SlideShare ist ein Scribd-Unternehmen logo

Handreiking - Security Awareness (Concept)

N
NAVI

Deze handreiking bevat een stappenplan, een plan van aanpak en diverse voorbeelden, waarmee aandacht wordt besteed aan de menselijke en psychologische aspecten van bewust en veilig handelen.

Weiterbildung und PersönlichkeitsentwicklungTechnologieBusiness
1 von 38
Downloaden Sie, um offline zu lesen
Handreiking Security Awareness Een handreiking voor het opzetten en onderhouden van een bewustwordingsprogramma werkdocument 1
“Bewust Vitaal” Herstel van de zwakste schakel Een handreiking voor het ontwikkelen van een Security Awareness programma
1-dec-08, versie 0.6
Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de fysieke en digitale beveiliging van de vitale infrastructuur in Nederland. Beheerders en eigenaren van de vitale infrastructuur in Nederland kunnen bij het NAVI terecht voor informatie en onafhankelijk advies op het gebied van de beveiliging tegen moedwillige verstoring (security). De vier kerntaken van het NAVI zijn: Advisering over beveiliging Het NAVI geeft eigenaren of beheerders van vitale infrastructuur in Nederland advies over beveiliging. Bijvoorbeeld bij het uitvoeren van risicoanalyses of van een second opinion op een bestaand beveiligingsplan. Ook adviseert het NAVI over al genomen of nog te nemen beveiligingsmaatregelen op basis van een risicoanalyse. Hierbij werkt het NAVI vraaggericht. Delen van kennis en informatie over beveiliging Het NAVI zorgt ervoor dat betrokken partijen kennis en informatie binnen de vitale sectoren in Nederland kunnen delen. Het NAVI onderhoudt daartoe contacten met overheden en met het bedrijfsleven uit de vitale sectoren en daarnaast met relevante contacten en instellingen in het buitenland. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, ondermeer door het organiseren van bijeenkomsten, via de website en de beschikbaarheid van een kennisbank. Productontwikkeling Het NAVI ontwikkelt ook eigen producten. De focus ligt hierbij op producten die voor een hele sector of zelfs meerdere sectoren toepasbaar zijn. Voorbeelden hiervan zijn de verschillende handreikingen die momenteel worden ontwikkeld over beveiligingsonderwerpen. Indien nodig worden de producten op verschillende niveaus van volwassenheid ontwikkeld. Ook spant het NAVI zich in om producten van derden voor de Nederlandse vitale infrastructuur toegankelijk te maken. Netwerkfunctie Het NAVI onderhoudt en ontwikkelt een breed netwerk binnen de beveiligingswereld en fungeert als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur. Zowel voor overheidspartijen, kennisinstellingen in binnen en buitenland, als bedrijven. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen uit een sector of uit verschillende sectoren op reguliere basis bij elkaar om informatie te delen en om over beveiligingsonderwerpen te spreken. Kijk voor meer informatie op de website: www.navi-online.nl 1-dec-08, versie 0.6 pagina 3 van 36
1-dec-08, versie 0.6 pagina 4 van 36
Managementsamenvatting Organisaties kunnen de integriteit, vertrouwelijkheid en Not My Problem beschikbaarheid van informatie in hedendaagse Professionals en hun organisaties zijn bereid om gedistribueerde netwerken en de veiligheid van grote investeringen te doen personeel, materieel, gebouwen en processen niet om technische maatregelen te implementeren garanderen zonder dat iedere betrokken medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is (techniek): veelal de eerste opgeleid. De menselijke factor is een dermate grote volwassenheidsfase. kritieke succesfactor dat het noodzakelijk en verplicht is, Professionals komen er achter dat techniek alleen om management, beheerders en gebruikers van niet genoeg is. Procedures systemen periodiek een bewustwordingsprogramma te dienen volledig te zijn, gecommuniceerd te laten volgen dat gericht is op beveiliging. worden – kortom: beveiliging dient georganiseerd te worden. De tweede Deze handreiking voor het ontwikkelen van een volwassenheidsfase. Security Awareness programma geeft organisaties een En als het dan georganiseerd is, en de techniek is aanzet om een eigen bewustwordingsprogramma op te afgesteld, dan blijkt veelal zetten of verder uit te bouwen. Het behandelt op grote dat mensen 'het gewoon niet zo doen'. En lijnen het ontwikkelen van een plan, de ontwikkeling van Nederlanders al helemaal niet. materiaal en de implementatie en evaluatie ervan. Nederlanders hebben een hekel aan beveiligingsmaatregelen: “Waar is het De start van de ontwikkeling van deze handreiking ligt voor nodig?” “Hier gebeurt nooit wat” “Laten ze nog maar kort achter ons en het NAVI is zich er van maar eerst bij zichzelf bewust dat tussen maar ook binnen de vitale sectoren beginnen ”en andere uitvluchten, samen te vatten een grote diversiteit is aan behoefte van bedrijven. Deze tot “It Is Not My Problem”. handreiking heeft daarom de status van een eerste openbare concept. De lezer wordt van harte uitgenodigd Bron: Lezing van het Platform voor commentaar en aanvullingen te geven waardoor het Informatiebeveiliging plan van aanpak van het bewustwordingsprogramma breder inzetbaar is en de kwaliteit verhoogd wordt. 1-dec-08, versie 0.6 pagina 5 van 36
1-dec-08, versie 0.6 pagina 6 van 36
Inhoudsopgave 1. Productbeschrijving ..................................................................................................................................... 9 1.1. Inleiding ................................................................................................................................................ 9 1.2. Achtergrond.......................................................................................................................................... 9 1.3. Relatie met andere literatuur ................................................................................................................ 9 1.4. Leeswijzer .......................................................................................................................................... 10 2. Product ........................................................................................................................................................ 11 2.1. Algemeen ........................................................................................................................................... 11 2.2. Doelgroep........................................................................................................................................... 12 2.3. De relatie naar bekwaamheid en bewustzijn ...................................................................................... 12 2.4. Waarom “Eerste openbare Concept”?................................................................................................ 12 3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding ....................................... 15 4. De ontwerpfase ........................................................................................................................................... 17 4.1. Inleiding .............................................................................................................................................. 17 4.2. Structureren van een programma....................................................................................................... 17 4.3. Belangen- en behoeftebepaling.......................................................................................................... 18 4.4. Opstellen van een plan....................................................................................................................... 19 4.5. Stellen van prioriteiten ........................................................................................................................ 20 4.6. Mate van complexiteit......................................................................................................................... 20 4.7. Budgettering ....................................................................................................................................... 21 4.8. Commitment en draagvlak.................................................................................................................. 21 5. De ontwikkeling van materiaal................................................................................................................... 23 5.1. Inleiding .............................................................................................................................................. 23 5.2. Ontwikkelen van bewustwordingsmateriaal........................................................................................ 23 5.3. Selecteren van onderwerpen voor bewustwording............................................................................. 23 5.4. Bronnen voor materiaal ...................................................................................................................... 24 5.5. Uitbesteden of zelf doen?................................................................................................................... 25 5.6. Partnerschap ...................................................................................................................................... 25 5.7. Informatie-uitwisseling via de website van het NAVI .......................................................................... 25 5.8. De vorm.............................................................................................................................................. 25 6. De implementatiefase ................................................................................................................................. 27 6.1. Wijze van communiceren ................................................................................................................... 27 6.2. Technieken om de “boodschap” over te brengen ............................................................................... 27 7. De evaluatie- en onderhoudsfase.............................................................................................................. 29 7.1. Meten van de deelname en de effectiviteit ......................................................................................... 29 7.2. Evaluatie en feedback ........................................................................................................................ 30 7.3. Veranderingen doorvoeren................................................................................................................. 30 7.4. Verhogen van het niveau.................................................................................................................... 31 7.5. Succes indicatoren ............................................................................................................................. 31 8. Bijlage 1: Voorbeelden ............................................................................................................................... 33 8.1. Bewustwordingsprogramma gericht op Social Engineering................................................................ 33 8.2. Enkele voorbeelden van posters ........................................................................................................ 34 9. Bijlage 2; Literatuuroverzicht .................................................................................................................... 35 1-dec-08, versie 0.6 pagina 7 van 36
1-dec-08, versie 0.6 pagina 8 van 36
1. Productbeschrijving 1.1. Inleiding Voor u ligt het eerste openbare concept van ‘Bewust Vitaal’, de handreiking Security Awareness van het NAVI. Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een Security Awareness programma. Het bevat naast een stappenplan ook een plan van aanpak en creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen. 1.2. Achtergrond Het NAVI heeft ervaren dat er een grote diversiteit is in de mate waarin bedrijven binnen de vitale sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn een voorwaarde voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen, achtergronden van maatregelen toe te lichten en de noodzaak om maatregelen te nemen te verduidelijken, zal zijn houding en gedrag ten opzichte van security beïnvloed worden. 1.3. Relatie met andere literatuur Bewustwordingsprogramma’s zijn er in veel geuren en kleuren, en ze hebben allemaal gemeen dat ze geschreven zijn voor een bepaald Bruce Schneier: bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en Security yes, but down to earth, risico’s. Bewustwordingsprogramma’s kunnen daarom niet zonder without the mumbo jumbo, meer worden overgenomen van andere bedrijven en moeten dus without shouting in utter Panic: vaak zelf ontwikkeld of aangepast worden. Handleidingen om te “Barbarians at The Gate”. komen tot de ontwikkeling van een bewustwordingsprogramma die Boodschap: overdrijf niet en zorg zich richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet. Natuurlijk is er wel veel over geschreven in diverse publicaties voor afweging tussen veiligheid en maar de benodigde informatie is te verspreid om een eenduidig beeld werkbaarheid. te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. Enkele voorbeelden van publicaties die waardevolle aanvullende informatie kunnen geven zijn (zie ook literatuurbijlage): - Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of Standards and Technology) - Information Technology Security Training Requirements van het NIST - Bruce Schneier, Beyond Fear: - K.D. Mitnick, The art of deception; the human factor in Information Security - Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion - Y. Lafrance, Psychology: A precious security tool 1-dec-08, versie 0.6 pagina 9 van 36
1.4. Leeswijzer De beschrijving van de handreiking, de relatie naar een Bruce Schneier; Beyond fear. volwassenheidsmodel en hoe deze handreiking gebruikt kan Over the last years we've become worden vindt u in hoofdstuk 2. obsessed with security, and put in place In deze handreiking worden vier kritische stappen onderkend a whole host of policies and procedures om te komen tot een bewustwordingsprogramma: that will do... exactly what? - In Hoofdstuk 3 wordt de samenhang tussen de (..) The key is to think of security not in componenten training, bewustzijn en opleiding beschreven; absolutes, but in terms of sensible trade- - De ontwerpfase waarin het doel en de behoefte offs, whether on a personal or global wordt bepaald en waarin een strategie wordt scale. ontwikkeld (hoofdstuk 4); (..) is a refreshing antidote to today's - De ontwikkeling van trainingsmateriaal, afgestemd doomsday pessimism and anxiety. op de mogelijkheden, budget en beschikbare kennis (hoofdstuk 5). In dit hoofdstuk worden diverse Boodschap: overdrijf niet en zorg voor soorten materiaal besproken zoals web-based afweging tussen veiligheid en training, video, workshops, etc; werkbaarheid. - De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 6); - Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 7). In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan onbekende personen, zogenaamde Social Engineering. 1-dec-08, versie 0.6 pagina 10 van 36
2. Product In dit hoofdstuk wordt beschreven wat de handreiking is, hoe deze gebruikt kan worden en ook wat de handreiking niet beoogd te zijn. Tevens wordt aangegeven waarom dit document als “Eerste openbare concept” ter beschikking wordt gesteld. 2.1. Algemeen Het NAVI heeft zich naar aanleiding van signalen uit de vitale sectoren, tot doel gesteld om een handreiking te schrijven, die door bedrijven in de vitale sectoren gebruikt kan worden om een bewustwordingsprogramma op te zetten of te verbeteren. De mate waarin bedrijven een zeker niveau van “volwassenheid” hebben bereikt in het realiseren van een bewustwordingsprogramma varieert zowel tussen de sectoren onderling, alsook binnen de sectoren tussen de bedrijven. De mate van “volwassenheid” kan op hoofdlijnen worden onder verdeeld in drie niveaus, variërend van laag, middel en hoog. “volwassenheid” Laag: Bedrijven hebben geen strategisch beleid en/of structureel budget Informele organisatie voor een bewustwordingsprogramma. Er is nog geen of slechts De socioloog Erving Goffman incidenteel een bewustwordingsprogramma gerealiseerd. De beschrijft in zijn boek The verantwoordelijkheid voor het uitvoeren van een Presentation of Self in Everyday bewustwordingsprogramma is niet of slechts beperkt belegd bij een Life op fascinerende wijze de daarvoor aangewezen medewerker. Opvolging van eerder uitgebracht manier waarop we blijven programma strandt door het ontbreken van beleid, budget en/of geloven in, en vasthouden aan de creativiteit. Incidentregistratie wordt niet of niet volledig uitgevoerd. formele realiteit: Middel: Er is beleid en beschikbaar budget ten aanzien van De wetten, de regels, de Security bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. De verantwoordelijkheid hiervoor is belegd bij een medewerker van het Policies, de bewustwordings bedrijf. Er vindt incidentregistratie plaats en er worden analyses op de trainingen, de seminars, etc. incidenten uitgevoerd. Het bedrijf is zich bewust van de incidenten die Daarnaast bestaat er echter een het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. informele, vaak ontkende Het bedrijf heeft moeite om voortdurend aandacht te blijven vragen voor organisatie waarin zelfs in het onderwerp beveiligingsbewustwording omdat budgetten onder druk autoritaire instituties met “total staan, de relatie naar een verlaging van het aantal incidenten niet control” (gevangenissen, duidelijk is of door andere oorzaken, waaronder een gebrek aan psychiatrische ziekenhuizen, het creativiteit. leger, religieuze ordes) vinden Hoog: Er is beleid en beschikbaar budget ten aanzien van mensen hun weg om regels te bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. buigen en hun eigen realiteit te De verantwoordelijkheid hiervoor is belegd bij een medewerker of een creëren om drugs, alcohol, sex, afdeling van het bedrijf. Over de stand van zaken wordt reguleer sigaretten etc. te bemachtigen. gerapporteerd aan het management. Er vindt incidentregistratie plaats Het is aan te raden om met deze en er worden analyses op de incidenten uitgevoerd. Het bedrijf is zich informele organisatie rekening te bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust houden bij het formuleren van handelen van medewerkers. De bewustwordingsprogramma’s maken (soms complexe) gebruik van vernieuwende en creatieve middelen en zijn daardoor in veiligheidsprocedures staat de aandacht voor bewustwording vast te houden. Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat 1-dec-08, versie 0.6 pagina 11 van 36
beveiligingsbewust te handelen in alle voorkomende situaties. 2.2. Doelgroep Deze handreiking Security Awareness richt zich op bedrijven die zich qua “volwassenheid” op de niveaus laag en/of middel bevinden, dus voor bedrijven die een bewustwordingsprogramma willen starten of uitbreiden. Aan de hand van case beschrijvingen zal de ervaring van bedrijven die zich op het niveau hoog bevinden, worden meegenomen. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt bij tot het uitdragen van kennis, ervaring en creativiteit. 2.3. De relatie naar bekwaamheid en bewustzijn Een lage mate van beveiligingsbewustwording wordt gekenmerkt doordat mensen fouten maken zonder dat zij zich er van bewust zijn (1. Onbewust onbekwaam). Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en waarom dit handelen als fout getypeerd wordt (2. Bewust onbekwaam). Nadat dit stadium bereikt is wordt de medewerker het juiste gedrag aangeleerd. De medewerker moet zich bewust zijn van de risico’s van zijn gedrag en handelt zoals hem is aangeleerd (3. Bewust bekwaam). In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij handelt in overeenstemming met wat hem geleerd is en is in staat om het aangeleerde ook in andere situaties toe te passen (4. Onbewust bekwaam). Onbekwaam Bekwaam Onbewust 1. Onbewust onbekwaam 4. Onbewust bekwaam Bewust 2. Bewust onbekwaam 3. Bewust bekwaam Deze handreiking heeft met name betrekking op “bewust onbekwaam” en “bewust bekwaam” handelen. 2.4. Waarom “Eerste openbare Concept”? Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de ontwikkeling van deze handreiking ligt echter nog maar kort achter ons en het NAVI is zich er van bewust dat tussen maar ook binnen de vitale sectoren een grote diversiteit is aan behoefte van bedrijven. De eerste stap is daarom een concept van een generiek The fallacy of novelty stappenplan en plan van aanpak te presenteren. De Nieuwer is nog niet beter bedrijven binnen de sectoren worden nadrukkelijk Het is een misvatting dat nieuwe middelen uitgenodigd om hun commentaar en aanvullingen te beter zijn dan de oude. Besluiten worden geven. vaak genomen op basis van de aanname Handreiking houdt hier in dat het gebruikt kan worden bij dat nieuwer ook beter is en het oude is de begeleiding van de totstandkoming van een afgedankt, in plaats van op meetbare bewustwordingsprogramma. Het neemt degene die gegevens. De symboliek van “state of the verantwoordelijk is gesteld, mee in zijn proces om art techniek” of “up-to-date” te willen zijn problemen te onderkennen, doelen te definiëren en is soms erg belangrijk. oplossingen te creëren. Het is nadrukkelijk geen keurslijf, 1-dec-08, versie 0.6 pagina 12 van 36
geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat wordt overgelaten aan de creativiteit van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven De tweede stap is om dit commentaar te verwerken tot een breder gedragen en toepasbare handreiking. Indien uit de commentaren en aanvullingen blijkt dat er behoefte is aan meer specifieke onderwerpen per bedrijf of sector, dan wordt deze opgenomen in aanvullende hoofdstukken. Het mag immers duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is. U, de lezer, wordt daarom van harte uitgenodigd om bij te dragen aan een kwalitatief betere handreiking Security Awareness door commentaar en aanvullingen te geven. Ook nodig ik u van harte uit om voorbeelden aan te dragen van uitdagingen, die u in de praktijk hebt ervaren en die u hebt kunnen oplossen, zodat andere bedrijven kunnen leren van uw creatieve oplossingen. Wij vragen u nadrukkelijk niet om veiligheidsincidenten die zich binnen uw bedrijf hebben voorgedaan te beschrijven. Door het openbare karakter van deze handreiking Security Awareness kunnen wij de vertrouwelijkheid van de incidenten en de afhandeling niet garanderen. 1-dec-08, versie 0.6 pagina 13 van 36
1-dec-08, versie 0.6 pagina 14 van 36
