotaal X

Tabel 5 Begroting communicatieactiviteiten informatiebeveiliging.

30

Bijlage 2: Voorbeeld enquête informatiebeveiligingOpmerking:De hier vermelde enquête bevat voorbeeldvragen die aangepast dienen te worden naar de eigen gemeentelijke situatie. Niet alle vragen zijn dan ook relevant voor uw gemeente. Het gaat er hier om, om u een idee te geven van het soort vragen die in een vragenlijst/enquête met betrekking tot bewustwording opgenomen kunnen worden.

Voor de gemeente is een goede beveiliging van informatie van groot belang. Gegevens van burgers, ketenpartners en andere vertrouwelijke documenten mogen niet voor onbevoegden toegankelijk zijn. Dit kan grote problemen veroorzaken voor de voortgang en de kwaliteit van de gemeentelijke dienstverlening. Hierbij zijn we gebonden aan allerlei wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG). Bovendien kunnen incidenten leiden tot imagoschade voor de gemeente. Door middel van bijgevoegde enquête willen wij de bekendheid van informatiebeveiliging en het gedrag van gemeentelijke medewerkers meten.

Wij sturen deze enquête steekproefsgewijs aan 25% van de gemeentelijke medewerkers. Wij zouden het bijzonder waarderen als u deze enquête invult. Het beantwoorden van de vragen kost u ongeveer tien minuten.

De invulinstructie voor deze vragenlijst is als volgt: Per vraag kiest u een antwoord door het bijbehorende vakje aan te kruisen. Bij vrijwel alle vragen

dient u één antwoord te kiezen. Als dit niet het geval is staat dit duidelijk aangegeven. De vragenlijst is anoniem; u hoeft dus geen naam op het formulier te vermelden. Wij vragen wel naar

uw functie om hier eventueel bij de verwerking van de resultaten en het bepalen van de vervolgacties gebruik van te kunnen maken.

U kunt de ingevulde vragenlijst via de interne post tot uiterlijk [datum] terugsturen naar:

<Adres>

Bij voorbaat hartelijk dank voor de medewerking!

<Ondertekening>

Aandacht voor informatiebeveiligingInformatiebeveiliging heeft tot doel de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van gegevens te waarborgen. Het maakt hierbij niet uit of de werkzaamheden op kantoor plaatsvinden of vanuit huis en of dat het hierbij gaat om een door de gemeente versterkte computer/mobiel apparaat of een privé-eigendom. Het gaat om betrouwbare gemeentelijke dienstverlening. Dit betekent dat:

De gemeentelijke informatiesystemen en informatie beschikbaar zijn wanneer we deze nodig hebben (beschikbaarheid).

We kunnen vertrouwen op wat de gemeentelijke informatiesystemen ons tonen (integriteit). We zorgen dat vertrouwelijke gegevens niet in verkeerde handen terechtkomen (vertrouwelijkheid). We zorgen dat het mogelijk is om te kunnen achterhalen welke handelingen met de gemeentelijke

informatiesystemen zijn uitgevoerd (controleerbaarheid).

1. Binnen welke van de onderstaande categorieën valt uw functie?O <functie>O <functie>O anders, namelijk ..........................................................................................

2. Vindt u het belangrijk dat we binnen de gemeente aandacht besteden aan informatiebeveiliging?O Nee, ik vind informatiebeveiliging niet belangrijkO Ja, ik vind informatiebeveiliging belangrijk

31

O Ik heb hierover geen mening

3. Informatiebeveiliging maakt een belangrijk onderdeel uit van mijn werk.O Zeer mee eensO Mee eensO NeutraalO Mee oneensO Zeer mee oneens

4. Binnen de gemeente hebben we een informatiebeveiligingsbeleid opgesteld. Kent u dit informatiebeveiligingsbeleid?

O Nee, ik heb hiervan nog nooit gehoordO Ja, ik heb hiervan gehoord, maar ik ken de inhoud nietO Ja, ik ken de inhoud van dit informatiebeveiligingsbeleid

5. Binnen de gemeente hebben we een gedragscode voor het gebruik van computerfaciliteiten opgesteld. Heeft u deze gedragscode gelezen en weet u hoe u met de door de gemeente beschikbaar gestelde computerfaciliteiten om moet gaan?

