Bewust van risico’s informatieveiligheid

Marten Post is Chief Information Security Officer (CISO) bij de gemeente Noardeast-Fryslân. De gemeente ontstond in 2019 door een fusie van drie gemeenten en telt 45.870 inwoners. Het gemeentehuis staat in Dokkum en er werken ongeveer 800 mensen. De gemeente gebruikt de e-learning van Arda nu ruim een jaar. Daarvoor werkte het met een andere leverancier, maar dat beviel matig: “Die was niet gericht op de gemeentelijke wereld en er was veel uit het Engels vertaald. We moesten het behoorlijk aanpassen om het geschikt te maken voor onze omgeving. Wat we van Arda gebruiken is specifiek ontwikkeld voor Nederlandse gemeenten.”

Korte modules

In de modules van Arda krijgen gebruikers verschillende video’s te zien waarin mensen te maken krijgen met uitdagingen op zowel hun werk als thuis. Tussendoor moeten ze vragen beantwoorden, ze krijgen daarna de goede antwoorden en ze krijgen tips. “De modules zijn relatief kort, zodat mensen ze makkelijk tussendoor kunnen doen. Bovendien hangen er challenges aan, die je een week later krijgt. Dat houdt je scherp.” Het combineren van werk en privé noemt Post een goede zet: “Je krijgt echt goede tips, ook over hoe je informatiebeveiliging thuis goed kunt organiseren.” De gemeente heeft al haar IT uitbesteed aan Leeuwarden en maakt gebruik van raamcontracten die het shared service center heeft afgesloten. Zo ook voor Arda. Voor het gebruik van de e-learning onderhoudt Noardeast-Fryslân zelf de contacten met Centric en indien nodig met Arda. “We hebben goed contact, daar ben ik erg tevreden over.”

Dreiging wordt almaar groter

Waarom zet de gemeente e-learning in? “Een van de maatregelen die gemeenten volgens de Baseline Informatiebeveiliging Overheid moeten nemen, is onze mensen scholen op het gebied van informatiebeveiliging. Mensen e-learning aanbieden is een manier om dat te doen.” Zodat mensen alert worden op de risico’s van onder meer social engineering en phishingmails. “De dreiging op het gebied van informatieveiligheid wordt almaar groter. Met de inzet van AI worden bijvoorbeeld phishingmails steeds beter. De tijd dat je mails kreeg waarin je in slecht Nederlands werd gevraagd om op een link te klikken, is voorbij,” zegt Post. Met e-learning kunnen mensen relatief laagdrempelig hun kennis en bewustwording over informatieveiligheid vergroten, zegt hij. Ze kunnen de modules in werktijd doen, thuis of op het werk. “We zien het volgen van de modules als onderdeel van het werk. Gebruikers van Suwinet krijgen daarnaast een specifieke module aangeboden. Zij moeten deze module volgen en krijgen een certificaat van deelname. Dat certificaat is nodig om te voldoen aan de auditeisen van Suwinet.”

Mystery guest kwam niet verder

Ziet de gemeente resultaat van de training van Arda? “We zien dat mensen alerter zijn op phishingmails en die nu vaker melden, bij ons of bij het shared service center in Leeuwarden,” zegt Post. Ook viel tijdens een bezoek van een mystery guest op dat mensen zich bewuster zijn van de risico’s: “We hebben dit nu twee keer georganiseerd. De eerste keer kwam deze persoon makkelijk het gemeentehuis binnen, de deur werd zelfs opengehouden. De tweede keer was dat niet het geval. Mensen zijn er nu alerter op, ze vragen voor wie een bezoeker komt en of deze wel een bezoekerspas heeft. In die zin merken we dus dat het werkt.”

Punten verdienen

De mensen die de e-learning doen, zijn enthousiast, vertelt hij. Daar komt het competitieve element om de hoek kijken: je kunt punten verdienen en in een scorelijst zien waar je staat ten opzichte van je collega’s. “De meerderheid van onze collega’s die deelnemen, neemt de e-learning heel serieus en wil graag hoog op die lijst. Ze vragen ons of ze extra punten kunnen verdienen. Dat kan bijvoorbeeld als ze een datalek rapporteren. Die optie hebben we nog niet aan staan, we denken erover om dat te doen.” Post is zelf één van de mensen die hoog op het scorebord staan, vertelt hij. “Ik sta niet helemaal bovenaan, dat vind ik wel een beetje jammer.” Zodra er een nieuwe module beschikbaar komt, probeert hij die zo snel mogelijk te doorlopen en de bijbehorende challenges te doen. Is die leerstof niet te makkelijk voor een CISO? “Het meeste weet ik wel natuurlijk, maar niet alles. Ook ik steek er nog iets van op.”