3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen: • een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd op de bestaande en onderkende risico’s; • een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security Plan (OSP); • medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in beveiligingsdocumentatie en procedures; en • processen die het programma periodiek impulsen geven, bewaken en evalueren. Een goed bewustwordingsprogramma moet aansluiten bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte instructiemateriaal moet gebaseerd zijn op de strategie en beveiligingsplannen van de organisatie alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit bij de belevingswereld van de medewerkers. Een bewustwordingsprogramma moet zich niet alleen richten op de medewerker op de werkvloer maar op alle Kadootjes doen het goed medewerkers van een organisatie, dus inclusief de Nederlanders zijn als geen ander volk spaarders van beheerders en het (top)management. Het management zegeltjes, airmiles en freebees. Voor een klein heeft daarbij de bijzondere taak om voorbeeldgedrag te kadootje doen ze veel. Een ministerie wilde vertonen. Goed voorbeeldgedrag is een noodzaak om te stimuleren dat het overgrote deel van de communiceren dat het management de navolging van ambtenaren deel zou nemen aan een veiligheidsregels onderschrijft. Slecht voorbeeldgedrag van bewustwordingsprogramma. Het bood aan alle het management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te deelnemers een CD (in creditkaartformaat) aan met hoeven leven. De effectiviteit van een gratis software voor thuisgebruik waaronder een bewustwordingsprogramma is hier in grote mate van firewall, anti virus software en programma’s tegen afhankelijk. spam en ongewenste advertenties. Ook werd software geleverd waarmee ouders hun kinderen Veiligheidsvoorschriften en procedures zijn vaak wel voor konden beschermen tegen bezoeken aan alle medewerkers beschikbaar, op het intranet of fysiek als ongewenste sites. Daarnaast werd een cursus veilig bundel in een archiefkast. Instructie over nut en noodzaak PC-thuisgebruik op de CD aangeboden en bestond en de beoefening van de procedures wordt vaak de mogelijkheid een gekwalificeerde digitale achterwege gelaten. De medewerker krijgt in dat geval handtekening aan te vragen. opdracht om zich de procedures zelf eigen te maken, maar De deelname overtrof alle verwachtingen! zal daar geen prioriteit aan geven. Een bewustwordings- , En de kosten? Die bedroegen € 3,00 per CD opleidings- en trainingsprogramma is essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van veiligheidsmaatregelen. 1-dec-08, versie 0.6 pagina 15 van 36
Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een sanctiemodel indien een medewerkers de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van deze maatregelen en weten elke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen. Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd. SE als nul-meeting Voor een deel van de medewerkers volstaat een U wilt weten hoe het gesteld is met het naleven bewustwordingsprogramma niet. Medewerkers die specifieke of van veiligheidsmaatregelen in uw organisatie? specialistische kennis op het gebied van beveiliging nodig hebben Overweeg dan eens te starten met een security zullen veelal een externe opleiding volgen die in veel gevallen zal audit die gebaseerd is op Social Engineering. lkeiden tot certificering. Op de Nederlandse markt zijn een groot Hierbij proberen auditors door middel van list en aantal aanbieders van internationaal erkende opleidingen actief psychologische trucs om uw medewerkers (per die leiden tot een eveneens internationaal bekende en erkende telefoon of op locatie) te verleiden af te wijken titel. van veiligheidsprocedures en vertrouwelijke informatie te verstrekken, toegang te verlenen Een goed bewustwordingsprogramma richt zich dus op alle tot locaties, netwerken en archieven. relevante psychologische componenten: kennis (d.m.v. interne of En weet u al dat ongenode gasten mee kunnen externe opleidingen), houding (bewustzijn & competenties) en gedrag (d.m.v. herhaalde oefening en training). Indien aan één liften bij de toegang tot het pand? Deze auditors van deze drie componenten niet of onvoldoende aandacht wordt tonen op deze manier aan tot welke besteed, functioneert een bewustwordingsprogramma niet naar vertrouwelijke informatie of (proces)systemen behoren en is het op termijn gedoemd te mislukken. zij toegang kunnen krijgen. 1-dec-08, versie 0.6 pagina 16 van 36
4. De ontwerpfase In de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en een strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van een bewustwordings- en trainingsprogramma: 1. de ontwerp het programma zelf, 2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken 3. de feitelijke implementatie van het programma Daarna is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt bewustwordings- en trainingsprogramma vergt de nodige inspanning voordat het daadwerkelijk de veiligheid en de waakzaamheid vergroot binnen een organisatie. Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het ontwerp van een programma. 4.1. Inleiding Een bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een open deur? Wellicht, maar een bewustwordingsprogramma zal alleen voldoende aandacht krijgen als het in overeenstemming is met de missie, de directe belangen of de veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en passen binnen zijn cultuur. De meest succesvolle programma’s zijn die, waarbij gebruikers ervaren dat de onderdelen bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook nadrukkelijk onderkennen). Iets wat als wezensvreemd wordt ervaren zal nooit worden uitgevoerd! In de ontwerpfase worden de te beveiligen belangen en behoeften vastgesteld, de hiervoor relevante onderwerpen Gebruik eenvoudige maar en prioriteiten geïdentificeerd, en vervolgens zaken als effectieve hulpmiddelen draagvlak, commitment en budget gezocht. Dwingt uw netwerk ook af dat er gebruik In onderstaande paragrafen worden de volgende wordt gemaakt van sterke, cryptische onderwerpen behandeld: wachtwoorden (3 van de 4 mogelijkheden van - De structuur van een bewustwordings- en grote en kleine letters, cijfers en leestekens) trainingsprogramma om ontdekking te voorkomen? In veel gevallen - De behoeftebepaling - Het opstellen van een plan wordt het wachtwoord dan Piet2009. Het - Het stellen van prioriteiten voldoet aan de regels maar is het ook veilig - Het reduceren van complexiteit genoeg? - De budgettering Op het internet zijn voldoende handleidingen - Commitment en draagvlak te vinden om veilige wachtwoorden te maken; gebruik ze binnen uw bedrijf en ondersteun 4.2. Structureren van een programma veilige wachtwoorden m.b.v. een tool die de Bij het bepalen van de structuur van een programma kan kwaliteit weergeeft in kleuren of cijfers. gebruik worden gemaakt van drie basismodellen die 1VpK=/Zm voornamelijk verschillen in de wijze waarop centraal of (Een veilig password kiezen is niet zo moeilijk) decentraal uitvoering wordt gegeven aan het programma. Voor alle drie de modellen geldt dat het beleid zelf centraal 1-dec-08, versie 0.6 pagina 17 van 36
is vastgesteld. De modellen zijn: Model 1: Gecentraliseerde strategie en uitvoering; Model 2: Gecentraliseerde strategie en decentrale uitvoering; Model 3: Decentrale strategie en uitvoering De keuze voor het model wordt bepaald door: - De geografische spreiding van onderdelen van de organisatie - De functie, taken en verantwoordelijkheden van een (deel)organisatie - De toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten) De keuze voor een bepaald model dient bij voorkeur te sporen met hetgeen in de reguliere bedrijfsvoering van de organisatie gebruikelijk is. Bang voor illegale Een geheel gedecentraliseerde uitvoering van bewustwording binnen USB-sticks? een voor het overige volledige centraal geleide organisatie of vice versa Meer dan 50% van mensen die een zal weinig succesvol zijn. Dit is roeien tegen de stroom in. USB-stick vinden brengen hun computer in gevaar door ze aan te 4.3. Belangen- en behoeftebepaling sluiten; misschien bent u wel 1 klik Aan de voet van de beveiligingstrategie ligt een goede risico-analyse. verwijderd van een groot Hierin worden de belangen en bedreigingen van de organisatie netwerkprobleem. Is uw geïdentificeerd. De NAVI-handreiking over risico-analyse kan hierbij organisatie of het netwerk niet behulpzaam zijn. ingericht om niet door de Op basis van deze belangenanalyse dient vervolgens een organisatie verstrekte USB-sticks behoeftebepaling plaats te vinden. Dit is een proces waarin bepaald te weren, overweeg dan eens om wordt in welke mate een organisatie ook behoefte heeft aan een een test uit te voeren met een bewustwordingsprogramma in het kader van zijn beveiliging. Hierin zogenaamde honeystick. Hierbij wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld, worden door de organisatie als ook wat voor overbrugging daarvan noodzakelijk is. geprepareerde USB-sticks - Strategisch management; schijnbaar achteloos achtergelaten - Management verantwoordelijk voor beveiliging (fysiek e/o IT) binnen en/of buiten het bedrijf. - Beveiligingsfunctionarissen, zowel management als uitvoering Zodra een USB-stick aangesloten - Systeemeigenaren en administrators wordt op het bedrijfsnetwerk, - Operationele managers en uitvoerders. wordt automatisch een verbinding tot stand gebracht met een Om de behoefte te kunnen bepalen kan gebruik worden gemaakt van systeem dat de USB-stick en de o.a. diverse technieken: gebruiker registreert en de - Interviews met bovenstaande groepen gebruiker vervolgens op de hoogte - Onderzoek naar bestaande bewustwordings- en brengt van de overtreden trainingsprogramma’s, trainingsschema’s en deelnemerslijsten veiligheidsregel. Voor meer - Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en informatie zie: -procedures, - Incidentregistratie en de afhandeling http://honeystickproject.com - Trends in vakbladen - Wijziging in wet- en regelgeving - Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op beveiligingsgebied) 1-dec-08, versie 0.6 pagina 18 van 36
- Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT Meetbare gegeven zoals de registratie van incidenten en deelnemers aan trainingen geven een objectief inzicht in de stand van zaken en de behoefte voor evaluatie van een bestaand programma. Analyse van de resultaten van de interviews en Medisch Centrum zet onderzoeken moet leiden tot beantwoording van de volgende vragen: bewakingspersoneel in - Wat is de behoefte aan een Bij het uitvoeren van een bewustwordings- en trainingsprogramma of bewustwordingsprogramma zag een Medisch opleiding? - Op welke manier wordt op dit moment Centrum zich voor de uitdaging gesteld om ook de voorzien in de behoefte en hoe effectief is avond- en nachtdienst van de verpleging te dit? bereiken. Het betreffende MC heeft daarvoor de - Wat is het verschil tussen de behoefte en beveiligers opgeleid die tijdens hun rondes en de wat momenteel wordt gerealiseerd (gap- pauzes van de verpleging op de afdelingen actuele analyse)? beveiligingsonderwerpen bespraken. Het resultaat - Welke onderwerpen wordt als het meest was een duidelijke stijging in het aantal meldingen kritisch gezien? - En langs welke weg kan de wenselijke van verdachte situaties en een verlaging van het situatie het best worden bereikt? aantal diefstallen. In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten de bedrijfscultuur een hinderpaal vormt, of waarin de capaciteit en kwaliteit van het IT-netwerk van de organisatie een Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te onderzoeken of een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken naar een externe locatie, enzovoort. 4.4. Opstellen van een plan Nadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat de basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende onderwerpen: - De formele basis voor het programma met bestaande wet- en regelgeving, aangevuld met bedrijfseigen beleid en richtlijnen; - De aansturing van het programma en de inbedding in de managementlijn; - De scope van het programma; - De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de ontwikkeling en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die betrokken zijn bij de uitvoering van het programma; - Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training, opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten; - Bepaling van de doelgroepen voor de onderdelen van het programma; - Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname; - Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma; 1-dec-08, versie 0.6 pagina 19 van 36
- Wijze van communiceren (CBT, instructielokaal, presentatie, posters, etc.); Het poldermodel in - Documentatie, terugkoppeling en registratie van deelname; security - Wijze waarop de resultaten van het programma worden verankerd in de reguliere bedrijfsvoering en hoe aan Veiligheidsregel van bedrijven onderhoud daarvan verder uitvoering kan worden gegeven; worden soms onbewust maar ook - Hoe evaluatie van en nazorg vanuit het programma zal regelmatig bewust overtreden. In plaatsvinden, tegenstelling tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen 4.5. Stellen van prioriteiten mening omtrent security ook toe Als de strategie en het plan zijn opgesteld kan bepaald worden op te passen in de bedrijfsomgeving. welke wijze de implementatie kan plaatsvinden. Bij een omvangrijk Regels waarvan nut en noodzaak programma kan dit in fasen gebeuren. Het is daarbij van belang zijn niet bekend zijn of niet om prioriteiten te stellen en om belangrijke en urgente zaken voorrang onderschreven wordt, worden dan te verlenen. De volgende overwegingen spelen daarbij een rol: bewust niet opgevolgd. Bij het - De beschikbaarheid van materiaal en personen; opzetten van een programma moet - De rol van de organisatie en de complexiteit (of eenvoud) daarom niet alleen op de focus op waarmee een programma kan worden gerealiseerd; de inhoud liggen, maar ook op de - De huidige stand van het niveau van bewustwording (grote noodzaak van opvolgen van “gaten” eerst dichten); - De vraag in hoeverre andere prioritaire projecten afhankelijk veiligheidsregels. zijn van het bewustwordingsprogramma? In zijn algemeenheid geldt hier het volgende adagium. Hoe meer focus, hoe groter de kans op succes. Een vaak voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te veel zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei cultuurprogramma’s die beogen ‘de’ bedrijfscultuur te veranderen. Te veel tegelijk willen vergroot de kans dat het proces tussentijds ’krakend tot stilstand komt’, en men daardoor uiteindelijk minder bereikt dan met een duidelijke focus wellicht wel het geval zou zijn geweest. 4.6. Mate van complexiteit Een tweede succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk: - de functie van de cursist en daarmee het opleidingsniveau - de benodigde kennis en vaardigheden die voor die functie nodig zijn Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het management maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over het beleid en de veiligheidsregels. Indien een bewustwordingsprogramma enige tijd is uitgevoerd kan differentiatie worden aangebracht in de doelgroepen en kan de complexiteit van de informatie worden aangepast aan het niveau en de functie van de deelnemers. 1-dec-08, versie 0.6 pagina 20 van 36
4.7. Budgettering Nadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget worden bepaald. Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die betrekking hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de kosten die gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies aan productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn: - Een zeker percentage van het gehele opleidings- en trainingsbudget - Budget per medewerker, afhankelijk van zijn rol, - Een percentage van het IT Budget (let op: Niet alle Commitment van de beveiliging is IT-gerelateerd) - Expliciete berekening van het gehele programma. leiding, maar hoe? De “baas” moet uitstralen dat hij Er zijn problemen te verwachten in het realiseren van het bewustwordingsprogramma beveiligingsbewustzijn indien de budgetten lager uitvallen dan belangrijk vindt en moet het dus benodigd. Het is de expliciete verantwoordelijkheid van het ook uitdragen. Een aantal management om voldoende budget beschikbaar te stellen. Het voorbeelden hoe dat gerealiseerd hanteren van het stappenplan en accorderen van het resultaat van kan worden: iedere stap (strategie, behoefte, plan) door het management, biedt de - Laat de baas de opening doen, grootste mate van zekerheid om het benodigde budget vrij te maken. kleed dat feestelijk aan en zorg Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de voor een prominente spreker; doelen (behoefte) bij te stellen, een fasering aan te brengen of - Plaats een interview met de baas budgetten te herverdelen. Ook kan er uiteraard gelobbyd worden voor over zijn beleving van veiligheid meer budget. en werkbaarheid; - Laat de baas prijzen uitreiken 4.8. Commitment en draagvlak aan de winnaars van een Een programma dat niet wordt gedragen, en dan met name door het veiligheidsprijsvraag en plaats management, is gedoemd te mislukken. Het (top)management zal daar een artikel over. actief en frequent zijn commitment moeten uitspreken door aanwezig - De baas onderwerpt zich te zijn op belangrijke momenten in het programma zoals de start van (uiteraard) ook aan de regels. het programma, de openstelling van een website, de eerste presentatie etc. Alleen dan zal het draagvlak creëren bij de medewerkers. 1-dec-08, versie 0.6 pagina 21 van 36
1-dec-08, versie 0.6 pagina 22 van 36
5. De ontwikkeling van materiaal Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal, afgestemd op de mogelijkheden, budget en beschikbare kennis. In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc. 5.1. Inleiding Nadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij de ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden: - Welk gedrag willen we versterken en - Welke vaardigheden willen we aanleren en toe laten passen Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en horen in hun dagelijkse werk te implementeren, als zij het gevoel hebben dat het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten bij de belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit houdt in dat materiaal ontwikkeld moet worden dat voor iedere medewerker toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op een specifieke doelgroep. Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de doelgroepmedewerkers daarbij indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat veel mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat allerlei ‘aanvullende’ zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag. 5.2. Ontwikkelen van bewustwordingsmateriaal Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten, vakbladen en nieuwsbrieven van diverse beveiligingsorganisaties en instellingen. Hierover in de volgende paragrafen meer. 5.3. Selecteren van onderwerpen voor bewustwording Een groot aantal onderwerpen kunnen in een bewustwordingsprogramma worden behandeld. Zonder uitputtend te zijn volgt hier een overzicht met mogelijke onderwerpen: - Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van verandering, geheimhouding, hoe om te gaan bij meerdere systemen; - Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat doet die kwaadaardige software en hoe blijft mijn virusscanner up-to-date. Leg hierbij ook de relatie naar het thuisgebruik; - Beleid; implementatie in projecten en compliancy; 1-dec-08, versie 0.6 pagina 23 van 36
- Onbekende e-mails en/of bijlagen; - Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van gebruikershandelingen; - Hoe om te gaan met SPAM berichten; - Opslag van gegevens en de wijze van backup door de organisatie; - Social Enginering; misbruik van vertrouwen van medewerkers door kwaadwillenden; - Incidenten; wat te doen, bij wie te melden; - Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”; - Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water, stof, vuur, tijdelijk uitgeschakelde toegangscontrole, etc.) - Risico’s tijdens verhuizingen; - Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen; - Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.); - Gebruik van vercijfering van gegevens tijdens transport en opslag; - Laptops tijden reizen; risico’s van diefstal van apparatuur en gegevens; - Installeren van updates; - Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers - Toegang tot bedrijfssystemen; - Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie; - Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie; - Desktop beveiliging; screensavers, clear desk en clear screen - Geheimhouding van vertrouwelijke informatie - Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik. 5.4. Bronnen voor materiaal Het aantal en de verscheidenheid van bronnen die materiaal kunnen leveren voor een bewustwordingsprogramma is groot. Veel van dit GOVCERT; de materiaal is beschikbaar op het Internet als openbare bron. In een aantal gevallen zal het zelfs mogelijk zijn om te beschikken over waarschuwingsdienst complete bewustwordingsprogramma’s. Daarbij is echter een GOVCERT, de organisatie die kanttekening op zijn plaats: Het programma is ontwikkeld met andere namens de overheid de uitgangspunten. Kopieer daarom niet klakkeloos maar selecteer die bedreigingen op het Internet onderwerpen die ook in het eigen proces geïdentificeerd zijn en pas ze bewaakt, biedt de mogelijkheid aan de eigen behoefte aan. om per sms gewaarschuwd te worden indien b.v. ernstige Enkele voorbeelden van bronnen van materiaal: kwetsbaarheden in software - Handleidingen voor zakelijk en privé gebruik van Internet en e- ontdekt worden of er een mail zoals die in nieuwsgroepen beschikbaar zijn; virusuitbraak dreigt. De dienst is - Nieuwsbrieven van security organisaties en magazines; gratis en kan zowel uw o http://www.schneier.com/crypto-gram.html .A free monthly newsletter providing summaries, analyses, medewerkers als uw kinderen insights, and commentaries on security: computer and meer bewust maken van de otherwise. bedreigingen op het Internet. o http://www.biometrics.org/ www.waarschuwingsdienst.nl - Whitepapers en ander materiaal dat op websites beschikbaar 1-dec-08, versie 0.6 pagina 24 van 36
wordt gesteld door organisatie van vakgenoten (voor leden en/of niet-leden); o http://www.pvib.nl/ van het Platform voor InformatieBeveiliging. - Websites met online nieuwsberichten; o http://www.security.nl - Materiaal van conferenties, seminars en cursussen; - Professionele organisaties die bewustwordingsprogramma’s ontwikkelen. 5.5. Uitbesteden of zelf doen? Het ontwikkelen van een bewustwordingsprogramma kost veel tijd, energie en geld. Op enig moment zal de vraag gesteld worden of we het allemaal zelf wel kunnen en willen. Onderstaande overwegingen kunnen gebruikt worden rond de besluitvorming: - Heeft de organisatie zelf de kennis en capaciteit beschikbaar? Hebben deze mensen de juiste vaardigheden en ervaring? Zijn de mensen voor deze opdracht beschikbaar? - Is het meer kosten effectief om het programma zelf op te zetten of uit te besteden? - Zijn er budgetten beschikbaar? - Is de organisatie in staat om eenmaal aangeleverde programma’s zelf te onderhouden? - Staat de gevoeligheid van de inhoud van het programma uitbesteding wel toe? - Past uitbesteding in het beoogde tijdsplan? - Behoud van benodigde kennis. 5.6. Partnerschap Waarom zelf ontwikkelen als anderen u al voor gegaan zijn. Het ontwikkelen van een programma kan gebaat zijn bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan worden uitgewisseld maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet alleen de kosten maar bevorderd ook het uitwisselen van creatieve ideeën. 5.7. Informatie-uitwisseling via de website van het NAVI De website van het NAVI biedt een beveiligde mogelijkheid voor het uitwisselen van vertrouwelijke informatie door o.a. gebruik te maken van een geregistreerde en geautoriseerde gebruikers, fora en vercijferde toegang. Via deze website kunt u veilig informatie uitwisselen en delen met door u zelf bepaalde organisaties en personen. Voor meer informatie verwijs ik u naar http://www.navi-online.nl/. 5.8. De vorm Er bestaat een groot scala aan technieken en vormen om de boodschap uit te dragen. De keuze, of combinatie van keuzes, hangt af van het type boodschap, de organisatie en zijn cultuur, en de complexiteit van de boodschap. Bij de start van een bewustwordingsprogramma is het van belang de focus te leggen op de meest 1-dec-08, versie 0.6 pagina 25 van 36
