Binnenlands Bestuur heeft melding gemaakt van slecht beveiligde e-mailsystemen van gemeenten. Volgens hun eigen onderzoek voldoen slechts drie van de vijftig onderzochte gemeenten aan de geldende veiligheidsnormen. Het is niet de eerste keer dat de lokale ambtenarij er slecht afkomt in onderzoeken naar digitale veiligheid van overheidsinstanties. 

Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) maakte eind 2015 al bekend dat Rijksambtenaren digitaal een stuk alerter zijn dan hun collega’s bij gemeenten. Hoe komt dat toch? Bewustwordingsprojecten moeten samengaan met daadwerkelijke securitymaatregelen. En externe kennis zou veel beter ingebed moeten worden binnen de organisatie. Twee maatregelen die wel bij de Rijksoverheid genomen zijn, maar waar lokale overheden nog veel van kunnen leren.

Lokaal verantwoordelijk

Een van de grootste uitdagingen bij informatiebeveiligingsprojecten is het gebrek aan interne kennis en ervaring. Een willekeurige gemeente besluit externe partijen in te huren waarbij de lokale ambtenaar verantwoordelijk voor de digitale veiligheid een coördinerende rol op zich neemt. Checklists worden opgezet en waar nodig wordt de interne organisatie betrokken bij het concretiseren van de te nemen maatregelen. Die betrokkenheid wordt veelal opgedrongen. Het gevolg van deze aanpak is dat er wel een bepaalde mate van bewustwording ontstaat. Immers, de lokale ambtenaren ontkomen niet aan deelname aan securitybijeenkomsten. Zeker niet als deze onderdeel zijn van regulier overleg of opgenomen worden in introductieprogramma’s.

Bewustzijn van digitale veiligheid leidt niet automatisch tot verandering

De ambtenaar krijgt allerlei vragen waarmee duidelijk wordt dat security leeft binnen de gemeente. Maar daar houdt het dan ook op. Bewustzijn van het belang van digitale veiligheid leidt niet automatisch tot verandering van gedrag. Zonder actieve betrokkenheid voelt de ambtenaar het niet als zijn eigen verantwoordelijkheid om ook van gedrag te veranderen. Het is tenslotte niet hun project. Het is vooral een kwestie van vinkje halen zodat de gemeente een volgende audit kan doorstaan. In zo’n situatie moet de gemeente ervoor zorgen, dat er gedegen overdracht plaatsvindt van de ingehuurde kennis naar borging binnen de gehele gemeente. Die overdracht vindt nu nog veel te weinig plaats is mijn ervaring.

Voor menig ambtenaar blijft het een ‘ver-van-mijn-bed-show’. Dat is anders op het niveau van de Rijksoverheid. Die heeft afgelopen jaren fors ingezet op implementatie van informatiebeveiliging met bijvoorbeeld de invoering van de Baseline Informatiebeveiligings Rijksdienst (BIR). Ook de gemeenten kennen dergelijke programma’s als de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en varianten of deelprojecten daarvan. Toch blijken die ook niet zaligmakend.

Acties koppelen aan bewustwording

Het succes van dergelijke programma’s zit hem vooral in het koppelen van bewustzijn-programma’s met daadwerkelijke gedragsacties op hetzelfde moment. Het heeft geen enkele zin om alleen maar boeman te spelen. 'Zorg dat je je laptop niet kwijtraakt!' roepen, leidt echt niet tot gedragsverandering. Het is inmiddels allang bewezen dat dreigen averechts werkt. Fear, Uncertainty & Doubt (FUD) is misplaatst en leidt tot afhaken. Juist van degenen die digitale veiligheid moeten gaan omarmen. Het gaat beter als je de daad bij het woord voegt.

Laptop-kabelslot

Als de lokale ambtenaar een laptop-kabelslot krijgt uitgereikt, dan is het zaak dat hij tegelijkertijd hoort waarom dit belangrijk is. Het voordeel voor zowel de gemeente als de individuele overheidsfunctionaris is dan gelijk duidelijk. Het resultaat is dat zo’n actie tien keer beter beklijft, dan een boel angstaanjagerij zonder persoonlijke concrete maatregelen voor de eigen digitale werkplek. Ook speerpuntmedewerkers die voorbeeldgedrag vertonen op securitygebied lokken veel bewuster gedrag uit. Dat is al merkbaar op plekken waar de Security Officer binnen zijn eigen organisatie rondloopt en het gesprek aangaat zonder politieagent te spelen.

Een digitaal veilige lokale overheid kan dus wel. Sterker nog, het moet zelfs, voor eigen veiligheid. Zeker nu ook de Wet op de Meldplicht Datalekken goed begint in te dalen. Maar dan op een andere manier dan tot nu toe is gebeurd.

Hoe zit het eigenlijk met uw digitale veiligheid?

Wilt u naar aanleiding van dit artikel meer weten over de organisatie van de digitale veiligheid in uw onderneming? Stel uw vraag of e-mail ons voor een afspraak via het contactformulier.