O Nee, ik heb hiervan nog nooit gehoordO Ja, ik heb hiervan gehoord, maar ik ken de inhoud nietO Ja, ik ken de inhoud van deze gedragscode, maar ik weet niet hoe ik met de door de gemeente

beschikbaar gestelde computerfaciliteiten om moet gaanO Ja, ik ken de inhoud van deze gedragscode en ik weet hoe ik met de door de gemeente

beschikbaar gestelde computerfaciliteiten om moet gaan

6. Weet u dat er op het intranet aandacht wordt besteed aan informatiebeveiliging (<link>)?O Nee, dat weet ik nietO Ja, dat weet ik, maar ik heb de genoemde pagina’s niet bezochtO Ja, ik heb de genoemde pagina’s wel eens bekeken

7. Weet u wie verantwoordelijk is voor Informatiebeveiliging binnen de gemeente? (Alles selecteren wat van toepassing is)

ICT-afdeling Afdelingen die de gegevens gebruiken Gemeentesecretaris Managers en teamleiders (Chief) Information Security Officer Individuele gemeentelijke medewerkers

8. Heeft u de gemeentelijke bewustwordingstraining gevolgd? O JaO Nee

9. Weet u of uw leidinggevende(n) inzicht heeft/hebben in de begrippen en principes van informatiebeveiliging?

O Nee, dit weet ik niet (ga verder met vraag 11)O Ja, maar mijn leidinggevende(n) kent/kennen de begrippen en principes van informatiebeveiliging

niet (ga verder met vraag 11)O Ja, mijn leidinggevende(n) is/zijn bekend met de begrippen en principes van informatiebeveiliging

10. Zo ja, hoe beoordeelt u het bewustzijn van uw leidinggevende(n) ten aanzien van informatiebeveiliging?O Mijn leidinggevende(n) vindt/vinden informatiebeveiliging alleen maar lastigO Mijn leidinggevende(n) stelt/stellen zich neutraal opO Mijn leidinggevende(n) stimuleert/stimuleren de realisatie en naleving van regels voor

informatiebeveiliging

32

11. Bent u zich bewust van uw eigen rol met betrekking tot informatiebeveiliging?O Nee, daar ben ik mij niet van bewustO Ja, maar dit heeft niet geleid tot concrete actiesO Ja, ik werk actief mee aan informatiebeveiliging

12. Voorbeelden van beveiligingsincidenten zijn virussen, gebruik van illegale programmatuur, diefstal van gegevens, et cetera. Weet u dat u een beveiligingsincident moet melden?

O Nee, daar weet ik niets vanO Ja, daar heb ik wel eens van gehoord, maar dat doe ik in de praktijk nietO Ja, als ik beveiligingsincidenten ontdek, meld ik deze

13. Weet u bij wie u een beveiligingsincident moet melden?O Nee, dat weet ik nietO Ja, als ik een beveiligingsincident ontdek, meld ik dit bij mijn leidinggevendeO Ja, als ik een beveiligingsincident ontdek, meld ik dit bij de (Chief) Information Security Offier

14. Weet u wat met aanvaardbaar gebruik van de door de gemeente beschikbaar gestelde computerfaciliteiten wordt bedoeld?

O Nee, dat weet ik nietO Ja, daar heb ik wel eens van gehoord, maar dat pas ik in de praktijk niet toeO Ja, ik ben hiervan op de hoogte en handel hier ook naar

15. Bent u zich bewust van het feit dat wat u op uw computer doet invloed kan hebben op andere personen?O Nee, daar ben ik me niet van bewustO Ja, daar heb ik wel eens van gehoord, maar ik kan de impact niet volledig beoordelenO Ja, daar ben ik me volledig van bewust en handel hier ook naar

De omgang met informatie (tijdens uw werk)Informatiebeveiliging komt u tegen in uw dagelijkse werk. Bij het inloggen wordt om een wachtwoord gevraagd, vertrouwelijke gegevens mogen niet zomaar onbeheerd worden achtergelaten, et cetera.