belangrijke risico’s die een organisatie loopt en zich te richten tot alle medewerkers. Een overdosis aan onderwerpen, de wijze waarop het Snelle reactie op programma gecommuniceerd wordt of te grote differentiatie naar type verloren USB-stick medewerkers, zal afleiden van de essentie van het programma. Nadat Het ministerie van Defensie kwam initieel een bewustwordingsprogramma gehouden is voor alle enige tijd geleden in het nieuws medewerkers met de meest prangende onderwerpen, kan differentiatie plaatsvinden naar medewerkers (uitvoerders, staf, midden en door het verlies van een USB-stick strategisch management), de wijze waarop de onderwerpen met zeer gevoelige informatie. Het gecommuniceerd worden (webgebaseerde training, presentaties, ministerie reageerde daarop direct nieuwsbrieven). Onderstaand overzicht kan een hulpmiddel zijn bij de door extra aandacht te vragen voor keuze van de wijze waarop de onderwerpen gecommuniceerd kunnen dit onderwerp in bestaande worden: bewustwordingsprogramma’s. - Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen, post-it briefjes, sleutelhangers, keycords, klokken; - Posters met informatie over wat te doen of juist niet te doen; - Screensavers met wisselende teksten; - Nieuwsbrieven; - E-mail berichten; - Videoberichten; - Webgebaseerde informatie of trainingen; - Presentaties door een instructeur; - Security dagen; - Security tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een bevestiging weer verdwijnen) - Kruiswoordpuzzels - Prijsvragen In alle gevallen is het van belang om de boodschap op meerdere manier over te brengen. Dit versterkt de kracht van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt. 1-dec-08, versie 0.6 pagina 26 van 36
6. De implementatiefase Na de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de rol van communicatie bij de implementatie het programma. 6.1. Wijze van communiceren Het bewustwordingsprogramma moet binnen de organisatie uitgelegd en gecommuniceerd worden. Veiligheidsregels worden pas Het doel is begrip en ondersteuning te realiseren voor opgevolgd indien een medewerker de uitvoering van het programma en de bijdrage die van de medewerkers verwacht wordt. De het in zijn portemonnee voelt communicatie zal moeten verduidelijken wat de Veiligheidsregels zijn lastig en worden niet altijd verwachtingen van het management zijn en de te begrepen. De naleving van de veiligheidsregels heeft verwachten resultaten voor de organisatie. De wijze voor de medewerker vaak geen consequenties waarop het project bekostigd wordt (centraal budget waardoor het hem aan motivatie ontbreekt. Bij het of doorbelasting) moet voor het managent duidelijk zijn. Verder is het van belang dat iedereen in de opzetten van een bewustwordingsprogramma moet organisatie die betrokken is bij het programma, zijn met top- en middenmanagement, personeelsafdeling eigen taken en verantwoordelijkheden kent, maar ook en eventueel de ondernemeningsraad worden die van de andere deelnemers. Als aanvulling hierop afgesproken op welke wijze naleving van moeten ook tijdschema’s en beoogde resultaten (in veiligheidsregels onderdeel worden van het aantal deelname en percentage geslaagden per beoordelingssysteem en welke correctieve onderdeel) gecommuniceerd worden. maatregelen gebruikt kunnen worden. Dit kan bijvoorbeeld door privileges op te schorten of In paragraaf 4.2 wordt een aantal basismodellen daadwerkelijk strafmaatregelen te nemen (b.v. korting besproken voor het bepalen van de structuur van een op een bonus). programma. De basismodellen verschillen Voorwaarde is een gedegen onderzoek bij een voornamelijk in de wijze waarop centraal of decentraal geconstateerd veiligheidsincident met hoor en uitvoering wordt gegeven aan het programma. Het wederhoor en schriftelijke vastlegging. spreekt voor zich dat de wijze waarop de communicatie moet worden ingericht (centraal of decentraal) moet aansluiten bij de keuze die in paragraaf 4.2 gemaakt is. 6.2. Technieken om de “boodschap” over te brengen In hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden overgebracht. In deze paragraaf worden in aanvulling hierop verschillende technieken besproken. De techniek die gebruikt gaat worden om de boodschap naar de medewerker te brengen moet voldoen aan een aantal criteria: - Eenvoud in gebruik; gebruiks- en onderhoudsvriendelijk (updates); - Schaalbaarheid; verschillende kennisniveaus van de gebruikers, grootte van de deelnemersgroepen en verschillende locaties (klaslokaal en auditorium); 1-dec-08, versie 0.6 pagina 27 van 36
- Vastleggen van meetgegevens; aantal deelnemers, scores, tijdsbesteding, correlaties tussen deelnemersgroepen en resultaten; - Beschikbaarheid op de markt; aantal potentiële leveranciers De meest gebruikelijke technieken zijn: - Interactieve Video Training (IVT) dat gebruikt kan worden voor leren en trainen op afstand en maakt gebruik van technologie die twee richtingverkeer voor interactieve audio en video mogelijk maakt. De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan niet-interactieve vormen. - Web gebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo deelnemen aan het programma. Er kunnen test- en meetmomenten ingebouwd worden en de resultaten kunnen worden teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het programma herhaald worden. De techniek van de web gebaseerde training is sterk in ontwikkeling. Het is zelfs mogelijk dat instructeur en deelnemers (of deelnemers onderling) interactief met elkaar kunnen communiceren; - Niet- Web gebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal door deze beschikbaar te stellen op intranet website voor download. Het programma wordt dan door iedere deelnemer vanaf zijn eigen werkstation gevolg, zonder interactie met een instructeur of andere deelnemers; - On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de begeleiding van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of auditorium, een trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van kennisoverdracht. In grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle medewerkers ook deel kunnen nemen en kan geografische spreiding van medewerkers leiden tot lange reistijden of instructie op meerdere locaties. De meest krachtige vorm bij kennisoverdracht is het gebruik van meerdere technieken. Zo kan een instructeur Praatje, plaatje, daadje eerst vertellen (presenteren) over een bepaald onderwerp Hoe blijft de boodschap het beste “hangen”? waarna een videopresentatie gestart wordt ter De volgende wijsheid kan daarbij helpen: ondersteuning van het onderwerp. In een later stadium kan “Vertel het me en ik zal het vergeten. een deelnemer via een interactieve trainingg meer kennis Laat het me zien en ik zal het onthouden. en vaardigheid opdoen vanaf zijn eigen werkplek. Laat het me doen en ik zal het Begrijpen.” 1-dec-08, versie 0.6 pagina 28 van 36
7. De evaluatie- en onderhoudsfase Na de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke uitvoering van het bewustwordingsprogramma volgt de “laatste” fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze “laatste” stap: de evaluatie- en onderhoudsfase van het programma. Deze fase beoordeelt of het effect van het programma in overeenstemming is met het gedefinieerde ontwerp, en het resultaat voldoet. Deze fase maakt van het gehele proces van de ontwikkeling van een bewustwordingsprogramma een cyclisch en zich herhalend proces. 7.1. Meten van de deelname en de effectiviteit Gedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om informatie te verstrekken over: • cursus- en opleidingsdata, • inhoud van de opleiding • deelname, zowel totalen als percentages per organisatieonderdeel • waarderingen uit de evaluatieformulieren van de deelnemers De meetgegevens kunnen gebruikt worden voor rapportages aan het management over de mate van compliance, de kwaliteit en volwassenheid van het opleidings- en trainingsprogramma, de bereidheid van afdelingen om deelnemers af te vaardigen en kwaliteitsverbetering. De deelnamegegevens geven een rechtvaardiging van beschikbaar gesteld budget en geven in detail aan of medewerkers hebben deelgenomen aan het programma. Hieruit kunnen voor zowel de medewerkers als voor afdelingsmanagement consequenties volgen. Medewerkers die deelgenomen hebben aan een dergelijk programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties. Is deelname aan een bewustwordingsprogramma een functie-eis, dan kan het niet deelnemen of niet slagen consequenties hebben voor de uitoefening van de betreffende functie. De organisatie loopt in dat geval een te groot risico loopt op schade door onachtzaam foutief handelen van personeel dat geen training heeft gevolgd. De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve actiefsmoeten worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan het verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden opgedragen, er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak om de correcties en aanpassingen uit te werken en te implementeren 1-dec-08, versie 0.6 pagina 29 van 36
7.2. Evaluatie en feedback Formele evaluatie en feedback is een kritische component van een bewustwordingsprogramma. Voortdurende verbetering kan niet plaatsvinden als het ontbreekt aan een goed gevoel hoe een programma werkt. Vanaf de start van de ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te tekenen, moet dus nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden vastgesteld. Er zijn een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van kwaliteit, scope, gebruikte methoden (o.a. Interactieve Video trainging, web gebaseerd), moeilijkheidsgraad, eenvoud van gebruik, duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en suggestie voor verbetering. De meest gangbare methoden voor evaluatie en feedback zijn: Not My Problem - Evaluatieformulier; gebruik daarbij zo veel mogelijk Niet dat beveiliging niet als een voorbedrukte teksten en normeringen zodat er weinig geschreven hoeft te worden om een waardering aan te probleem wordt gezien, alleen niet dat geven; van mij. En vraag me niet van wie wel, - Open forum discussie waar bovenstaande onderwerpen want dat weet ik niet precies. besproken kunnen worden. Deze vorm van evaluatie biedt Van medewerker tot directielid is dit de beste mogelijkheid op nieuwe ideeën en inzichten ter een veel gehoorde reactie: NMP. verbetering van het programma. Bron: Lezing van het Platform voor - Selectieve interviews met deelnemers waarop in een 1-op- Informatiebeveiliging 1 gesprek de onderwerpen van de evaluatie besproken worden. De selectie van deze groep moet echter objectief blijven om de uitkomst niet te beïnvloeden. Men moet er echter ook rekening mee houden dat deelnemers, om diverse redenen, niet altijd hun mening aan (vertegenwoordigers van) het management van de organisatie willen vertellen. In deze vorm van evaluatie wordt medewerkers wel de mogelijkheid geboden om hun mening te geven zonder dat zij zich in een groep daarvoor moeten verantwoorden. - Onafhankelijk observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel; - Formele statusrapporten door managers van deelnemers. - Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere, soortgelijke organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties die de beschikking hebben over uitgebreide gegevens van resultaten van bedrijven over een langere periode. 7.3. Veranderingen doorvoeren Het is noodzakelijk om maatregelen ter verbetering van een programma te nemen omdat er nieuwe technieken in gebruik genomen worden (ieder weer met andere en nieuwe risico’s), en het kennisniveau en gedrag van de medewerkers verandert. Noodzakelijke wijzigingen kunnen ook veroorzaakt worden omdat een organisatie zijn missie of doelstelling bijstelt of inzichten wijzigen hoe de doelstellingen van het programma gehaald kunnen worden. Belangrijke landelijke of internationale ontwikkelen, of de komst van nieuwe wetgeving kunnen ook hun invloed hebben op een programma. 1-dec-08, versie 0.6 pagina 30 van 36
7.4. Verhogen van het niveau Zoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op de meest cruciale securiy aspecten en zich moeten richten op iedere medewerker, dus van (top)management tot de medewerker op de werkvloer. Nadat het beoogde niveau gehaald is, zal de volgende stap gezet moeten worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op te zetten voor alle medewerkers, maar ook door differentiatie aan te brengen naar type medewerker, zijn niveau, zijn taken en verantwoordelijkheden. In dit laatste geval wordt er differentiatie aangebracht naar doelgroepen, die ieder hun niveau toegesneden programma gaan volgen. Op deze wijze zal het programma groeien in volwassenheid. Het verdient aanbeveling om het verhogen van het niveau in het ontwerp van het programma mee te nemen en te baseren op meetbare gegevens. Een norm voor het verhogen van het niveau zou in dat geval een deelname van ten minste 85% en een slagingspercentage van 90% kunnen zijn. Tijdens het uitvoeren van een programma verdient het aanbeveling om voortdurend de ontwikkelingen op de mark van bedreigingen, technologie, good practices en benchmarking bij te houden waardoor mogelijkheden ontstaan om proactief de kwaliteit en/of effectiviteit van het programma te verbeteren. 7.5. Succes indicatoren CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat “de keten zo sterk is als de zwakste schakel”. Beveiliging van een organisatie is een teaminspanning. Onderstaand is een list opgenomen van indicatoren om een inschatting te maken van de ondersteuning en de Commitment van de leiding acceptatie (commitment) van een programma. Bij een ministerie was de draagplicht van de - Is er voldoende budget beschikbaar gesteld om personeelspas reeds lange tijd ingevoerd maar de geaccordeerde doelstellingen te halen; werd de maatregel niet altijd consequent - Is de organisatie rond het programma ingericht uitgevoerd. Als onderdeel van een met medewerkers van voldoende kwaliteit; bewustwordingsprogramma werd extra aandacht - Is het programma een regelmatig terugkerend onderwerp op de agenda van het management; aan de noodzaak voor deze maatregel besteed en - neemt het management deel aan de training; werd de uitvoering van strenger gecontroleerd. - het percentage deelname; Personeel dat de pas niet bij zich had werd de - het gemotiveerd uitdragen van (de toegang tot de kantine ontzegd en personeel dat doelstellingen van) het programma door het de pas niet zichtbaar droeg werd gecorrigeerd. De verantwoordelijke management. meeste indruk maakte echter een van de - Is er brede ondersteuning voor de distributie van topfunctionarissen die collega’s direct aansprak materiaal; en hen corrigeerde. 1-dec-08, versie 0.6 pagina 31 van 36
1-dec-08, versie 0.6 pagina 32 van 36
8. Bijlage 1: Voorbeelden 8.1. Bewustwordingsprogramma gericht op Social Engineering Onderstaand voorbeeld is afkomstig uit een bewustwordingsprogramma van een ICT dienstverlener waar uit onderzoek is gebleken dat regelmatig vertrouwelijke informatie werd opgevraagd door onbekende personen die zich voordeden als collega. Het ging daarbij vaak om tarieven van consultants, informatie over lopende offertes, details over klanten of opdrachtgevers en onderwerpen waarop business development plaatsvond. Het bewustwordingsprogramma richt zich op Social Engineering (het d.m.v. list, en psychologische trucs inwinnen van vertrouwelijke informatie) en behandelt in acht afleveringen de psychologische achtergrond van een bepaalde truc. De onderwerpen zijn als onderdeel van een bredere bewustwordingscampagne in een maandelijkse nieuwsbrief opgenomen. Deze nieuwsbrief was wederom onderdeel van een breed pakket aan producten rond bewustwording. Deel 5: Social Engineering en psychologie; het aspect autoriteit Voorwoord In mijn rol als security consultant heb ik de laatste jaren een aantal security audits uitgevoerd in de vorm van zgn. Social Engineering Assessment, zowel binnen de publieke als private sector. Social Engineering kan omschreven worden als het verkrijgen van toegang tot vertrouwelijke informatie door middel van list, bedrog en psychologische trucs. De resultaten van de security audits die ik heb uitgevoerd verbaasden me in hoge mate; van username/password van kritische of vertrouwelijke systemen of applicaties, vriendelijke portiers die me toegang verleenden tot hoog beveiligde delen van het gebouw, toegang tot opiaten (geneesmiddelen) en criminele en juridische informatie over personen. In het merendeel van de gevallen was het enige dat ik hoefde te doen: Er (brutaal) om vragen! Het meest extreme resultaat was het in ontvangst mogen nemen van vijf handvuurwapens, simpel op basis van één telefoontje en een goed verhaal. Ik ben er steeds meer van overtuigd geraakt dat de beveiliging niet zit in de Firewall, SafeWord tokens en andere technische beveiligingsmaatregelen maar in de mens zelf. Dit document is bedoeld als bijdrage aan het bestaande bewustwordingsprogramma en is tot stand gekomen in samenwerking met de Corporate Security Officer en Corporate Information Management. Inleiding Waarom en hoe kan het menselijke gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om vertrouwelijke informatie te verstrekken, wordt ingewilligd. In een serie van acht afleveringen ga ik in op het hoe en waarom van menselijk gedrag en hoe daar misbruik van gemaakt kan worden door profiteurs. Met de kennis kun je herkennen wanneer iemand jou probeert te beïnvloeden; zowel privé als zakelijk. Maar je kunt de kennis uit deze serie ook gebruiken in je zakelijke of privé-sfeer om iets van een ander gedaan te krijgen. Eigen ervaringen Bij een ministerie was de beveiliging van de kantoren van de minister en zijn directe staf sterk verbeterd. De Plaatsvervangend Secretaris Generaal had mij de opdracht verstrekt om deze beveiliging te testen. Ik kwam (gekleed in driedelig kostuum) hard aangelopen bij de bewaking van de achteringang en parkeerplaats van de auto’s van de hogere ambtenaren. Hijgend zei ik tegen de portier dat ik zojuist bij het verlaten van het complex mijn elektronische toegangspas was vergeten en vroeg hem of ik het pasje even mocht ophalen. Hij aarzelde. Ik zei dat de Plaatsvervangend SG (ik noemde de voor en achternaam) twee straten verder ongeduldig stond te wachten; er was haast bij en ik moest snel mijn pas hebben. De poort ging open en ik rende snel naar een toegangdeur. Binnen in het gebouw pakte ik twee lege dozen en deed daar mijn colbertje en vestje in en liep daarmee naar de toegang van het compartiment van de minister. Ik sloot achter een man aan die ook in dezelfde richting liep. Toen hij zijn pas aanbood en het poortje open ging begon ik hoorbaar te mopperen dat ik mijn pas op 1-dec-08, versie 0.6 pagina 33 van 36
mijn kantoor vergeten was. Hij was erg vriendelijk en opende het poortje voor me (er was geen anti-pass-back). Mijn visitekaartje heb ik op het toetsenbord van mijn opdrachtgever geplaatst ten teken dat de opdracht was uitgevoerd. Door te benoemen dat ik in opdracht van een bekende autoriteit handelde, voldeed de bewaker aan mijn verzoek en werd ik toegelaten tot het complex. Autoriteit Uit onderzoek is vastgesteld dat elk mens nagenoeg ieder opdracht uitvoert als een autoriteit dit van hem verlangt. Vanaf de geboorte wordt ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het gehoorzamen aan autoriteiten levert ons ook voordelen op. Doordat zij zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd iets oplevert, bestaat de kans dat we er een automatisme van maken. Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met de symbolen die we met hen verbinden, zoals titels, kleding en bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen. Mensen willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen. Verdediging Vaak zijn we niet voorzichtig genoeg wanneer ons om volgzaamheid verzocht wordt. Door constant waakzaam te blijven tegenover zogenaamde autoriteiten kunnen we achteraf minder snel voor verrassingen komen te staan. Wanneer we ons bovendien nog eens extra bewust worden van het feit dat gezagssymbolen eenvoudig kunnen worden nagemaakt, zullen we ook waakzamer zijn wanneer autoriteiten ons willen beïnvloeden. De enige kanttekening is echter dat we liever niet tegen het gezag ingaan. Meestal is het immers juist om autoriteiten te gehoorzamen. Je kunt het beste leren ontdekken wanneer je de richtlijnen van autoriteiten wel, en wanneer je deze niet zou moeten opvolgen. Deze twijfel kunnen we door middel van twee vragen wegnemen: 1. Is de autoriteit daadwerkelijk deskundig? 2. Is deze autoriteit ook betrouwbaar? 8.2. Enkele voorbeelden van posters Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren. 1-dec-08, versie 0.6 pagina 34 van 36
9. Bijlage 2; Literatuuroverzicht Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of Standards and Technology) Information Technology Security Training Requirements van het NIST (National Institute of Standards and Technology) Bruce Schneier, Beyond Fear: K.D. Mitnick, The art of deception; the human factor in Information Security Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion Y. Lafrance, Psychology: A precious security tool Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007 Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI waarin een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen wordt vastgelegd 1-dec-08, versie 0.6 pagina 35 van 36
1-dec-08, versie 0.6 pagina 36 van 36
December 2008 werkdocument Copyright © Nationaal Adviescentrum Vitale Infrastructuur (NAVI) Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder vooraf- gaande schriftelijke toestemming van het NAVI niet toegestaan. Rechten en vrijwaring Het NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan. Het NAVI verleent u hierbij toestemming dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: het NAVI wordt als bron vermeld; het document en de inhoud mogen commercieel niet geëxploiteerd worden; publicaties of informatie waarvan de intellectuele eigendomsrechten niet berusten bij het NAVI blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s); ieder kopie van dit document of een gedeelte daarvan dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.

