Een zeer goede keuze.
Zo kijken Terence van Gestel (CISO) en Janey van Vessem (informatiebeveiligingsbeheerder) van de gemeente Tilburg terug op het besluit om hun organisatie deel te laten nemen aan de Cyber Barometer. Maar liefst 1214 Tilburgse ambtenaren vulden de zorgvuldig samengestelde online vragenlijst in die het gedrag van medewerkers op het gebied van informatiebeveiliging en privacy inzichtelijk maakt. De resultaten vormen inmiddels de kapstok voor hun nieuwe awareness strategie. Terence en Janey delen graag hun ervaringen.
In eerste instantie liep Terence helemaal niet zo warm voor het uitzetten van een vragenlijst onder zijn collega’s. Gelukkig was Janey juist direct groot voorstander van de Cyber Barometer en het inzetten ervan: ‘Ik was heel enthousiast. We stonden namelijk aan de start van een nieuw programma waarin we ons richten op gedragsverandering om onze organisatie digitaal veiliger te maken. Een goede nulmeting is op zo’n moment erg belangrijk. Daarnaast wisten we globaal wel welke thema’s rond informatiebeveiliging en privacy spelen binnen gemeentes, maar wilden we graag specifiekere informatie over het gedrag van onze medewerkers zodat we echt gericht aan de slag kunnen.’
Toen Terence meer te weten kwam over de Cyber Barometer, was ook hij al snel om: ‘Als je tijd vraagt van mensen, dan vind ik dat het echt toegevoegde waarde moet hebben. Voor mij betekent dat dat je ook daadwerkelijk actie kan ondernemen op basis van de resultaten. Om dat te kunnen doen, is het bijvoorbeeld belangrijk om binnen de vragenlijst sociaal wenselijke antwoorden uit te sluiten. Doordat in de Cyber Barometer vragen op verschillende manieren gesteld worden, hebben we dat kunnen realiseren. Daar ben ik erg blij om. Het instrument zit gewoon heel goed in elkaar.’
Kapstok voor gerichte actie
De resultaten van de Cyber Barometer leiden op verschillende manieren tot nieuwe inzichten. Terence: ‘We hebben inzicht gekregen in thema’s die organisatiebreed aandacht vragen, maar weten nu ook welke thema’s er spelen per team. Dat team X een stap kan maken op het gebied van veilig videovergaderen bijvoorbeeld. En dat team Y koploper is als het gaat om het veilig versturen van e-mailberichten.’ Janey: ‘We hebben ook het effect van een actie of training uit het verleden kunnen meten. Zo dachten we dat iedereen weet wat te doen in geval van een datalek omdat we daar een training over hebben gegeven. Toch bleek uit de Cyber Barometer dat we daar nog energie in moeten stoppen. Andersom zagen we op andere thema’s die we recent uitgelicht hebben juist ook hele positieve resultaten.’
De vele inzichten uit de Cyber Barometer dragen bij aan een gericht actieplan. Terence: ‘De resultaten die we nu in handen hebben, vormen de kapstok voor ons programma voor de komende tijd. We gebruiken ze om te bepalen welke thema’s we op welke manier behandelen en welke teams daar aan deel gaan nemen. Het maakt het echt veel eenvoudiger om te prioriteren.’ Janey: ‘Omdat we nu goed weten waar behoefte aan is binnen de verschillende teams, zijn we veel beter in staat om dat te verweven in ons programma. Zo kunnen we borgen dat mensen alleen energie steken in zaken die voor hen relevant zijn.’
Draagvlak en budget
Tot slot heeft Terence nog een tip voor gemeenten: ‘Van middelgrote of kleinere gemeenten hoor ik vaak dat het lastig is om draagvlak te creëren en voldoende budget te organiseren voor privacy en informatiebeveiliging. De Cyber Barometer kan daar enorm aan bijdragen. En hoewel we in Tilburg een redelijk budget hebben, blijft ook bij ons de pot met geld niet eeuwig gevuld. We moeten continu blijven investeren om voldoende draagvlak te behouden. Daar gebruiken we de uitkomsten van de Cyber Barometer zeker voor.’
CYBER BAROMETER VAN BROOKLYN PARTNERS
De Cyber Barometer meet via online enquêtes hoe medewerkers in hun werk omgaan met gevoelige informatie. Binnen de metingen staan de drie verantwoordelijkheden die medewerkers hebben bij het realiseren van een cyberveilige organisatie centraal:
- Voorkomen van onveilige situaties
- Herkennen van onveilige situaties
- Acteren in het geval van onveilige situaties
Medewerkers die deze drie verantwoordelijkheden zorgvuldig uitvoeren hebben een hoog volwassenheids niveau op het gebied van security en privacy. Hoe hoger het volwassenheids niveau van de medewerkers, hoe veiliger de organisatie.