16. Kruis aan in hoeverre u weet wat de volgende begrippen betekenen en inhouden?

Onvoldoende Voldoende GoedHoaxKeyboard-loggersMalwarePhishingShoulder surfingSocial engineeringSpamSterk wachtwoordVeilige internetverbindingMan-in-the-middle attackVirusDatalekBasline Informatiebeveiliging Overheid (BIO)Privacy Impact Assessment (PIA)Baselinetoets BIO

17. U bent zich bewust dat u een belangrijke rol kan spelen in het beschermen van uw computer en de informatie die daarop is opgeslagen.

O Zeer mee eens

33

O Mee eensO NeutraalO Mee oneensO Zeer mee oneens

18. Wachtwoorden zijn belangrijk voor het voorkomen van ongeautoriseerde toegang tot informatie. Welke van de volgende wachtwoorden zijn sterke wachtwoorden volgens het gemeentelijke wachtwoordbeleid? (Alles selecteren wat van toepassing is)

Beheerder w3th0ud3r G3m33nt3 Janssen Geheim22 W@chtw00rd G3m33nt3s3cr3t@r!s

19. Worden binnen uw afdeling login codes en wachtwoorden gedeeld?O Ja, om bijvoorbeeld elkaars afwezigheid te kunnen opvangenO Nee, we delen deze gegevens niet

20. Maakt u uw persoonlijke wachtwoord(en) wel eens bekend aan andere medewerkers?O Nee, ik houd mijn persoonlijke wachtwoord(en) geheimO Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekendO Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend, maar wijzig

het onmiddellijk nadat de noodzaak daarvoor is vervallen

21. Heeft een bekende u op het werk wel eens om uw persoonlijke wachtwoord gevraagd?O Ja, en ik heb het toen ook gegevenO Ja, en ik heb het toen niet gegevenO Nee

22. Legt u uw wachtwoord(en) wel eens ergens vast (op papier, onder het toetsenbord of de muismat, in uw agenda, et cetera)?

O Nee, ik houd mijn wachtwoord(en) geheimO Ja, ik leg mijn wachtwoord(en) wel eens vastO Ja, ik leg mijn wachtwoord(en) wel eens vast, maar wel op een beveiligde manier

23. Maakt u wel eens gebruik van het persoonlijke account van een andere medewerker?O Nee, ik maak alleen gebruik van mijn eigen accountO Ja, maar alleen bij hoge uitzonderingO Ja, dat doe ik regelmatig

24. Als iemand u een e-mail stuurt met een bijlage/link die niet aan werk gerelateerd is, hoe waarschijnlijk is het dat u deze opent?

O Niet waarschijnlijkO Mogelijk, afhankelijk van wat wordt verzondenO Zeer waarschijnlijkO Altijd

25. Als u uw werkplek voor langere tijd verlaat, bijvoorbeeld een lunch of meeting, zorgt u er dan voor dat anderen geen toegang kunnen krijgen tot uw computer?

O Ja, ik beveilig mijn computer (ga verder met vraag 26)O Nee, daarvoor doe ik niks (ga verder met vraag 28)

26. Hoe beveiligt u uw computer als u deze voor langere tijd verlaat? (Alles selecteren wat van toepassing is)

34

Ik zet mijn monitor uit Ik log uit Ik zet de computer uit Ik maak gebruik van een met wachtwoord beveiligde screensaver

27. Een screensaver met wachtwoordbeveiliging kan u helpen bij de beveiliging van uw eigen werkplek. Wat vindt u van het nut van een dergelijke maatregel?