Empfohlen

Air traffic management
Air traffic managementAir traffic management
Air traffic managementAmidee Azizan Stringfellow
 
Risk Assessment Form
Risk Assessment FormRisk Assessment Form
Risk Assessment FormBrett Tinnion
 
BasicSafe | Famous Safety Quotes to Strengthen Your Safety Culture
BasicSafe | Famous Safety Quotes to Strengthen Your Safety CultureBasicSafe | Famous Safety Quotes to Strengthen Your Safety Culture
BasicSafe | Famous Safety Quotes to Strengthen Your Safety CultureBasicSafe
 
Security Awareness Program
Security Awareness ProgramSecurity Awareness Program
Security Awareness ProgramDavid Wigton
 
Hoofdruimte
HoofdruimteHoofdruimte
HoofdruimteJan Wolter Bijleveld
 
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?ITpreneurs
 
CEHV9
CEHV9CEHV9
CEHV9Nityanand Thakur
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 

Empfohlen

Air traffic management
Air traffic managementAir traffic management
Air traffic managementAmidee Azizan Stringfellow
 
Risk Assessment Form
Risk Assessment FormRisk Assessment Form
Risk Assessment FormBrett Tinnion
 
BasicSafe | Famous Safety Quotes to Strengthen Your Safety Culture
BasicSafe | Famous Safety Quotes to Strengthen Your Safety CultureBasicSafe | Famous Safety Quotes to Strengthen Your Safety Culture
BasicSafe | Famous Safety Quotes to Strengthen Your Safety CultureBasicSafe
 
Security Awareness Program
Security Awareness ProgramSecurity Awareness Program
Security Awareness ProgramDavid Wigton
 
Hoofdruimte
HoofdruimteHoofdruimte
HoofdruimteJan Wolter Bijleveld
 
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?
EC-Council Certified Ethical Hacker (CEH) v9 - Hackers are here. Where are you?ITpreneurs
 
CEHV9
CEHV9CEHV9
CEHV9Nityanand Thakur
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Brochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-webBrochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-webCyril Widdershoven
 
Nieuwsbrief #11
Nieuwsbrief #11Nieuwsbrief #11
Nieuwsbrief #11Derk Yntema
 
Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)Tessa Smits
 
Handreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en OverheidHandreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en OverheidNAVI
 
Samenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidSamenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidExpertisecentrum Veilige Publieke Taak
 
Social Interface
Social InterfaceSocial Interface
Social InterfaceQFD Europe
 
Dnv Cibit Flyer Wikis
Dnv Cibit Flyer WikisDnv Cibit Flyer Wikis
Dnv Cibit Flyer Wikiselinebomhof
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde
 
Factsheet wiki therapy
Factsheet wiki therapy Factsheet wiki therapy
Factsheet wiki therapy Kennisalliantie
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008imec.archive
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008imec.archive
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008imec.archive
 
[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar Waarde[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar WaardePrudenza B.V
 
Gorillas in the_cloud
Gorillas in the_cloudGorillas in the_cloud
Gorillas in the_cloudSenZ2.
 
Martin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation DayMartin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation DayIDGnederland
 
Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011Guusk
 
Verhogen securitybewustzijn
Verhogen securitybewustzijnVerhogen securitybewustzijn
Verhogen securitybewustzijnAnnebeth Wierenga
 
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltHumanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltLeon Dohmen
 

Weitere ähnliche Inhalte

Ähnlich wie Handreiking - Security Awareness (Concept)

03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Brochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-webBrochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-webCyril Widdershoven
 
Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)Tessa Smits
 
Handreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en OverheidHandreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en OverheidNAVI
 
Social Interface
Social InterfaceSocial Interface
Social InterfaceQFD Europe
 
Dnv Cibit Flyer Wikis
Dnv Cibit Flyer WikisDnv Cibit Flyer Wikis
Dnv Cibit Flyer Wikiselinebomhof
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde
 
[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar Waarde[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar WaardePrudenza B.V
 
Gorillas in the_cloud
Gorillas in the_cloudGorillas in the_cloud
Gorillas in the_cloudSenZ2.
 
Martin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation DayMartin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation DayIDGnederland
 
Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011Guusk
 
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltHumanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltLeon Dohmen
 

Ähnlich wie Handreiking - Security Awareness (Concept) (20)

03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awareness
 
Brochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-webBrochure-VOTI-Industrie-week-69744-web
Brochure-VOTI-Industrie-week-69744-web
 
Nieuwsbrief #11
Nieuwsbrief #11Nieuwsbrief #11
Nieuwsbrief #11
 
Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)Trends in veiligheid_2010(2)
Trends in veiligheid_2010(2)
 
Handreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en OverheidHandreiking - Beveiligingsafstemming Vitaal en Overheid
Handreiking - Beveiligingsafstemming Vitaal en Overheid
 
Samenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidSamenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheid
 
Social Interface
Social InterfaceSocial Interface
Social Interface
 
Dnv Cibit Flyer Wikis
Dnv Cibit Flyer WikisDnv Cibit Flyer Wikis
Dnv Cibit Flyer Wikis
 
Sebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programmaSebyde digitale weerbaarheid programma
Sebyde digitale weerbaarheid programma
 
Factsheet wiki therapy
Factsheet wiki therapy Factsheet wiki therapy
Factsheet wiki therapy
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008
 
Adamo 11 12-2008
Adamo 11 12-2008Adamo 11 12-2008
Adamo 11 12-2008
 
[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar Waarde[Dutch] Data: Van Innovatie naar Waarde
[Dutch] Data: Van Innovatie naar Waarde
 
Gorillas in the_cloud
Gorillas in the_cloudGorillas in the_cloud
Gorillas in the_cloud
 
Martin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation DayMartin van Rijn - IT Innovation Day
Martin van Rijn - IT Innovation Day
 
Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011Artikel veiligheid en risco okt 2011
Artikel veiligheid en risco okt 2011
 
Verhogen securitybewustzijn
Verhogen securitybewustzijnVerhogen securitybewustzijn
Verhogen securitybewustzijn
 
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltHumanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
 

Handreiking - Security Awareness (Concept)

