In november 2015 studeerde Youri Lammerts van Bueren cum laude af op zijn onderzoek naar kennis, houding en gedrag op het gebied van informatiebeveiliging bij medewerkers van Nederlandse gemeenten. In zijn rapport concludeert Youri dat medewerkers een cruciale rol spelen in het beschermen van informatie. In hoeverre zij hierbij het gewenste gedrag vertonen hangt in belangrijke mate af van hun informatiebeveiliging bewustzijn.
Informatiebeveiligingsincidenten
Het vertonen van gedrag dat in strijd is met het beleid kan leiden tot informatiebeveiligingsincidenten. Een reeks van dergelijke incidenten bij Nederlandse overheden, waaronder de DigiNotar-crisis in 2011, heeft de Nederlandse politiek gestimuleerd in te grijpen. Op landelijk niveau is daardoor veel aandacht ontstaan voor informatiebeveiliging bij de Nederlandse overheid en expliciet bij Nederlandse gemeenten. Dit heeft er onder andere toe geleid dat de leden van de Vereniging voor Nederlandse Gemeenten (VNG) al op 29 november 2013 besloten structureel aan het informatiebeveiliging bewustzijn te gaan werken.
Informatiebeveiliging gemeenten
Dat de medewerker een belangrijke factor is ten aanzien van de informatiebeveiliging bij Nederlandse gemeenten wordt bevestigd in het onderzoek van Van der Goes. In zijn onderzoek geeft hij aan dat de gevolgen van social engineering bij Limburgse gemeenten enorm kunnen zijn. Maatregelen als bewustzijn, scholing en training zijn het meest effectief tegen social engineering, maar helaas gebeurt hier nog te weinig in de dagelijkse praktijk. Ongewenst gedrag van medewerkers ontstaat daarnaast door ineffectieve ontwerpen van security systemen, menselijke beperkingen zoals het geheugen, gebrek aan training en scholing en een beperkt bewustzijn rondom informatiebeveiliging. De onderzoekers concludeerden daarnaast dat ondanks dat medewerkers soms wel bepaalde kennis hadden van informatiebeveiligingsmaatregelen, deze toch niet altijd werden nageleefd.
Methodiek informatiebeveiliging
Youri wilde met zijn onderzoek een methodiek ontwerpen waarmee het informatiebeveiliging bewustzijn bij medewerkers van Nederlandse gemeenten kan worden gemeten. Deze methodiek kan vervolgens gebruikt worden om de discrepantie in kaart te brengen tussen het niveau van bewustzijn en het feitelijke gedrag dat wordt vertoond door medewerkers. Door dit te doorgronden, is het mogelijk om het beleid op dit gebied verder te optimaliseren en informatiebeveiliging succesvol te verankeren in de organisatie.
iBewustzijn Overheid
Na literatuurstudie en empirisch onderzoek heeft Youri die methodiek ook daadwerkelijk ontwikkeld. Het literatuuronderzoek heeft geresulteerd in een referentiemodel waarmee het informatiebeveiliging bewustzijn bij medewerkers van Nederlandse gemeenten kan worden gemeten. Dit referentiemodel is opgebouwd uit bestaande modellen, waarbij het basismodel is ontleend aan het model van Kruger & Kearney. Dit model is verder verrijkt met elementen uit andere modellen. Het informatiebeveiliging bewustzijn wordt gemeten aan de hand van de meest belangrijke geldende gedragsrisico’s, afkomstig uit de 10 gouden regels van de campagne iBewustzijn Overheid. De meting vindt plaats door middel van een survey, omdat dit een geaccepteerde methodiek is om het bewustzijn te meten.
Onderzoeksresultaten analyseren
Bij het analyseren van de onderzoeksresultaten zijn drie abstractieniveaus geconstateerd. Het eerste abstractieniveau geeft een beeld van de omgeving waarin Nederlandse gemeenten momenteel opereren. Het laat de trends en verschuivingen zien waar zij mee te maken hebben. Vanuit deze verschuivingen (de focus) hebben de geïnterviewden risico’s benoemd die de gemeentelijke organisaties lopen (het tweede abstractieniveau). Daaruit zijn de belangrijkste gedragsrisico’s gedestilleerd (het derde abstractieniveau) die gemeten dienen te worden. De voor gemeenten specifieke focus is dus bepalend geweest bij het benoemen van de belangrijkste gedragsrisico’s, het model is daardoor niet zonder meer toepasbaar op andere typen organisaties.
De ontwikkelde methodiek is goed bruikbaar, een aanrader voor iedereen die binnen een Nederlandse gemeente verantwoordelijk is voor informatiebeveiliging; bijna iedereen dus!
In dit bericht zijn de bronvermeldingen niet overgenomen, u vindt deze hier: Afstudeerverslag – Hoe iBewust zijn medewerkers van Nederlandse gemeenten?.