O Ik vind een screensaver alleen maar lastigO Het maakt mij niet uitO Ik vind een screensaver nuttigO Ik vind een screensaver nuttig, maar wil de instellingen wel zelf kunnen bepalen

28. Heeft uw werk betrekking op de volgende soorten informatie? (Alles selecteren wat van toepassing is) Persoonsgegevens van burgers Persoonsgegevens van medewerkers Financiële Informatie Gegevens met betrekking tot SUWI Gegevens uit het sociaal domein Geen van bovenstaande

29. Bij de gemeente <gemeente> is het niet toegestaan om vertrouwelijke informatie, zoals persoonsgegevens van burgers, via e-mail onbeveiligd over het internet te versturen. Verstuurt u wel eens vertrouwelijke informatie via e-mail onbeveiligd over het internet?

O Niet van toepassing, want ik heb niet te maken met vertrouwelijke informatieO Nee, dat doe ik nooitO Ja, maar alleen bij hoge uitzonderingO Ja, dat doe ik regelmatig

30. U wordt gevraagd om informatie met onder andere namen en contactgegevens naar een andere gemeentelijke afdeling op te sturen. Wat is een geschikte methode voor het verzenden van deze informatie? (Alles selecteren wat van toepassing is)

E-mailbericht Een door de gemeente beschikbaar gesteld uitwisselplatform Cloud, bijvoorbeeld Dropbox. Google Drive, Box of Microsoft OneDrive Telefoon Persoonlijk afleveren op papier of op een USB-stick Interne post

31. Elektronische en papieren documenten kunnen gevoelige persoonsgegevens bevatten, zoals burgerservicenummer (BSN), namen, gebruikerscodes, adressen et cetera. Welke uitspraak beschrijft het beste hoe deze documenten worden verwerkt binnen uw team?

O Documenten worden niet in een speciale manier behandeldO Documenten zijn onderworpen aan de interne procedures en het beleid om de vertrouwelijkheid

te beschermen

32. Binnen de gemeente <gemeente> moet zorgvuldig worden omgaan met vertrouwelijke documenten, zoals dossiers van burgers. Dit betekent dat deze documenten zodanig moeten worden bewaard dat ze niet door onbevoegden kunnen worden ingezien of worden meegenomen. Gaat u zorgvuldig om met vertrouwelijke documenten?

O Nee, ik houd mij niet aan deze regelsO Ja, ik ruim vertrouwelijke documenten altijd op, zodat onbevoegden hier niet bij kunnen

33. U slaat uw bestanden op uw bureaublad of op de harde schijf van uw computer op in plaats van op de gemeentelijke netwerkomgeving? Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.

O Altijd

35

O SomsO ZeldenO NooitO Ik weet het niet

34. Er staat geen informatie op uw computer of op de voor u toegankelijke gemeentelijke netwerkomgeving dat van enig belang is of waarde heeft voor anderen. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.

O Zeer mee eensO Mee eensO NeutraalO Mee oneensO Zeer mee oneens

35. Hoe vaak neemt u informatie mee naar huis om daar thuis aan verder te werken met uw computer thuis?O Bijna elke dagO Minstens één keer per weekO Minstens één keer per maandO Nooit

36. Hoe vaak heeft u op afstand (remote) toegang tot de gemeentelijke gedeelde schijven, bestanden, toepassingen of uw e-mails?

O Bijna elke dagO Minstens een keer per weekO Minstens een keer per maandO Nooit

37. U ontvangt een e-mail van inkoop@leverancier.nl. Opent u een email waarvan u de persoon en organisatie niet kent om de inhoud ervan te bekijken.

O NooitO SomsO RegelmatigO Altijd

38. U bent aan het surfen op het internet, opeens verschijnt een scherm waarin u wordt meegedeeld dat u een prijs heeft gewonnen. Het enige wat u daarvoor moet doen is een aantal persoonlijke vragen te beantwoorden.