  • 1. Handreiking Security Awareness Een handreiking voor het opzetten en onderhouden van een bewustwordingsprogramma werkdocument 1
  • 2. “Bewust Vitaal” Herstel van de zwakste schakel Een handreiking voor het ontwikkelen van een Security Awareness programma
  • 4. Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de fysieke en digitale beveiliging van de vitale infrastructuur in Nederland. Beheerders en eigenaren van de vitale infrastructuur in Nederland kunnen bij het NAVI terecht voor informatie en onafhankelijk advies op het gebied van de beveiliging tegen moedwillige verstoring (security). De vier kerntaken van het NAVI zijn: Advisering over beveiliging Het NAVI geeft eigenaren of beheerders van vitale infrastructuur in Nederland advies over beveiliging. Bijvoorbeeld bij het uitvoeren van risicoanalyses of van een second opinion op een bestaand beveiligingsplan. Ook adviseert het NAVI over al genomen of nog te nemen beveiligingsmaatregelen op basis van een risicoanalyse. Hierbij werkt het NAVI vraaggericht. Delen van kennis en informatie over beveiliging Het NAVI zorgt ervoor dat betrokken partijen kennis en informatie binnen de vitale sectoren in Nederland kunnen delen. Het NAVI onderhoudt daartoe contacten met overheden en met het bedrijfsleven uit de vitale sectoren en daarnaast met relevante contacten en instellingen in het buitenland. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, ondermeer door het organiseren van bijeenkomsten, via de website en de beschikbaarheid van een kennisbank. Productontwikkeling Het NAVI ontwikkelt ook eigen producten. De focus ligt hierbij op producten die voor een hele sector of zelfs meerdere sectoren toepasbaar zijn. Voorbeelden hiervan zijn de verschillende handreikingen die momenteel worden ontwikkeld over beveiligingsonderwerpen. Indien nodig worden de producten op verschillende niveaus van volwassenheid ontwikkeld. Ook spant het NAVI zich in om producten van derden voor de Nederlandse vitale infrastructuur toegankelijk te maken. Netwerkfunctie Het NAVI onderhoudt en ontwikkelt een breed netwerk binnen de beveiligingswereld en fungeert als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur. Zowel voor overheidspartijen, kennisinstellingen in binnen en buitenland, als bedrijven. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen uit een sector of uit verschillende sectoren op reguliere basis bij elkaar om informatie te delen en om over beveiligingsonderwerpen te spreken. Kijk voor meer informatie op de website: www.navi-online.nl 1-dec-08, versie 0.6 pagina 3 van 36
  • 5. 1-dec-08, versie 0.6 pagina 4 van 36
  • 6. Managementsamenvatting Organisaties kunnen de integriteit, vertrouwelijkheid en Not My Problem beschikbaarheid van informatie in hedendaagse Professionals en hun organisaties zijn bereid om gedistribueerde netwerken en de veiligheid van grote investeringen te doen personeel, materieel, gebouwen en processen niet om technische maatregelen te implementeren garanderen zonder dat iedere betrokken medewerker zijn rol en verantwoordelijkheid begrijpt en adequaat is (techniek): veelal de eerste opgeleid. De menselijke factor is een dermate grote volwassenheidsfase. kritieke succesfactor dat het noodzakelijk en verplicht is, Professionals komen er achter dat techniek alleen om management, beheerders en gebruikers van niet genoeg is. Procedures systemen periodiek een bewustwordingsprogramma te dienen volledig te zijn, gecommuniceerd te laten volgen dat gericht is op beveiliging. worden – kortom: beveiliging dient georganiseerd te worden. De tweede Deze handreiking voor het ontwikkelen van een volwassenheidsfase. Security Awareness programma geeft organisaties een En als het dan georganiseerd is, en de techniek is aanzet om een eigen bewustwordingsprogramma op te afgesteld, dan blijkt veelal zetten of verder uit te bouwen. Het behandelt op grote dat mensen 'het gewoon niet zo doen'. En lijnen het ontwikkelen van een plan, de ontwikkeling van Nederlanders al helemaal niet. materiaal en de implementatie en evaluatie ervan. Nederlanders hebben een hekel aan beveiligingsmaatregelen: “Waar is het De start van de ontwikkeling van deze handreiking ligt voor nodig?” “Hier gebeurt nooit wat” “Laten ze nog maar kort achter ons en het NAVI is zich er van maar eerst bij zichzelf bewust dat tussen maar ook binnen de vitale sectoren beginnen ”en andere uitvluchten, samen te vatten een grote diversiteit is aan behoefte van bedrijven. Deze tot “It Is Not My Problem”. handreiking heeft daarom de status van een eerste openbare concept. De lezer wordt van harte uitgenodigd Bron: Lezing van het Platform voor commentaar en aanvullingen te geven waardoor het Informatiebeveiliging plan van aanpak van het bewustwordingsprogramma breder inzetbaar is en de kwaliteit verhoogd wordt. 1-dec-08, versie 0.6 pagina 5 van 36
  • 7. 1-dec-08, versie 0.6 pagina 6 van 36
  • 8. Inhoudsopgave 1. Productbeschrijving ..................................................................................................................................... 9 1.1. Inleiding ................................................................................................................................................ 9 1.2. Achtergrond.......................................................................................................................................... 9 1.3. Relatie met andere literatuur ................................................................................................................ 9 1.4. Leeswijzer .......................................................................................................................................... 10 2. Product ........................................................................................................................................................ 11 2.1. Algemeen ........................................................................................................................................... 11 2.2. Doelgroep........................................................................................................................................... 12 2.3. De relatie naar bekwaamheid en bewustzijn ...................................................................................... 12 2.4. Waarom “Eerste openbare Concept”?................................................................................................ 12 3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding ....................................... 15 4. De ontwerpfase ........................................................................................................................................... 17 4.1. Inleiding .............................................................................................................................................. 17 4.2. Structureren van een programma....................................................................................................... 17 4.3. Belangen- en behoeftebepaling.......................................................................................................... 18 4.4. Opstellen van een plan....................................................................................................................... 19 4.5. Stellen van prioriteiten ........................................................................................................................ 20 4.6. Mate van complexiteit......................................................................................................................... 20 4.7. Budgettering ....................................................................................................................................... 21 4.8. Commitment en draagvlak.................................................................................................................. 21 5. De ontwikkeling van materiaal................................................................................................................... 23 5.1. Inleiding .............................................................................................................................................. 23 5.2. Ontwikkelen van bewustwordingsmateriaal........................................................................................ 23 5.3. Selecteren van onderwerpen voor bewustwording............................................................................. 23 5.4. Bronnen voor materiaal ...................................................................................................................... 24 5.5. Uitbesteden of zelf doen?................................................................................................................... 25 5.6. Partnerschap ...................................................................................................................................... 25 5.7. Informatie-uitwisseling via de website van het NAVI .......................................................................... 25 5.8. De vorm.............................................................................................................................................. 25 6. De implementatiefase ................................................................................................................................. 27 6.1. Wijze van communiceren ................................................................................................................... 27 6.2. Technieken om de “boodschap” over te brengen ............................................................................... 27 7. De evaluatie- en onderhoudsfase.............................................................................................................. 29 7.1. Meten van de deelname en de effectiviteit ......................................................................................... 29 7.2. Evaluatie en feedback ........................................................................................................................ 30 7.3. Veranderingen doorvoeren................................................................................................................. 30 7.4. Verhogen van het niveau.................................................................................................................... 31 7.5. Succes indicatoren ............................................................................................................................. 31 8. Bijlage 1: Voorbeelden ............................................................................................................................... 33 8.1. Bewustwordingsprogramma gericht op Social Engineering................................................................ 33 8.2. Enkele voorbeelden van posters ........................................................................................................ 34 9. Bijlage 2; Literatuuroverzicht .................................................................................................................... 35 1-dec-08, versie 0.6 pagina 7 van 36
  • 9. 1-dec-08, versie 0.6 pagina 8 van 36
  • 10. 1. Productbeschrijving 1.1. Inleiding Voor u ligt het eerste openbare concept van ‘Bewust Vitaal’, de handreiking Security Awareness van het NAVI. Deze handreiking beschrijft welke activiteiten ondernomen moeten worden om te komen tot een Security Awareness programma. Het bevat naast een stappenplan ook een plan van aanpak en creatieve ideeën om een bewustwordingsprogramma op te zetten en te onderhouden. Er wordt een groot aantal praktische voorbeelden gegeven hoe oplossingen gevonden zijn voor binnen een bedrijf aanwezige praktische problemen. 1.2. Achtergrond Het NAVI heeft ervaren dat er een grote diversiteit is in de mate waarin bedrijven binnen de vitale sectoren hun bewustwordingsprogramma op orde hebben. Bewustwording en bewustzijn zijn een voorwaarde voor veiligheidsbewust handelen. Door een medewerker inzage te geven in de dreigingen, achtergronden van maatregelen toe te lichten en de noodzaak om maatregelen te nemen te verduidelijken, zal zijn houding en gedrag ten opzichte van security beïnvloed worden. 1.3. Relatie met andere literatuur Bewustwordingsprogramma’s zijn er in veel geuren en kleuren, en ze hebben allemaal gemeen dat ze geschreven zijn voor een bepaald Bruce Schneier: bedrijf of bedrijfstak, ieder met zijn eigen cultuur, problemen en Security yes, but down to earth, risico’s. Bewustwordingsprogramma’s kunnen daarom niet zonder without the mumbo jumbo, meer worden overgenomen van andere bedrijven en moeten dus without shouting in utter Panic: vaak zelf ontwikkeld of aangepast worden. Handleidingen om te “Barbarians at The Gate”. komen tot de ontwikkeling van een bewustwordingsprogramma die Boodschap: overdrijf niet en zorg zich richten op de bedrijven in Nederland in de vitale sectoren, zijn er niet. Natuurlijk is er wel veel over geschreven in diverse publicaties voor afweging tussen veiligheid en maar de benodigde informatie is te verspreid om een eenduidig beeld werkbaarheid. te geven. De bundeling van de informatie voor deze doelgroep is daarom uniek. Enkele voorbeelden van publicaties die waardevolle aanvullende informatie kunnen geven zijn (zie ook literatuurbijlage): - Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of Standards and Technology) - Information Technology Security Training Requirements van het NIST - Bruce Schneier, Beyond Fear: - K.D. Mitnick, The art of deception; the human factor in Information Security - Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion - Y. Lafrance, Psychology: A precious security tool 1-dec-08, versie 0.6 pagina 9 van 36
  • 11. 1.4. Leeswijzer De beschrijving van de handreiking, de relatie naar een Bruce Schneier; Beyond fear. volwassenheidsmodel en hoe deze handreiking gebruikt kan Over the last years we've become worden vindt u in hoofdstuk 2. obsessed with security, and put in place In deze handreiking worden vier kritische stappen onderkend a whole host of policies and procedures om te komen tot een bewustwordingsprogramma: that will do... exactly what? - In Hoofdstuk 3 wordt de samenhang tussen de (..) The key is to think of security not in componenten training, bewustzijn en opleiding beschreven; absolutes, but in terms of sensible trade- - De ontwerpfase waarin het doel en de behoefte offs, whether on a personal or global wordt bepaald en waarin een strategie wordt scale. ontwikkeld (hoofdstuk 4); (..) is a refreshing antidote to today's - De ontwikkeling van trainingsmateriaal, afgestemd doomsday pessimism and anxiety. op de mogelijkheden, budget en beschikbare kennis (hoofdstuk 5). In dit hoofdstuk worden diverse Boodschap: overdrijf niet en zorg voor soorten materiaal besproken zoals web-based afweging tussen veiligheid en training, video, workshops, etc; werkbaarheid. - De implementatie van het programma en de rol van communicatie daarin (hoofdstuk 6); - Evaluatie en onderhoud van de actualiteit en effectiviteit van het programma (hoofdstuk 7). In de bijlagen zijn voorbeelden opgenomen van (delen van) bewustwordingsprogramma’s, waaronder een programma dat bescherming biedt tegen het verstrekken van vertrouwelijke informatie door medewerkers aan onbekende personen, zogenaamde Social Engineering. 1-dec-08, versie 0.6 pagina 10 van 36
  • 12. 2. Product In dit hoofdstuk wordt beschreven wat de handreiking is, hoe deze gebruikt kan worden en ook wat de handreiking niet beoogd te zijn. Tevens wordt aangegeven waarom dit document als “Eerste openbare concept” ter beschikking wordt gesteld. 2.1. Algemeen Het NAVI heeft zich naar aanleiding van signalen uit de vitale sectoren, tot doel gesteld om een handreiking te schrijven, die door bedrijven in de vitale sectoren gebruikt kan worden om een bewustwordingsprogramma op te zetten of te verbeteren. De mate waarin bedrijven een zeker niveau van “volwassenheid” hebben bereikt in het realiseren van een bewustwordingsprogramma varieert zowel tussen de sectoren onderling, alsook binnen de sectoren tussen de bedrijven. De mate van “volwassenheid” kan op hoofdlijnen worden onder verdeeld in drie niveaus, variërend van laag, middel en hoog. “volwassenheid” Laag: Bedrijven hebben geen strategisch beleid en/of structureel budget Informele organisatie voor een bewustwordingsprogramma. Er is nog geen of slechts De socioloog Erving Goffman incidenteel een bewustwordingsprogramma gerealiseerd. De beschrijft in zijn boek The verantwoordelijkheid voor het uitvoeren van een Presentation of Self in Everyday bewustwordingsprogramma is niet of slechts beperkt belegd bij een Life op fascinerende wijze de daarvoor aangewezen medewerker. Opvolging van eerder uitgebracht manier waarop we blijven programma strandt door het ontbreken van beleid, budget en/of geloven in, en vasthouden aan de creativiteit. Incidentregistratie wordt niet of niet volledig uitgevoerd. formele realiteit: Middel: Er is beleid en beschikbaar budget ten aanzien van De wetten, de regels, de Security bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. De verantwoordelijkheid hiervoor is belegd bij een medewerker van het Policies, de bewustwordings bedrijf. Er vindt incidentregistratie plaats en er worden analyses op de trainingen, de seminars, etc. incidenten uitgevoerd. Het bedrijf is zich bewust van de incidenten die Daarnaast bestaat er echter een het gevolg zijn van niet beveiligingsbewust handelen van medewerkers. informele, vaak ontkende Het bedrijf heeft moeite om voortdurend aandacht te blijven vragen voor organisatie waarin zelfs in het onderwerp beveiligingsbewustwording omdat budgetten onder druk autoritaire instituties met “total staan, de relatie naar een verlaging van het aantal incidenten niet control” (gevangenissen, duidelijk is of door andere oorzaken, waaronder een gebrek aan psychiatrische ziekenhuizen, het creativiteit. leger, religieuze ordes) vinden Hoog: Er is beleid en beschikbaar budget ten aanzien van mensen hun weg om regels te bewustwording en er worden bewustwordingsprogramma’s uitgevoerd. buigen en hun eigen realiteit te De verantwoordelijkheid hiervoor is belegd bij een medewerker of een creëren om drugs, alcohol, sex, afdeling van het bedrijf. Over de stand van zaken wordt reguleer sigaretten etc. te bemachtigen. gerapporteerd aan het management. Er vindt incidentregistratie plaats Het is aan te raden om met deze en er worden analyses op de incidenten uitgevoerd. Het bedrijf is zich informele organisatie rekening te bewust van de risico’s die het gevolg zijn van niet beveiligingsbewust houden bij het formuleren van handelen van medewerkers. De bewustwordingsprogramma’s maken (soms complexe) gebruik van vernieuwende en creatieve middelen en zijn daardoor in veiligheidsprocedures staat de aandacht voor bewustwording vast te houden. Medewerkers begrijpen de intentie achter maatregelen en zijn daardoor in staat 1-dec-08, versie 0.6 pagina 11 van 36
