- Stappenplan
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
- mbo
Bepalen van IBP bewustwordingsniveau
Bewustwording op het gebied van digitaal veilig werken is belangrijk. Veel digitale incidenten ontstaan door fouten van mensen, zoals een usb-stick kwijtraken of het delen van gevoelige informatie met verkeerde personen. Medewerkers die weten hoe ze digitale risico’s kunnen herkennen, zijn beter in staat om dit soort fouten te voorkomen. Maar hoe bepaal je hoeveel jouw medewerkers weten van de risico’s die er zijn met betrekking tot informatiebeveiliging en privacy?
Stappenplan
Het bepalen van het IBP bewustwordingsniveau in de organisatie is een belangrijke eerste stap om met bewustwording aan de slag te gaan. Het maakt het mogelijk om het effect van het bewustwordingsprogramma te meten, maar helpt vooral om te bepalen waar je organisatie nu staat en waar je de nadruk op moet leggen. Aan de hand van onderstaande stappen bepaal je het bewustwordingsniveau op jouw school.
-
Stap 1: Haal cijfers op binnen het bestuur en de scholen
Haal binnen de organisatie informatie op die je kan helpen bij het bepalen van het bewustwordingsniveau.
- Vraag het aantal datalek-meldingen op bij je privacy officer of Functionaris Gegevensbescherming (FG).
- Vraag het aantal beveilingingsincidenten op bij de IBP’er of Information Security Officer (ISO).
Hou er rekening mee dat een laag aantal meldingen van datalekken of (informatie)beveiligingsincidenten niet betekent dat er niets gebeurt. Een laag aantal meldingen is juist een indicatie dat medewerkers zich niet bewust zijn wanneer of waar ze moeten melden. Je kunt deze gegevens aanvullen met extra indicatoren. Maak bijvoorbeeld een rondje langs de lokalen direct na de pauze-bel en controleer of de computerschermen zijn vergrendeld. Voorbeelden van extra indicatoren zijn:
- het aantal computers waarvan bij een verlaten werkplek het scherm niet vergrendeld is
- het aantal apparaten (laptops, smartphones, USB-sticks) dat als verloren of gestolen is gemeld
- het aantal verzoeken om wijziging van wachtwoorden
- het aantal medewerkers dat een informatiesessie over digitaal veilig werken heeft afgerond
-
Stap 2: Voer een enquête uit
Het uitvoeren van een enquête onder medewerkers biedt een aanvulling op de opgehaalde cijfers. Een korte uitvraag met enkele vragen geeft een eerste indicatie van waarom medewerkers geen digitaal veilig gedrag vertonen. Je kunt hiervoor onze voorbeeldenquête gebruiken.
Voorbeeldenquête
docx | 169.89 KB
Maak gebruik van een enquête om een eerste beeld te krijgen van het digitale veilige gedrag van je medewerkers.
-
Stap 3: Houd diepte-interviews
Een diepte-interview bestaat uit open vragen en is gericht op het begrijpen van gedrag. Vaak stel je wie, wat, waar, waarom, wanneer en hoe-vragen. Het is belangrijk om geen waardeoordeel over de antwoorden uit te spreken. De nadruk in het gesprek ligt op begrijpen wat goed gaat en wat beter kan en op welke manier een bewustwordingsprogramma hieraan kan bijdragen.
Selecteer per doelgroep in jouw school een of twee personen die je interviewt. Denk hierbij aan leraren, medewerkers van het bestuurskantoor, leerlingen of onderwijsondersteunend personeel.
Overweeg wie het beste de interviews kan afnemen, om te voorkomen dat de respondenten sociaal wenselijke antwoorden geven.
Een diepte-interview is niet gestructureerd en is daarom flexibel. Je kunt zelf besluiten op welke antwoorden je verder ingaat.
Voorbeeldvragen diepte-interview
- Kun je me vertellen over je ervaring met digitale veiligheid in onze organisatie?
- In hoeverre voel je je voorbereid op een cybersecurity incident binnen jouw school?
- Wie zou jij benaderen als je een verdachte e-mail hebt ontvangen?
- Wat zou je doen als een leerling naar je toe komt die aangeeft dat hun account is gehackt?
- Wat zijn voor jou belemmeringen voor digitaal veilig werken?
- Waar zou je een datalek melden?
- Waarom is onze school kwetsbaar voor cybersecurity incidenten, denk je?
- Hoe zou je het aanpakken als je per ongeluk een e-mail met gevoelige informatie naar de verkeerde persoon hebt gestuurd?
-
Stap 4: Trek een conclusie
Op basis van de verschillende acties die je hebt uitgevoerd, bepaal je het bewustwordingsniveau voor jouw organisatie. Je kunt dit per doelgroep doen, of voor jouw organisatie in het algemeen. De niveaus die we hanteren zijn laag/midden/hoog:
Medewerkers zijn zich niet tot nauwelijks bezig met digitale veiligheid. Ze weten niet wat een datalek is of hoe ze beveiligingsincidenten kunnen herkennen en melden. Ze vertonen geen digitaal veilig gedrag.
Medewerkers zijn zich enigszins bewust van het belang van digitale veiligheid. Ze weten wat een datalek is en kunnen een beveiligingsincident herkennen, maar weten niet altijd of en waar ze die moeten melden. Medewerkers vertonen nog niet altijd digitaal veilig gedrag. Het vergrendelen van computers wordt wel eens vergeten en er wordt niet altijd goed nagedacht bij het versturen van gevoelige informatie.
Elke medewerker is getraind op digitale veiligheid bij binnenkomst in de organisatie en is doordrongen van het belang ervan. Procedures met betrekking tot het herkennen en melden van datalekken en beveiligingsincidenten zijn bekend. Ze zijn zich bewust van het belang van digitaal veilig gedrag en dragen dat ook over op hun leerlingen.
Werken aan een bewustwordingsprogramma
Wanneer je het bewustwordingsniveau van je medewerkers hebt bepaald, kun je aan de slag met het ontwikkelen van een bewustwordingsprogramma. In het deelproject 2.3 Bewustwording creëren van het Groeipad vind je meer informatie en een voorbeelddocument Plan bewustwordingsprogramma.