O Daar doe ik nooit aan mee.O Daar doe ik soms aan mee, maar ik ben me bewust van de risico’sO Daar doe ik soms aan mee, hangt af van de prijs die ik kan winnenO Daar doe ik altijd aan mee

39. U wordt gewaarschuwd dat er nieuwe updates beschikbaar zijn voor het besturingssysteem van uw computer. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.Wat doet u?O Ik installeer nooit updates voor mijn computer, omdat ik niet weet hoe dit moetO Ik installeer altijd de updates voor mijn computerO De updates worden automatisch geïnstalleerd

40. Maakt u een back-up van de gegevens op uw computer? Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.O Ik maak nooit een back-up van de gegevens op mijn computerO Als ik eraan denk maak ik een back-up van de gegevens op mijn computerO Ik maak iedere week een back-up van de gegevens op mijn computer

41. Controleert u tijdens het mobiel werken of u gebruik maakt van een veilige internetverbinding?

36

O Ik maak nooit gebruik van een openbaar wifinetwerk voor mijn werkO Ik maak nooit gebruik van een openbaar wifinetwerk O Ik maak soms gebruik van een openbaar wifinetwerk voor mijn werkO Ik maak gebruik van een openbaar wifinetwerk als er een beschikbaar is

CommunicatieVoor informatiebeveiliging is communicatie van groot belang. Over de zorgvuldige omgang met vertrouwelijke informatie hebben wij u in het afgelopen jaar op verschillende manieren geïnformeerd.

42. We willen het personeel blijven informeren over het nut en de noodzaak van informatiebeveiliging. Wat is hierover uw mening?

O Ik vind deze activiteiten zinloosO Ik heb hierover geen meningO Ik vind deze activiteiten zinvol

43. Om de boodschap over informatiebeveiliging te verspreiden, zetten we verschillende communicatiemiddelen in. Op welke manier bent u iets over informatiebeveiliging te weten gekomen? (Alles selecteren wat van toepassing is)

Brochure informatiebeveiliging Artikelen in <het personeelsblad> Intranet Toelichting in het werkoverleg Posters Overig, namelijk ………………………………………………………………………..

44. Over welke onderwerpen die samenhangen met informatiebeveiliging wilt u nader worden geïnformeerd?............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

45. Heeft u naar aanleiding van deze enquête vragen, opmerkingen of suggesties?............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

Wij danken u hartelijk voor uw medewerking! Uw gegevens worden in de uitslagen van de enquête anoniem verwerkt. De resultaten worden gebruikt om de communicatie over informatiebeveiliging verder vorm te geven.

37

Bijlage 3: Definities

Baseline Informatiebeveiliging Overheid (BIO): De BIO is allereerst een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen) van de overheid. Daarnaast concretiseert de BIO een aantal normen tot verplichte overheidsmaatregelen:

op grond van wet- en regelgeving; vanwege de gemeenschappelijk veiligheid van informatieketens; omdat deze fundamenteel zijn voor een betrouwbare c.q. professionele informatievoorziening.

De Baseline Informatiebeveiliging Overheid BIO is gebaseerd op de ISO 27002 standaard.

Chief Information Security Officer (CISO): Onder CISO wordt de functionaris verstaan die bij een gemeente qua governance verantwoordelijk en aanspreekbaar is voor de informatiebeveiliging. De CISO is voor informatieveiligheid het eerste aanspreekpunt, voor beleidskwesties en voor eerste escalaties. De CISO is of wordt aangewezen door het management van de gemeente.

Datalek21:Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Hoax:22

In de computerwereld wordt het woord in het bijzonder gebruikt voor een vals gerucht, een bewering die niet waar is en per e-mail of via social media wijde verspreiding vindt. In deze betekenis begint het ook in andere talen door te dringen. Het betreft hier meestal zeer bijzondere aanbiedingen (onder meer het beloven van grote sommen geld), reddingsacties van zieke kinderen (waardoor iemand een telefoon roodgloeiend had staan) of een aankondiging van een uitzonderlijk gevaarlijk computervirus. Het bericht gaat meestal vergezeld van de oproep om het bericht vooral toch onbeperkt naar iedereen door te sturen.

Keyboard-loggers:

Met een keyboard-logger wordt in dit geval een toetsenbordstekker bedoeld die tussen het toetsenbord en de pc wordt gestoken. Deze keyboard-loggers slaan alle toetsaanslagen op, en daarmee ook de ingetoetste gebruikersnamen en wachtwoorden. Er bestaan ook softwarematige keyboard-loggers. Een tegenmaatregel tegen fysieke keyboard-loggers is om regelmatig aan de buitenkant van de pc de toetsenbord aansluiting te controleren. De meeste antivirussoftware herkent de meeste softwarematige keyboard-loggers.