  • 13. beveiligingsbewust te handelen in alle voorkomende situaties. 2.2. Doelgroep Deze handreiking Security Awareness richt zich op bedrijven die zich qua “volwassenheid” op de niveaus laag en/of middel bevinden, dus voor bedrijven die een bewustwordingsprogramma willen starten of uitbreiden. Aan de hand van case beschrijvingen zal de ervaring van bedrijven die zich op het niveau hoog bevinden, worden meegenomen. Dit verhoogt niet alleen het draagvlak van het bewustwordingsprogramma maar draagt bij tot het uitdragen van kennis, ervaring en creativiteit. 2.3. De relatie naar bekwaamheid en bewustzijn Een lage mate van beveiligingsbewustwording wordt gekenmerkt doordat mensen fouten maken zonder dat zij zich er van bewust zijn (1. Onbewust onbekwaam). Het doel van bewustwordingstrainingen is initieel om medewerkers zich er van bewust te maken dat zij fouten maken of gemaakt hebben en waarom dit handelen als fout getypeerd wordt (2. Bewust onbekwaam). Nadat dit stadium bereikt is wordt de medewerker het juiste gedrag aangeleerd. De medewerker moet zich bewust zijn van de risico’s van zijn gedrag en handelt zoals hem is aangeleerd (3. Bewust bekwaam). In de hoogste mate van bewustwording is het veilig handelen van de medewerker een regulier onderdeel van zijn dagelijks functioneren. Hij handelt in overeenstemming met wat hem geleerd is en is in staat om het aangeleerde ook in andere situaties toe te passen (4. Onbewust bekwaam). Onbekwaam Bekwaam Onbewust 1. Onbewust onbekwaam 4. Onbewust bekwaam Bewust 2. Bewust onbekwaam 3. Bewust bekwaam Deze handreiking heeft met name betrekking op “bewust onbekwaam” en “bewust bekwaam” handelen. 2.4. Waarom “Eerste openbare Concept”? Zoals in de inleiding is geschetst, heeft het NAVI zich tot doel gesteld om een handreiking te maken die breed toepasbaar is om een bewustwordingsprogramma op te zetten of verder uit te bouwen. De start van de ontwikkeling van deze handreiking ligt echter nog maar kort achter ons en het NAVI is zich er van bewust dat tussen maar ook binnen de vitale sectoren een grote diversiteit is aan behoefte van bedrijven. De eerste stap is daarom een concept van een generiek The fallacy of novelty stappenplan en plan van aanpak te presenteren. De Nieuwer is nog niet beter bedrijven binnen de sectoren worden nadrukkelijk Het is een misvatting dat nieuwe middelen uitgenodigd om hun commentaar en aanvullingen te beter zijn dan de oude. Besluiten worden geven. vaak genomen op basis van de aanname Handreiking houdt hier in dat het gebruikt kan worden bij dat nieuwer ook beter is en het oude is de begeleiding van de totstandkoming van een afgedankt, in plaats van op meetbare bewustwordingsprogramma. Het neemt degene die gegevens. De symboliek van “state of the verantwoordelijk is gesteld, mee in zijn proces om art techniek” of “up-to-date” te willen zijn problemen te onderkennen, doelen te definiëren en is soms erg belangrijk. oplossingen te creëren. Het is nadrukkelijk geen keurslijf, 1-dec-08, versie 0.6 pagina 12 van 36
  • 14. geen voorschrift. Het beoogt het proces te beschrijven, niet de inhoud. Dat wordt overgelaten aan de creativiteit van de verantwoordelijke manager en is sterk afhankelijk van het bedrijf of de sector waarvoor dit bewustwordingsprogramma wordt geschreven De tweede stap is om dit commentaar te verwerken tot een breder gedragen en toepasbare handreiking. Indien uit de commentaren en aanvullingen blijkt dat er behoefte is aan meer specifieke onderwerpen per bedrijf of sector, dan wordt deze opgenomen in aanvullende hoofdstukken. Het mag immers duidelijk zijn dat een bewustwordingsprogramma voor een bank andere eisen stelt dan die voor de petrochemische Industrie, al was het alleen maar omdat de bedrijfsvoering van een geheel andere aard is. U, de lezer, wordt daarom van harte uitgenodigd om bij te dragen aan een kwalitatief betere handreiking Security Awareness door commentaar en aanvullingen te geven. Ook nodig ik u van harte uit om voorbeelden aan te dragen van uitdagingen, die u in de praktijk hebt ervaren en die u hebt kunnen oplossen, zodat andere bedrijven kunnen leren van uw creatieve oplossingen. Wij vragen u nadrukkelijk niet om veiligheidsincidenten die zich binnen uw bedrijf hebben voorgedaan te beschrijven. Door het openbare karakter van deze handreiking Security Awareness kunnen wij de vertrouwelijkheid van de incidenten en de afhandeling niet garanderen. 1-dec-08, versie 0.6 pagina 13 van 36
  • 15. 1-dec-08, versie 0.6 pagina 14 van 36
  • 16. 3. De samenhang tussen de Componenten: Training, bewustzijn en opleiding Een succesvol beveiligingsprogramma bestaat in de basis uit vier elementen: • een strategie die gebaseerd is op de belangen en behoeften van de organisatie en afgestemd op de bestaande en onderkende risico’s; • een op die belangen en risico’s toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen vastgelegd in een Security Management System (SMS) en een Operator Security Plan (OSP); • medewerkers die geïnformeerd zijn over hun taken en verantwoordelijkheden zoals die zijn vastgelegd in beveiligingsdocumentatie en procedures; en • processen die het programma periodiek impulsen geven, bewaken en evalueren. Een goed bewustwordingsprogramma moet aansluiten bij dit beveiligingsprogramma. Zowel de inhoud als het gebruikte instructiemateriaal moet gebaseerd zijn op de strategie en beveiligingsplannen van de organisatie alsook de gebruikte procedures. Dit vormt de basis voor een bewustwordingsprogramma dat afgestemd is op de organisatie en aansluit bij de belevingswereld van de medewerkers. Een bewustwordingsprogramma moet zich niet alleen richten op de medewerker op de werkvloer maar op alle Kadootjes doen het goed medewerkers van een organisatie, dus inclusief de Nederlanders zijn als geen ander volk spaarders van beheerders en het (top)management. Het management zegeltjes, airmiles en freebees. Voor een klein heeft daarbij de bijzondere taak om voorbeeldgedrag te kadootje doen ze veel. Een ministerie wilde vertonen. Goed voorbeeldgedrag is een noodzaak om te stimuleren dat het overgrote deel van de communiceren dat het management de navolging van ambtenaren deel zou nemen aan een veiligheidsregels onderschrijft. Slecht voorbeeldgedrag van bewustwordingsprogramma. Het bood aan alle het management wordt door medewerkers op de werkvloer gezien als excuus om zelf de veiligheidsregels niet na te deelnemers een CD (in creditkaartformaat) aan met hoeven leven. De effectiviteit van een gratis software voor thuisgebruik waaronder een bewustwordingsprogramma is hier in grote mate van firewall, anti virus software en programma’s tegen afhankelijk. spam en ongewenste advertenties. Ook werd software geleverd waarmee ouders hun kinderen Veiligheidsvoorschriften en procedures zijn vaak wel voor konden beschermen tegen bezoeken aan alle medewerkers beschikbaar, op het intranet of fysiek als ongewenste sites. Daarnaast werd een cursus veilig bundel in een archiefkast. Instructie over nut en noodzaak PC-thuisgebruik op de CD aangeboden en bestond en de beoefening van de procedures wordt vaak de mogelijkheid een gekwalificeerde digitale achterwege gelaten. De medewerker krijgt in dat geval handtekening aan te vragen. opdracht om zich de procedures zelf eigen te maken, maar De deelname overtrof alle verwachtingen! zal daar geen prioriteit aan geven. Een bewustwordings- , En de kosten? Die bedroegen € 3,00 per CD opleidings- en trainingsprogramma is essentieel in de verspreiding van noodzakelijke informatie die gebruikers, inclusief management, nodig hebben om hun werk veilig uit te kunnen voeren. Het kan gezien worden als communicatiemiddel in de verspreiding van veiligheidsmaatregelen. 1-dec-08, versie 0.6 pagina 15 van 36
  • 17. Een effectief bewustwordingsprogramma legt op heldere wijze uit waarom een bepaald gedrag van een medewerker verwacht wordt. Het geeft de noodzaak, de achtergronden en de mogelijke gevolgen aan van de veiligheidsmaatregelen. In het bewustwordingsprogramma zal ook aandacht besteed moeten worden aan een sanctiemodel indien een medewerkers de veiligheidsmaatregelen niet opvolgt. Van gebruikers mag worden verwacht dat zij zich houden aan de veiligheidsregels en deze naleven. Zij moeten dan wel op de hoogte zijn van deze veiligheidsregels en deze beoefend hebben. Zij moeten zich bewust zijn van de noodzaak en achtergronden van deze maatregelen en weten elke mogelijke sancties staan op het niet opvolgen of naleven van deze maatregelen. Bewustwordingsprogramma’s worden ontworpen om gedrag te veranderen en kennis van beveiligingsmaatregelen en procedures te vergroten. In een bewustwordingsprogramma wordt de aandacht gevestigd op veiligheid. Dit kan zowel in de vorm van een presentatie zijn (overdracht van kennis) als in de vorm van training waarin naast kennisoverdracht ook de handelingen beoefend worden en vaardigheden worden aangeleerd. SE als nul-meeting Voor een deel van de medewerkers volstaat een U wilt weten hoe het gesteld is met het naleven bewustwordingsprogramma niet. Medewerkers die specifieke of van veiligheidsmaatregelen in uw organisatie? specialistische kennis op het gebied van beveiliging nodig hebben Overweeg dan eens te starten met een security zullen veelal een externe opleiding volgen die in veel gevallen zal audit die gebaseerd is op Social Engineering. lkeiden tot certificering. Op de Nederlandse markt zijn een groot Hierbij proberen auditors door middel van list en aantal aanbieders van internationaal erkende opleidingen actief psychologische trucs om uw medewerkers (per die leiden tot een eveneens internationaal bekende en erkende telefoon of op locatie) te verleiden af te wijken titel. van veiligheidsprocedures en vertrouwelijke informatie te verstrekken, toegang te verlenen Een goed bewustwordingsprogramma richt zich dus op alle tot locaties, netwerken en archieven. relevante psychologische componenten: kennis (d.m.v. interne of En weet u al dat ongenode gasten mee kunnen externe opleidingen), houding (bewustzijn & competenties) en gedrag (d.m.v. herhaalde oefening en training). Indien aan één liften bij de toegang tot het pand? Deze auditors van deze drie componenten niet of onvoldoende aandacht wordt tonen op deze manier aan tot welke besteed, functioneert een bewustwordingsprogramma niet naar vertrouwelijke informatie of (proces)systemen behoren en is het op termijn gedoemd te mislukken. zij toegang kunnen krijgen. 1-dec-08, versie 0.6 pagina 16 van 36
  • 18. 4. De ontwerpfase In de ontwerpfase van een bewustwordingsprogramma moeten het doel en de behoefte worden bepaald en een strategie worden ontwikkeld. Vervolgens kunnen drie stappen worden onderscheiden in de ontwikkeling van een bewustwordings- en trainingsprogramma: 1. de ontwerp het programma zelf, 2. de ontwikkeling van het trainingsmateriaal en andere benodigde zaken 3. de feitelijke implementatie van het programma Daarna is aparte aandacht nodig voor de evaluatie en het onderhoud van het programma. Zelfs een beperkt bewustwordings- en trainingsprogramma vergt de nodige inspanning voordat het daadwerkelijk de veiligheid en de waakzaamheid vergroot binnen een organisatie. Dit hoofdstuk beschrijft de eerste stap in de ontwikkeling van een bewustwordings- en trainingsprogramma; het ontwerp van een programma. 4.1. Inleiding Een bewustwordingsprogramma moet zijn afgestemd op de organisatie. Een open deur? Wellicht, maar een bewustwordingsprogramma zal alleen voldoende aandacht krijgen als het in overeenstemming is met de missie, de directe belangen of de veiligheidsbehoefte van een organisatie. Het moet belangrijk voor de organisatie zijn en passen binnen zijn cultuur. De meest succesvolle programma’s zijn die, waarbij gebruikers ervaren dat de onderdelen bijdragen aan de verhoging van de veiligheid binnen de organisatie (en zij de noodzaak daarvan ook nadrukkelijk onderkennen). Iets wat als wezensvreemd wordt ervaren zal nooit worden uitgevoerd! In de ontwerpfase worden de te beveiligen belangen en behoeften vastgesteld, de hiervoor relevante onderwerpen Gebruik eenvoudige maar en prioriteiten geïdentificeerd, en vervolgens zaken als effectieve hulpmiddelen draagvlak, commitment en budget gezocht. Dwingt uw netwerk ook af dat er gebruik In onderstaande paragrafen worden de volgende wordt gemaakt van sterke, cryptische onderwerpen behandeld: wachtwoorden (3 van de 4 mogelijkheden van - De structuur van een bewustwordings- en grote en kleine letters, cijfers en leestekens) trainingsprogramma om ontdekking te voorkomen? In veel gevallen - De behoeftebepaling - Het opstellen van een plan wordt het wachtwoord dan Piet2009. Het - Het stellen van prioriteiten voldoet aan de regels maar is het ook veilig - Het reduceren van complexiteit genoeg? - De budgettering Op het internet zijn voldoende handleidingen - Commitment en draagvlak te vinden om veilige wachtwoorden te maken; gebruik ze binnen uw bedrijf en ondersteun 4.2. Structureren van een programma veilige wachtwoorden m.b.v. een tool die de Bij het bepalen van de structuur van een programma kan kwaliteit weergeeft in kleuren of cijfers. gebruik worden gemaakt van drie basismodellen die 1VpK=/Zm voornamelijk verschillen in de wijze waarop centraal of (Een veilig password kiezen is niet zo moeilijk) decentraal uitvoering wordt gegeven aan het programma. Voor alle drie de modellen geldt dat het beleid zelf centraal 1-dec-08, versie 0.6 pagina 17 van 36
  • 19. is vastgesteld. De modellen zijn: Model 1: Gecentraliseerde strategie en uitvoering; Model 2: Gecentraliseerde strategie en decentrale uitvoering; Model 3: Decentrale strategie en uitvoering De keuze voor het model wordt bepaald door: - De geografische spreiding van onderdelen van de organisatie - De functie, taken en verantwoordelijkheden van een (deel)organisatie - De toewijzing van budgetten en verantwoordelijkheid (centrale of decentrale budgetten) De keuze voor een bepaald model dient bij voorkeur te sporen met hetgeen in de reguliere bedrijfsvoering van de organisatie gebruikelijk is. Bang voor illegale Een geheel gedecentraliseerde uitvoering van bewustwording binnen USB-sticks? een voor het overige volledige centraal geleide organisatie of vice versa Meer dan 50% van mensen die een zal weinig succesvol zijn. Dit is roeien tegen de stroom in. USB-stick vinden brengen hun computer in gevaar door ze aan te 4.3. Belangen- en behoeftebepaling sluiten; misschien bent u wel 1 klik Aan de voet van de beveiligingstrategie ligt een goede risico-analyse. verwijderd van een groot Hierin worden de belangen en bedreigingen van de organisatie netwerkprobleem. Is uw geïdentificeerd. De NAVI-handreiking over risico-analyse kan hierbij organisatie of het netwerk niet behulpzaam zijn. ingericht om niet door de Op basis van deze belangenanalyse dient vervolgens een organisatie verstrekte USB-sticks behoeftebepaling plaats te vinden. Dit is een proces waarin bepaald te weren, overweeg dan eens om wordt in welke mate een organisatie ook behoefte heeft aan een een test uit te voeren met een bewustwordingsprogramma in het kader van zijn beveiliging. Hierin zogenaamde honeystick. Hierbij wordt de ‘gap’ tussen de huidige en de wenselijke situatie vastgesteld, worden door de organisatie als ook wat voor overbrugging daarvan noodzakelijk is. geprepareerde USB-sticks - Strategisch management; schijnbaar achteloos achtergelaten - Management verantwoordelijk voor beveiliging (fysiek e/o IT) binnen en/of buiten het bedrijf. - Beveiligingsfunctionarissen, zowel management als uitvoering Zodra een USB-stick aangesloten - Systeemeigenaren en administrators wordt op het bedrijfsnetwerk, - Operationele managers en uitvoerders. wordt automatisch een verbinding tot stand gebracht met een Om de behoefte te kunnen bepalen kan gebruik worden gemaakt van systeem dat de USB-stick en de o.a. diverse technieken: gebruiker registreert en de - Interviews met bovenstaande groepen gebruiker vervolgens op de hoogte - Onderzoek naar bestaande bewustwordings- en brengt van de overtreden trainingsprogramma’s, trainingsschema’s en deelnemerslijsten veiligheidsregel. Voor meer - Onderzoek naar bestaande bedrijfs- en beveiligingsplannen en informatie zie: -procedures, - Incidentregistratie en de afhandeling http://honeystickproject.com - Trends in vakbladen - Wijziging in wet- en regelgeving - Analyse van de organisatie (o.a. percentage medewerkers met verantwoordelijkheden op beveiligingsgebied) 1-dec-08, versie 0.6 pagina 18 van 36
  • 20. - Analyse van belangrijke of te verwachten wijzigingen in organisatie, huisvesting en IT Meetbare gegeven zoals de registratie van incidenten en deelnemers aan trainingen geven een objectief inzicht in de stand van zaken en de behoefte voor evaluatie van een bestaand programma. Analyse van de resultaten van de interviews en Medisch Centrum zet onderzoeken moet leiden tot beantwoording van de volgende vragen: bewakingspersoneel in - Wat is de behoefte aan een Bij het uitvoeren van een bewustwordings- en trainingsprogramma of bewustwordingsprogramma zag een Medisch opleiding? - Op welke manier wordt op dit moment Centrum zich voor de uitdaging gesteld om ook de voorzien in de behoefte en hoe effectief is avond- en nachtdienst van de verpleging te dit? bereiken. Het betreffende MC heeft daarvoor de - Wat is het verschil tussen de behoefte en beveiligers opgeleid die tijdens hun rondes en de wat momenteel wordt gerealiseerd (gap- pauzes van de verpleging op de afdelingen actuele analyse)? beveiligingsonderwerpen bespraken. Het resultaat - Welke onderwerpen wordt als het meest was een duidelijke stijging in het aantal meldingen kritisch gezien? - En langs welke weg kan de wenselijke van verdachte situaties en een verlaging van het situatie het best worden bereikt? aantal diefstallen. In deze stap moet tevens nadrukkelijk worden onderzocht welke mogelijkheden maar vooral ook beperkingen er gelden bij een bepaalde vorm van het programma. Het is bijvoorbeeld van belang te weten voor welke aspecten de bedrijfscultuur een hinderpaal vormt, of waarin de capaciteit en kwaliteit van het IT-netwerk van de organisatie een Computer Based Training (CBT) eigenlijk wel kan ondersteunen. Ook kan het van belang zijn om te onderzoeken of een presentatie of een training in eigen huis gegeven kan worden of dat moet worden uitgeweken naar een externe locatie, enzovoort. 4.4. Opstellen van een plan Nadat de behoeftebepaling heeft plaatsgevonden kan het plan worden opgesteld waarmee het eigenlijke bewustwordings- en trainingsprogramma vorm kan krijgen. Het moet gezien worden als een werkdocument dat de basiselementen bevat voor de te volgen strategie. Het plan moet ten minste ingaan op de volgende onderwerpen: - De formele basis voor het programma met bestaande wet- en regelgeving, aangevuld met bedrijfseigen beleid en richtlijnen; - De aansturing van het programma en de inbedding in de managementlijn; - De scope van het programma; - De rollen, taken en verantwoordelijkheden van medewerkers die betrokken zijn bij het ontwerp, de ontwikkeling en de implementatie van bewustwordings- en trainingsmateriaal en de medewerkers die betrokken zijn bij de uitvoering van het programma; - Doelen die gesteld worden voor alle aspecten van het programma, waaronder bewustwording, training, opleiding, certificering, inclusief de wijze waarop het resultaat van die doelen wordt gemeten; - Bepaling van de doelgroepen voor de onderdelen van het programma; - Verplichte en optionele delen van het programma voor iedere doelgroep en de frequentie van deelname; - Leerdoelen en te behandelen onderwerpen voor afzonderlijke onderdelen van het programma; 1-dec-08, versie 0.6 pagina 19 van 36