Malware:23

Is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een samenvoeging van het Engelse malicious software (kwaadwillende software). Malware wordt gedefinieerd door middel van zijn kwaad opzet.

21 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wat-is-een-datalek-precies-5916

22 http://nl.wikipedia.org/wiki/Hoax

23 http://nl.wikipedia.org/wiki/Malware

38

Man-in-the-middle attack24

Dit is een aanval waarbij informatie tussen twee communicerende partijen wordt onderschept zonder dat beide partijen daar weet van hebben. De computer van de aanvaller bevindt zich tussen de twee communicerende partijen. De berichten kunnen hierbij mogelijk gelezen en veranderd worden. Maatregelen die getroffen hiervoor kunnen worden is het gebruik maken van standaarden die een veilige verbinding waarborgen en de authenticiteit vaststellen.

Phishing:

Bij phishing wordt gebruik gemaakt van een e-mail waarbij de eindgebruiker wordt verleid om zijn gebruikersgegevens, waaronder het wachtwoord, in te vullen op een malafide website. Tegenmaatregelen die kunnen helpen zijn: gebruikmaken van een goede up-to-date antivirusscanner en er dient aandacht te zijn voor het openen van e-mailbijlagen in bewustwordingscursussen.

Post-it briefjes:

Wachtwoorden worden soms op briefjes opgeschreven en aan de monitor geplakt, of onder het toetsenbord of op een andere onveilige plaats bewaard. Dit dient geadresseerd te worden in bewustwordingscursussen.

Privacy Impact Assessment (PIA)25:

In de Algemene Verordening Gegevensbescherming (AVG) heet dit een DPIA (Data protection impact assessment). De Nederlandse vertaling is een gegevensbeschermingseffectbeoordeling. Het is een instrument waarmee vooraf privacy-risico’s van een gegevensverwerking in kaart kan worden gebracht. Vervolgens kunnen passende maatregelen genomen worden om de risico’s te verkleinen. Onder de AVG is het uitvoeren van een PIA verplicht als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

Baselinetoets BIO:

De Baselinetoets BIO S is een instrument waarmee op gestructureerde wijze het passende beveiligingsniveau van een proces of systeem wordt vastgesteld. Vervolgens kan met behulp van de BIO passende beveiligingsmaatregelen geselecteerd en geïmplementeerd worden.

Shoulder surfing:

Meekijken met het invoeren van wachtwoorden. Een tegenmaatregel is dat men zich bewust moet zijn van deze vorm van een aanval en dat men het meekijken over de schouder voorkomt. Er zijn ook privacy filters te koop die shoulder surfing onmogelijk maken. Onder andere handig wanneer in de trein wordt gewerkt.

Social engineering26:

Is een techniek waarbij een kwaadwillende een aanval tracht te ondernemen door de zwakste schakel in de beveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de kwaadwillende dichter bij het aan te vallen object/doel kan komen.

Spam27: Is een verzamelnaam voor ongewenste berichten en is ook bekend als Unsolicited Commercial E-mail en Unsolicited Bulk E-mail. Onder deze term vallen ongewenste e-mails en reclameboodschappen op websites.

24 https://nl.wikipedia.org/wiki/Man-in-the-middle-aanval

25 https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia

26 http://nl.wikipedia.org/wiki/Social_engineering_%28informatica%29

27 http://nl.wikipedia.org/wiki/Spam_%28post%29

39

Bijlage 4: Literatuur/bronnen

Voor deze publicatie is gebruik gemaakt van onderstaande bronnen:

Titel: SP 800-50 -Building an Information Technology Security Awareness and Training ProgramWie: National Institute of Standards and Technology(NIST)Datum: oktober 2003Link: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

Titel: Diverse documentenWie: Informatiebeveiliging in de zorg - Werken met NEN 7510Datum: 2012Link: https://www.werkenmetnen7510.nl/

Kijk voor meer informatie op:www.informatiebeveiligingsdienst.nl