  • 21. - Wijze van communiceren (CBT, instructielokaal, presentatie, posters, etc.); Het poldermodel in - Documentatie, terugkoppeling en registratie van deelname; security - Wijze waarop de resultaten van het programma worden verankerd in de reguliere bedrijfsvoering en hoe aan Veiligheidsregel van bedrijven onderhoud daarvan verder uitvoering kan worden gegeven; worden soms onbewust maar ook - Hoe evaluatie van en nazorg vanuit het programma zal regelmatig bewust overtreden. In plaatsvinden, tegenstelling tot andere landen zijn Nederlanders over het algemeen geneigd om hun eigen 4.5. Stellen van prioriteiten mening omtrent security ook toe Als de strategie en het plan zijn opgesteld kan bepaald worden op te passen in de bedrijfsomgeving. welke wijze de implementatie kan plaatsvinden. Bij een omvangrijk Regels waarvan nut en noodzaak programma kan dit in fasen gebeuren. Het is daarbij van belang zijn niet bekend zijn of niet om prioriteiten te stellen en om belangrijke en urgente zaken voorrang onderschreven wordt, worden dan te verlenen. De volgende overwegingen spelen daarbij een rol: bewust niet opgevolgd. Bij het - De beschikbaarheid van materiaal en personen; opzetten van een programma moet - De rol van de organisatie en de complexiteit (of eenvoud) daarom niet alleen op de focus op waarmee een programma kan worden gerealiseerd; de inhoud liggen, maar ook op de - De huidige stand van het niveau van bewustwording (grote noodzaak van opvolgen van “gaten” eerst dichten); - De vraag in hoeverre andere prioritaire projecten afhankelijk veiligheidsregels. zijn van het bewustwordingsprogramma? In zijn algemeenheid geldt hier het volgende adagium. Hoe meer focus, hoe groter de kans op succes. Een vaak voorkomende oorzaak van mislukking van bewustwordingsprogramma’s is gelegen in het feit dat daarvan te veel zo niet alle heil wordt verwacht. Een lot dat dergelijke programma’s vaak delen met bijvoorbeeld allerlei cultuurprogramma’s die beogen ‘de’ bedrijfscultuur te veranderen. Te veel tegelijk willen vergroot de kans dat het proces tussentijds ’krakend tot stilstand komt’, en men daardoor uiteindelijk minder bereikt dan met een duidelijke focus wellicht wel het geval zou zijn geweest. 4.6. Mate van complexiteit Een tweede succesfactor betreft het eenduidige en toegesneden karakter van het programma. Zo moet de complexiteit van het opleidings- en trainingsmateriaal in overeenstemming zijn met de rol van de persoon die het programma gaat volgen. De ontwikkeling van materiaal moet gebaseerd zijn op twee belangrijke criteria, namelijk: - de functie van de cursist en daarmee het opleidingsniveau - de benodigde kennis en vaardigheden die voor die functie nodig zijn Het is aan te bevelen om bij de start van een bewustwordings- en trainingsprogramma de complexiteit van de over te dragen informatie sterk te reduceren. Beleid en regelgeving moeten te begrijpen zijn voor het management maar ook voor de man op de werkvloer. Er mag geen misverstand of onduidelijkheid bestaan over het beleid en de veiligheidsregels. Indien een bewustwordingsprogramma enige tijd is uitgevoerd kan differentiatie worden aangebracht in de doelgroepen en kan de complexiteit van de informatie worden aangepast aan het niveau en de functie van de deelnemers. 1-dec-08, versie 0.6 pagina 20 van 36
  • 22. 4.7. Budgettering Nadat de strategie bepaald is en de doeleinden en prioriteiten vastgesteld zijn, moet het benodigde budget worden bepaald. Aan de hand van het opgestelde plan zal een berekening gemaakt moeten worden van de kosten die betrekking hebben op het ontwikkelen van materiaal, de productie, communicatie en de verspreiding ervan en de kosten die gemoeid zijn met het daadwerkelijk uitvoeren van het programma (personeel, locaties, catering, verlies aan productiviteit, etc.). Een aantal mogelijke benaderingen om te komen tot een budget zijn: - Een zeker percentage van het gehele opleidings- en trainingsbudget - Budget per medewerker, afhankelijk van zijn rol, - Een percentage van het IT Budget (let op: Niet alle Commitment van de beveiliging is IT-gerelateerd) - Expliciete berekening van het gehele programma. leiding, maar hoe? De “baas” moet uitstralen dat hij Er zijn problemen te verwachten in het realiseren van het bewustwordingsprogramma beveiligingsbewustzijn indien de budgetten lager uitvallen dan belangrijk vindt en moet het dus benodigd. Het is de expliciete verantwoordelijkheid van het ook uitdragen. Een aantal management om voldoende budget beschikbaar te stellen. Het voorbeelden hoe dat gerealiseerd hanteren van het stappenplan en accorderen van het resultaat van kan worden: iedere stap (strategie, behoefte, plan) door het management, biedt de - Laat de baas de opening doen, grootste mate van zekerheid om het benodigde budget vrij te maken. kleed dat feestelijk aan en zorg Indien dit niet gerealiseerd kan worden, verdient het de voorkeur de voor een prominente spreker; doelen (behoefte) bij te stellen, een fasering aan te brengen of - Plaats een interview met de baas budgetten te herverdelen. Ook kan er uiteraard gelobbyd worden voor over zijn beleving van veiligheid meer budget. en werkbaarheid; - Laat de baas prijzen uitreiken 4.8. Commitment en draagvlak aan de winnaars van een Een programma dat niet wordt gedragen, en dan met name door het veiligheidsprijsvraag en plaats management, is gedoemd te mislukken. Het (top)management zal daar een artikel over. actief en frequent zijn commitment moeten uitspreken door aanwezig - De baas onderwerpt zich te zijn op belangrijke momenten in het programma zoals de start van (uiteraard) ook aan de regels. het programma, de openstelling van een website, de eerste presentatie etc. Alleen dan zal het draagvlak creëren bij de medewerkers. 1-dec-08, versie 0.6 pagina 21 van 36
  • 23. 1-dec-08, versie 0.6 pagina 22 van 36
  • 24. 5. De ontwikkeling van materiaal Na de ontwerpfase is de ontwikkeling van het bewustwordings- en trainingsmateriaal de tweede fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze tweede stap: het ontwikkelen van trainingsmateriaal, afgestemd op de mogelijkheden, budget en beschikbare kennis. In dit hoofdstuk worden diverse soorten materiaal besproken zoals web-based training, video, workshops, etc. 5.1. Inleiding Nadat het bewustwordingsprogramma is ontworpen moet het ondersteunende materiaal worden ontwikkeld. Bij de ontwikkeling van het materiaal moet het volgende in gedachten worden gehouden: - Welk gedrag willen we versterken en - Welke vaardigheden willen we aanleren en toe laten passen Deelnemers aan een programma zullen eerder geneigd zijn om wat zij zien en horen in hun dagelijkse werk te implementeren, als zij het gevoel hebben dat het materiaal specifiek voor hen is ontwikkeld. Het moet dus aansluiten bij de belevingswereld, het opleidingsniveau en de functie van de deelnemer. Dit houdt in dat materiaal ontwikkeld moet worden dat voor iedere medewerker toepasbaar is, maar (in voorkomend geval) ook materiaal dat zich richt op een specifieke doelgroep. Denk daarbij vooral ook vanuit de betreffende medewerkersgroep. Wat zou hem of haar aanspreken? Wat past het best bij zijn of haar reguliere werkzaamheden en de wijze waarop die normaal zijn ingericht? Betrek de doelgroepmedewerkers daarbij indien dit op voorhand nog te weinig inzichtelijk is. Ervaring leert dat veel mislukkingen deels zijn gelegen in het (te) aanbodgedreven karakter van het lesmateriaal; deels in het feit dat allerlei ‘aanvullende’ zaken worden gevraagd die niet goed passen bij het reguliere bedrijfsproces van alledag. 5.2. Ontwikkelen van bewustwordingsmateriaal Het plan voor het bewustwordings- en trainingsprogramma zal een lijst bevatten met onderwerpen die behandeld moeten worden. Deze lijst kan worden samengesteld uit bronnen die zowel binnen als buiten de organisatie beschikbaar zijn zoals de incidentendatabase, resultaten van interne audits, self-assessment resultaten, vakbladen en nieuwsbrieven van diverse beveiligingsorganisaties en instellingen. Hierover in de volgende paragrafen meer. 5.3. Selecteren van onderwerpen voor bewustwording Een groot aantal onderwerpen kunnen in een bewustwordingsprogramma worden behandeld. Zonder uitputtend te zijn volgt hier een overzicht met mogelijke onderwerpen: - Gebruik en management van wachtwoorden; bedenken van sterke wachtwoorden, frequentie van verandering, geheimhouding, hoe om te gaan bij meerdere systemen; - Bescherming tegen virussen, wormen, Trojaanse paarden en andere “malware”; wat is het verschil, wat doet die kwaadaardige software en hoe blijft mijn virusscanner up-to-date. Leg hierbij ook de relatie naar het thuisgebruik; - Beleid; implementatie in projecten en compliancy; 1-dec-08, versie 0.6 pagina 23 van 36
  • 25. - Onbekende e-mails en/of bijlagen; - Gebruik van het Internet; toegestaan en verboden (gevaarlijk) gedrag; monitoring van gebruikershandelingen; - Hoe om te gaan met SPAM berichten; - Opslag van gegevens en de wijze van backup door de organisatie; - Social Enginering; misbruik van vertrouwen van medewerkers door kwaadwillenden; - Incidenten; wat te doen, bij wie te melden; - Shoulder surfing; “Je mag alles van me weten, behalve mijn ….wachtwoord”; - Veranderingen in de nutsvoorzieningen van het gebouw kunnen van invloed zijn op de systemen (water, stof, vuur, tijdelijk uitgeschakelde toegangscontrole, etc.) - Risico’s tijdens verhuizingen; - Thuisgebruikers en de verantwoordelijkheid om het eigen systeem goed te beveiligen; - Gebruik en gevaren van mobiele verwerking (I-phone, Blackberry, etc.); - Gebruik van vercijfering van gegevens tijdens transport en opslag; - Laptops tijden reizen; risico’s van diefstal van apparatuur en gegevens; - Installeren van updates; - Gebruik van software licenties; toegestane en illegale software op bedrijfscomputers - Toegang tot bedrijfssystemen; - Individuele verantwoordelijkheden versus verantwoordelijkheden van de organisatie; - Procedures t.a.v. bezoekers; registratie en begeleiding, bescherming tegen inzage in bedrijfsinformatie; - Desktop beveiliging; screensavers, clear desk en clear screen - Geheimhouding van vertrouwelijke informatie - Gedragsregels bij het gebruik van e-mail en Internet voor zakelijk en/of privé gebruik. 5.4. Bronnen voor materiaal Het aantal en de verscheidenheid van bronnen die materiaal kunnen leveren voor een bewustwordingsprogramma is groot. Veel van dit GOVCERT; de materiaal is beschikbaar op het Internet als openbare bron. In een aantal gevallen zal het zelfs mogelijk zijn om te beschikken over waarschuwingsdienst complete bewustwordingsprogramma’s. Daarbij is echter een GOVCERT, de organisatie die kanttekening op zijn plaats: Het programma is ontwikkeld met andere namens de overheid de uitgangspunten. Kopieer daarom niet klakkeloos maar selecteer die bedreigingen op het Internet onderwerpen die ook in het eigen proces geïdentificeerd zijn en pas ze bewaakt, biedt de mogelijkheid aan de eigen behoefte aan. om per sms gewaarschuwd te worden indien b.v. ernstige Enkele voorbeelden van bronnen van materiaal: kwetsbaarheden in software - Handleidingen voor zakelijk en privé gebruik van Internet en e- ontdekt worden of er een mail zoals die in nieuwsgroepen beschikbaar zijn; virusuitbraak dreigt. De dienst is - Nieuwsbrieven van security organisaties en magazines; gratis en kan zowel uw o http://www.schneier.com/crypto-gram.html .A free monthly newsletter providing summaries, analyses, medewerkers als uw kinderen insights, and commentaries on security: computer and meer bewust maken van de otherwise. bedreigingen op het Internet. o http://www.biometrics.org/ www.waarschuwingsdienst.nl - Whitepapers en ander materiaal dat op websites beschikbaar 1-dec-08, versie 0.6 pagina 24 van 36
  • 26. wordt gesteld door organisatie van vakgenoten (voor leden en/of niet-leden); o http://www.pvib.nl/ van het Platform voor InformatieBeveiliging. - Websites met online nieuwsberichten; o http://www.security.nl - Materiaal van conferenties, seminars en cursussen; - Professionele organisaties die bewustwordingsprogramma’s ontwikkelen. 5.5. Uitbesteden of zelf doen? Het ontwikkelen van een bewustwordingsprogramma kost veel tijd, energie en geld. Op enig moment zal de vraag gesteld worden of we het allemaal zelf wel kunnen en willen. Onderstaande overwegingen kunnen gebruikt worden rond de besluitvorming: - Heeft de organisatie zelf de kennis en capaciteit beschikbaar? Hebben deze mensen de juiste vaardigheden en ervaring? Zijn de mensen voor deze opdracht beschikbaar? - Is het meer kosten effectief om het programma zelf op te zetten of uit te besteden? - Zijn er budgetten beschikbaar? - Is de organisatie in staat om eenmaal aangeleverde programma’s zelf te onderhouden? - Staat de gevoeligheid van de inhoud van het programma uitbesteding wel toe? - Past uitbesteding in het beoogde tijdsplan? - Behoud van benodigde kennis. 5.6. Partnerschap Waarom zelf ontwikkelen als anderen u al voor gegaan zijn. Het ontwikkelen van een programma kan gebaat zijn bij een partnerschap met een soortgelijke organisatie waarbij niet alleen het resultaat (het programma) kan worden uitgewisseld maar ook de voorafgaande plannen en overwegingen. De samenwerking reduceert niet alleen de kosten maar bevorderd ook het uitwisselen van creatieve ideeën. 5.7. Informatie-uitwisseling via de website van het NAVI De website van het NAVI biedt een beveiligde mogelijkheid voor het uitwisselen van vertrouwelijke informatie door o.a. gebruik te maken van een geregistreerde en geautoriseerde gebruikers, fora en vercijferde toegang. Via deze website kunt u veilig informatie uitwisselen en delen met door u zelf bepaalde organisaties en personen. Voor meer informatie verwijs ik u naar http://www.navi-online.nl/. 5.8. De vorm Er bestaat een groot scala aan technieken en vormen om de boodschap uit te dragen. De keuze, of combinatie van keuzes, hangt af van het type boodschap, de organisatie en zijn cultuur, en de complexiteit van de boodschap. Bij de start van een bewustwordingsprogramma is het van belang de focus te leggen op de meest 1-dec-08, versie 0.6 pagina 25 van 36
  • 27. belangrijke risico’s die een organisatie loopt en zich te richten tot alle medewerkers. Een overdosis aan onderwerpen, de wijze waarop het Snelle reactie op programma gecommuniceerd wordt of te grote differentiatie naar type verloren USB-stick medewerkers, zal afleiden van de essentie van het programma. Nadat Het ministerie van Defensie kwam initieel een bewustwordingsprogramma gehouden is voor alle enige tijd geleden in het nieuws medewerkers met de meest prangende onderwerpen, kan differentiatie plaatsvinden naar medewerkers (uitvoerders, staf, midden en door het verlies van een USB-stick strategisch management), de wijze waarop de onderwerpen met zeer gevoelige informatie. Het gecommuniceerd worden (webgebaseerde training, presentaties, ministerie reageerde daarop direct nieuwsbrieven). Onderstaand overzicht kan een hulpmiddel zijn bij de door extra aandacht te vragen voor keuze van de wijze waarop de onderwerpen gecommuniceerd kunnen dit onderwerp in bestaande worden: bewustwordingsprogramma’s. - Boodschappen op (dagelijks) gebruiksmateriaal zoals pennen, post-it briefjes, sleutelhangers, keycords, klokken; - Posters met informatie over wat te doen of juist niet te doen; - Screensavers met wisselende teksten; - Nieuwsbrieven; - E-mail berichten; - Videoberichten; - Webgebaseerde informatie of trainingen; - Presentaties door een instructeur; - Security dagen; - Security tips die periodiek, bijvoorbeeld bij het opstarten van de computer, verschijnen (en pas na een bevestiging weer verdwijnen) - Kruiswoordpuzzels - Prijsvragen In alle gevallen is het van belang om de boodschap op meerdere manier over te brengen. Dit versterkt de kracht van de inhoud en het effect op de medewerkers. Zo kan in een presentatie de kwaliteit van een wachtwoord behandeld worden die vervolgens door posters, e-mails of een handleiding versterkt wordt. 1-dec-08, versie 0.6 pagina 26 van 36
  • 28. 6. De implementatiefase Na de ontwerpfase en de ontwikkeling van het bewustwordings- en trainingsmateriaal volgt de derde fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze derde stap: de rol van communicatie bij de implementatie het programma. 6.1. Wijze van communiceren Het bewustwordingsprogramma moet binnen de organisatie uitgelegd en gecommuniceerd worden. Veiligheidsregels worden pas Het doel is begrip en ondersteuning te realiseren voor opgevolgd indien een medewerker de uitvoering van het programma en de bijdrage die van de medewerkers verwacht wordt. De het in zijn portemonnee voelt communicatie zal moeten verduidelijken wat de Veiligheidsregels zijn lastig en worden niet altijd verwachtingen van het management zijn en de te begrepen. De naleving van de veiligheidsregels heeft verwachten resultaten voor de organisatie. De wijze voor de medewerker vaak geen consequenties waarop het project bekostigd wordt (centraal budget waardoor het hem aan motivatie ontbreekt. Bij het of doorbelasting) moet voor het managent duidelijk zijn. Verder is het van belang dat iedereen in de opzetten van een bewustwordingsprogramma moet organisatie die betrokken is bij het programma, zijn met top- en middenmanagement, personeelsafdeling eigen taken en verantwoordelijkheden kent, maar ook en eventueel de ondernemeningsraad worden die van de andere deelnemers. Als aanvulling hierop afgesproken op welke wijze naleving van moeten ook tijdschema’s en beoogde resultaten (in veiligheidsregels onderdeel worden van het aantal deelname en percentage geslaagden per beoordelingssysteem en welke correctieve onderdeel) gecommuniceerd worden. maatregelen gebruikt kunnen worden. Dit kan bijvoorbeeld door privileges op te schorten of In paragraaf 4.2 wordt een aantal basismodellen daadwerkelijk strafmaatregelen te nemen (b.v. korting besproken voor het bepalen van de structuur van een op een bonus). programma. De basismodellen verschillen Voorwaarde is een gedegen onderzoek bij een voornamelijk in de wijze waarop centraal of decentraal geconstateerd veiligheidsincident met hoor en uitvoering wordt gegeven aan het programma. Het wederhoor en schriftelijke vastlegging. spreekt voor zich dat de wijze waarop de communicatie moet worden ingericht (centraal of decentraal) moet aansluiten bij de keuze die in paragraaf 4.2 gemaakt is. 6.2. Technieken om de “boodschap” over te brengen In hoofdstuk 5 is al over de vorm gesproken waarmee de boodschap uit het programma kan worden overgebracht. In deze paragraaf worden in aanvulling hierop verschillende technieken besproken. De techniek die gebruikt gaat worden om de boodschap naar de medewerker te brengen moet voldoen aan een aantal criteria: - Eenvoud in gebruik; gebruiks- en onderhoudsvriendelijk (updates); - Schaalbaarheid; verschillende kennisniveaus van de gebruikers, grootte van de deelnemersgroepen en verschillende locaties (klaslokaal en auditorium); 1-dec-08, versie 0.6 pagina 27 van 36
  • 29. - Vastleggen van meetgegevens; aantal deelnemers, scores, tijdsbesteding, correlaties tussen deelnemersgroepen en resultaten; - Beschikbaarheid op de markt; aantal potentiële leveranciers De meest gebruikelijke technieken zijn: - Interactieve Video Training (IVT) dat gebruikt kan worden voor leren en trainen op afstand en maakt gebruik van technologie die twee richtingverkeer voor interactieve audio en video mogelijk maakt. De interactieve vorm maakt het leereffect groter maar de kosten zijn hoger dan niet-interactieve vormen. - Web gebaseerde training is momenteel erg gebruikelijk. Iedere deelnemer kan in zijn eigen tempo deelnemen aan het programma. Er kunnen test- en meetmomenten ingebouwd worden en de resultaten kunnen worden teruggekoppeld met de deelnemer. Zonodig kan een specifiek onderdeel van het programma herhaald worden. De techniek van de web gebaseerde training is sterk in ontwikkeling. Het is zelfs mogelijk dat instructeur en deelnemers (of deelnemers onderling) interactief met elkaar kunnen communiceren; - Niet- Web gebaseerde training is de meer traditionele vorm van verspreiding van trainingsmateriaal door deze beschikbaar te stellen op intranet website voor download. Het programma wordt dan door iedere deelnemer vanaf zijn eigen werkstation gevolg, zonder interactie met een instructeur of andere deelnemers; - On-site instructie waarbij de instructeur een prominente rol heeft in het overdragen van kennis en de begeleiding van het aanleren van vaardigheden. Dit kan in de vorm van een presentatie in een lokaal of auditorium, een trainingslokaal, etc. Het is de oudste maar ook meest populaire en interactieve vorm van kennisoverdracht. In grote organisaties zal het moeilijk zijn deelnameschema’s op te stellen zodat alle medewerkers ook deel kunnen nemen en kan geografische spreiding van medewerkers leiden tot lange reistijden of instructie op meerdere locaties. De meest krachtige vorm bij kennisoverdracht is het gebruik van meerdere technieken. Zo kan een instructeur Praatje, plaatje, daadje eerst vertellen (presenteren) over een bepaald onderwerp Hoe blijft de boodschap het beste “hangen”? waarna een videopresentatie gestart wordt ter De volgende wijsheid kan daarbij helpen: ondersteuning van het onderwerp. In een later stadium kan “Vertel het me en ik zal het vergeten. een deelnemer via een interactieve trainingg meer kennis Laat het me zien en ik zal het onthouden. en vaardigheid opdoen vanaf zijn eigen werkplek. Laat het me doen en ik zal het Begrijpen.” 1-dec-08, versie 0.6 pagina 28 van 36
  • 30. 7. De evaluatie- en onderhoudsfase Na de ontwerpfase, de ontwikkeling van het bewustwordings- en trainingsmateriaal en de daadwerkelijke uitvoering van het bewustwordingsprogramma volgt de “laatste” fase in een bewustwordingsprogramma. Dit hoofdstuk beschrijft deze “laatste” stap: de evaluatie- en onderhoudsfase van het programma. Deze fase beoordeelt of het effect van het programma in overeenstemming is met het gedefinieerde ontwerp, en het resultaat voldoet. Deze fase maakt van het gehele proces van de ontwikkeling van een bewustwordingsprogramma een cyclisch en zich herhalend proces. 7.1. Meten van de deelname en de effectiviteit Gedurende de uitvoering van het bewustwordings- en trainingsprogramma dient informatie verzameld te worden over de deelname aan het programma. Het gegevensbestand moet in ieder geval de mogelijkheid bieden om informatie te verstrekken over: • cursus- en opleidingsdata, • inhoud van de opleiding • deelname, zowel totalen als percentages per organisatieonderdeel • waarderingen uit de evaluatieformulieren van de deelnemers De meetgegevens kunnen gebruikt worden voor rapportages aan het management over de mate van compliance, de kwaliteit en volwassenheid van het opleidings- en trainingsprogramma, de bereidheid van afdelingen om deelnemers af te vaardigen en kwaliteitsverbetering. De deelnamegegevens geven een rechtvaardiging van beschikbaar gesteld budget en geven in detail aan of medewerkers hebben deelgenomen aan het programma. Hieruit kunnen voor zowel de medewerkers als voor afdelingsmanagement consequenties volgen. Medewerkers die deelgenomen hebben aan een dergelijk programma kunnen bijvoorbeeld voorrang krijgen bij interne sollicitaties. Is deelname aan een bewustwordingsprogramma een functie-eis, dan kan het niet deelnemen of niet slagen consequenties hebben voor de uitoefening van de betreffende functie. De organisatie loopt in dat geval een te groot risico loopt op schade door onachtzaam foutief handelen van personeel dat geen training heeft gevolgd. De uitkomsten van de analyse van de meetgegevens kan tot gevolg hebben dat correctieve actiefsmoeten worden uitgevoerd die betrekking hebben op de kwaliteit of inhoud van het programma of de deelname. Aan het verantwoordelijke management kan bijvoorbeeld in meer formele zin deelname van de medewerkers worden opgedragen, er kan aanvullende training of opleiding noodzakelijk zijn of de wijze waarop het programma wordt aangeboden, moet worden bijgesteld. De uitkomsten zullen veelal aanleiding zijn voor een apart plan van aanpak om de correcties en aanpassingen uit te werken en te implementeren 1-dec-08, versie 0.6 pagina 29 van 36
  • 31. 7.2. Evaluatie en feedback Formele evaluatie en feedback is een kritische component van een bewustwordingsprogramma. Voortdurende verbetering kan niet plaatsvinden als het ontbreekt aan een goed gevoel hoe een programma werkt. Vanaf de start van de ontwikkeling van het programma, nadat de contouren van het programma zich beginnen af te tekenen, moet dus nagedacht worden hoe de kwaliteit van het programma op een objectieve manier kan worden vastgesteld. Er zijn een aantal evaluatie en feedback methoden mogelijk die gebruikt kunnen worden om een programma bij te stellen of aan te passen. In ieder geval zullen onderwerpen beoordeeld moeten worden op het gebied van kwaliteit, scope, gebruikte methoden (o.a. Interactieve Video trainging, web gebaseerd), moeilijkheidsgraad, eenvoud van gebruik, duur van het programma, relevantie en gangbaarheid van de behandelde onderwerpen en suggestie voor verbetering. De meest gangbare methoden voor evaluatie en feedback zijn: Not My Problem - Evaluatieformulier; gebruik daarbij zo veel mogelijk Niet dat beveiliging niet als een voorbedrukte teksten en normeringen zodat er weinig geschreven hoeft te worden om een waardering aan te probleem wordt gezien, alleen niet dat geven; van mij. En vraag me niet van wie wel, - Open forum discussie waar bovenstaande onderwerpen want dat weet ik niet precies. besproken kunnen worden. Deze vorm van evaluatie biedt Van medewerker tot directielid is dit de beste mogelijkheid op nieuwe ideeën en inzichten ter een veel gehoorde reactie: NMP. verbetering van het programma. Bron: Lezing van het Platform voor - Selectieve interviews met deelnemers waarop in een 1-op- Informatiebeveiliging 1 gesprek de onderwerpen van de evaluatie besproken worden. De selectie van deze groep moet echter objectief blijven om de uitkomst niet te beïnvloeden. Men moet er echter ook rekening mee houden dat deelnemers, om diverse redenen, niet altijd hun mening aan (vertegenwoordigers van) het management van de organisatie willen vertellen. In deze vorm van evaluatie wordt medewerkers wel de mogelijkheid geboden om hun mening te geven zonder dat zij zich in een groep daarvoor moeten verantwoorden. - Onafhankelijk observatie door een derde partij die kan zorgen voor een gedegen onafhankelijk oordeel; - Formele statusrapporten door managers van deelnemers. - Benchmarking, waarbij het programma (en de resultaten ervan) vergeleken wordt met andere, soortgelijke organisaties. Deze vorm van evaluatie wordt uitgevoerd door gespecialiseerde organisaties die de beschikking hebben over uitgebreide gegevens van resultaten van bedrijven over een langere periode. 7.3. Veranderingen doorvoeren Het is noodzakelijk om maatregelen ter verbetering van een programma te nemen omdat er nieuwe technieken in gebruik genomen worden (ieder weer met andere en nieuwe risico’s), en het kennisniveau en gedrag van de medewerkers verandert. Noodzakelijke wijzigingen kunnen ook veroorzaakt worden omdat een organisatie zijn missie of doelstelling bijstelt of inzichten wijzigen hoe de doelstellingen van het programma gehaald kunnen worden. Belangrijke landelijke of internationale ontwikkelen, of de komst van nieuwe wetgeving kunnen ook hun invloed hebben op een programma. 1-dec-08, versie 0.6 pagina 30 van 36
  • 32. 7.4. Verhogen van het niveau Zoals in eerdere paragrafen is besproken, zal een bewustwordingsprogramma moeten starten met een focus op de meest cruciale securiy aspecten en zich moeten richten op iedere medewerker, dus van (top)management tot de medewerker op de werkvloer. Nadat het beoogde niveau gehaald is, zal de volgende stap gezet moeten worden om het niveau te verhogen. Dit kan door een aanvullend programma (met een hoger niveau) op te zetten voor alle medewerkers, maar ook door differentiatie aan te brengen naar type medewerker, zijn niveau, zijn taken en verantwoordelijkheden. In dit laatste geval wordt er differentiatie aangebracht naar doelgroepen, die ieder hun niveau toegesneden programma gaan volgen. Op deze wijze zal het programma groeien in volwassenheid. Het verdient aanbeveling om het verhogen van het niveau in het ontwerp van het programma mee te nemen en te baseren op meetbare gegevens. Een norm voor het verhogen van het niveau zou in dat geval een deelname van ten minste 85% en een slagingspercentage van 90% kunnen zijn. Tijdens het uitvoeren van een programma verdient het aanbeveling om voortdurend de ontwikkelingen op de mark van bedreigingen, technologie, good practices en benchmarking bij te houden waardoor mogelijkheden ontstaan om proactief de kwaliteit en/of effectiviteit van het programma te verbeteren. 7.5. Succes indicatoren CEO’s, CIO’s, management en programmamedewerkers zijn bij uitstek de voortrekkers voor de permanente verbetering van een bewustwordingsprogramma. Het is cruciaal dat deze functionarissen uitdragen dat zij het programma ondersteunen. Binnen het aspect beveiliging is het zeker waar dat “de keten zo sterk is als de zwakste schakel”. Beveiliging van een organisatie is een teaminspanning. Onderstaand is een list opgenomen van indicatoren om een inschatting te maken van de ondersteuning en de Commitment van de leiding acceptatie (commitment) van een programma. Bij een ministerie was de draagplicht van de - Is er voldoende budget beschikbaar gesteld om personeelspas reeds lange tijd ingevoerd maar de geaccordeerde doelstellingen te halen; werd de maatregel niet altijd consequent - Is de organisatie rond het programma ingericht uitgevoerd. Als onderdeel van een met medewerkers van voldoende kwaliteit; bewustwordingsprogramma werd extra aandacht - Is het programma een regelmatig terugkerend onderwerp op de agenda van het management; aan de noodzaak voor deze maatregel besteed en - neemt het management deel aan de training; werd de uitvoering van strenger gecontroleerd. - het percentage deelname; Personeel dat de pas niet bij zich had werd de - het gemotiveerd uitdragen van (de toegang tot de kantine ontzegd en personeel dat doelstellingen van) het programma door het de pas niet zichtbaar droeg werd gecorrigeerd. De verantwoordelijke management. meeste indruk maakte echter een van de - Is er brede ondersteuning voor de distributie van topfunctionarissen die collega’s direct aansprak materiaal; en hen corrigeerde. 1-dec-08, versie 0.6 pagina 31 van 36
  • 33. 1-dec-08, versie 0.6 pagina 32 van 36
  • 34. 8. Bijlage 1: Voorbeelden 8.1. Bewustwordingsprogramma gericht op Social Engineering Onderstaand voorbeeld is afkomstig uit een bewustwordingsprogramma van een ICT dienstverlener waar uit onderzoek is gebleken dat regelmatig vertrouwelijke informatie werd opgevraagd door onbekende personen die zich voordeden als collega. Het ging daarbij vaak om tarieven van consultants, informatie over lopende offertes, details over klanten of opdrachtgevers en onderwerpen waarop business development plaatsvond. Het bewustwordingsprogramma richt zich op Social Engineering (het d.m.v. list, en psychologische trucs inwinnen van vertrouwelijke informatie) en behandelt in acht afleveringen de psychologische achtergrond van een bepaalde truc. De onderwerpen zijn als onderdeel van een bredere bewustwordingscampagne in een maandelijkse nieuwsbrief opgenomen. Deze nieuwsbrief was wederom onderdeel van een breed pakket aan producten rond bewustwording. Deel 5: Social Engineering en psychologie; het aspect autoriteit Voorwoord In mijn rol als security consultant heb ik de laatste jaren een aantal security audits uitgevoerd in de vorm van zgn. Social Engineering Assessment, zowel binnen de publieke als private sector. Social Engineering kan omschreven worden als het verkrijgen van toegang tot vertrouwelijke informatie door middel van list, bedrog en psychologische trucs. De resultaten van de security audits die ik heb uitgevoerd verbaasden me in hoge mate; van username/password van kritische of vertrouwelijke systemen of applicaties, vriendelijke portiers die me toegang verleenden tot hoog beveiligde delen van het gebouw, toegang tot opiaten (geneesmiddelen) en criminele en juridische informatie over personen. In het merendeel van de gevallen was het enige dat ik hoefde te doen: Er (brutaal) om vragen! Het meest extreme resultaat was het in ontvangst mogen nemen van vijf handvuurwapens, simpel op basis van één telefoontje en een goed verhaal. Ik ben er steeds meer van overtuigd geraakt dat de beveiliging niet zit in de Firewall, SafeWord tokens en andere technische beveiligingsmaatregelen maar in de mens zelf. Dit document is bedoeld als bijdrage aan het bestaande bewustwordingsprogramma en is tot stand gekomen in samenwerking met de Corporate Security Officer en Corporate Information Management. Inleiding Waarom en hoe kan het menselijke gedrag zo sterk beïnvloed worden, dat een verzoek van een vreemde om vertrouwelijke informatie te verstrekken, wordt ingewilligd. In een serie van acht afleveringen ga ik in op het hoe en waarom van menselijk gedrag en hoe daar misbruik van gemaakt kan worden door profiteurs. Met de kennis kun je herkennen wanneer iemand jou probeert te beïnvloeden; zowel privé als zakelijk. Maar je kunt de kennis uit deze serie ook gebruiken in je zakelijke of privé-sfeer om iets van een ander gedaan te krijgen. Eigen ervaringen Bij een ministerie was de beveiliging van de kantoren van de minister en zijn directe staf sterk verbeterd. De Plaatsvervangend Secretaris Generaal had mij de opdracht verstrekt om deze beveiliging te testen. Ik kwam (gekleed in driedelig kostuum) hard aangelopen bij de bewaking van de achteringang en parkeerplaats van de auto’s van de hogere ambtenaren. Hijgend zei ik tegen de portier dat ik zojuist bij het verlaten van het complex mijn elektronische toegangspas was vergeten en vroeg hem of ik het pasje even mocht ophalen. Hij aarzelde. Ik zei dat de Plaatsvervangend SG (ik noemde de voor en achternaam) twee straten verder ongeduldig stond te wachten; er was haast bij en ik moest snel mijn pas hebben. De poort ging open en ik rende snel naar een toegangdeur. Binnen in het gebouw pakte ik twee lege dozen en deed daar mijn colbertje en vestje in en liep daarmee naar de toegang van het compartiment van de minister. Ik sloot achter een man aan die ook in dezelfde richting liep. Toen hij zijn pas aanbood en het poortje open ging begon ik hoorbaar te mopperen dat ik mijn pas op 1-dec-08, versie 0.6 pagina 33 van 36
  • 35. mijn kantoor vergeten was. Hij was erg vriendelijk en opende het poortje voor me (er was geen anti-pass-back). Mijn visitekaartje heb ik op het toetsenbord van mijn opdrachtgever geplaatst ten teken dat de opdracht was uitgevoerd. Door te benoemen dat ik in opdracht van een bekende autoriteit handelde, voldeed de bewaker aan mijn verzoek en werd ik toegelaten tot het complex. Autoriteit Uit onderzoek is vastgesteld dat elk mens nagenoeg ieder opdracht uitvoert als een autoriteit dit van hem verlangt. Vanaf de geboorte wordt ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Het gehoorzamen aan autoriteiten levert ons ook voordelen op. Doordat zij zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te gehoorzamen. Wanneer we ontdekken dat gehoorzaamheid vrijwel altijd iets oplevert, bestaat de kans dat we er een automatisme van maken. Vaak zijn we niet alleen gevoelig voor de autoriteiten zelf, maar ook met de symbolen die we met hen verbinden, zoals titels, kleding en bepaalde voorwerpen. Oplichters dragen niet voor niets vaak dure pakken en verhoogde schoenen. Mensen willigen verzoeken veel makkelijker in als de vragers in uniform gekleed zijn. Ook mensen die in pak rondlopen kunnen op ontzag rekenen. Attributen als dure auto’s, laptops, PDA’s en juwelen zijn ook prima gezagssymbolen. Verdediging Vaak zijn we niet voorzichtig genoeg wanneer ons om volgzaamheid verzocht wordt. Door constant waakzaam te blijven tegenover zogenaamde autoriteiten kunnen we achteraf minder snel voor verrassingen komen te staan. Wanneer we ons bovendien nog eens extra bewust worden van het feit dat gezagssymbolen eenvoudig kunnen worden nagemaakt, zullen we ook waakzamer zijn wanneer autoriteiten ons willen beïnvloeden. De enige kanttekening is echter dat we liever niet tegen het gezag ingaan. Meestal is het immers juist om autoriteiten te gehoorzamen. Je kunt het beste leren ontdekken wanneer je de richtlijnen van autoriteiten wel, en wanneer je deze niet zou moeten opvolgen. Deze twijfel kunnen we door middel van twee vragen wegnemen: 1. Is de autoriteit daadwerkelijk deskundig? 2. Is deze autoriteit ook betrouwbaar? 8.2. Enkele voorbeelden van posters Onderstaande posters vormen een kleine selectie van een grote hoeveelheid materiaal dat op het Internet beschikbaar is. Een korte zoektocht levert veel voorbeelden op die de creativiteit kan stimuleren. 1-dec-08, versie 0.6 pagina 34 van 36
  • 36. 9. Bijlage 2; Literatuuroverzicht Building an Information Technology Security Awareness and Training Program van het NIST (National Institute of Standards and Technology) Information Technology Security Training Requirements van het NIST (National Institute of Standards and Technology) Bruce Schneier, Beyond Fear: K.D. Mitnick, The art of deception; the human factor in Information Security Robert B. Cialdini; Using the Science of Influence to Improve the Art of Persuasion Y. Lafrance, Psychology: A precious security tool Lezing Platform voor Informatiebeveiliging 30 oktober 2008 door Hans Labruyere, LBVD Bewustwordingsprogramma van een niet nader te noemen ICT dienstverlener uit 2007 Security Management System (SMS) en Operator Security Plan (OSP), beide publicaties van het NAVI waarin een op de belangen en risico’s van een organisatie toegesneden combinatie van fysieke, logische (digitale) en organisatorische beveiligingsmaatregelen wordt vastgelegd 1-dec-08, versie 0.6 pagina 35 van 36
  • 37. 1-dec-08, versie 0.6 pagina 36 van 36
  • 38. December 2008 werkdocument Copyright © Nationaal Adviescentrum Vitale Infrastructuur (NAVI) Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder vooraf- gaande schriftelijke toestemming van het NAVI niet toegestaan. Rechten en vrijwaring Het NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan. Het NAVI verleent u hierbij toestemming dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: het NAVI wordt als bron vermeld; het document en de inhoud mogen commercieel niet geëxploiteerd worden; publicaties of informatie waarvan de intellectuele eigendomsrechten niet berusten bij het NAVI blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s); ieder kopie van dit document of een gedeelte daarvan dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.