Digitalisering gaat steeds sneller. Organisaties en mensen beschikken over toenemende hoeveelheden vertrouwelijke en waardevolle informatie. Dit hoeven niet alleen persoonsgegevens te zijn, maar kunnen ook recepturen of financiële informatie zijn. Zowel van binnen als buiten organisaties liggen dreigingen op de loer. Deze brengen grote risico's met zich mee, van financiële risico's tot reputatieschade en in het ergste geval faillissement van een organisatie. Om organisaties én mensen te beschermen tegen deze dreigingen is het belangrijk om veel aandacht te hebben voor het thema informatieveiligheid. De auteurs constateren dat, mits de technische, fysieke en organisatorische maatregelen op orde zijn, de mens de succesbepalende factor is voor het slagen van een veilige (digitale) werkomgeving.

In dit boek nemen Jan Hoogstra en Kimberley Tonkes je aan de hand van hun eigen ervaringen mee in het belang van gedragsregels, -interventies en bewustwording. Zij benadrukken de noodzaak van bewustwording én scholing om te komen tot gedragsverandering. Daarbij maken zij gebruik van concrete en aansprekende praktijkvoorbeelden over hoe het gedrag van de mens beïnvloed kan worden en risico's op het gebied van informatiebeveiliging verminderd kunnen worden.

Zo leren de auteurs je De 9 geboden van informatiebeveiliging:

Veel organisaties leggen het gewenste gedrag van medewerkers of de uitgangspunten hiervoor vast in een gedragscode of integriteitscode. Soms zijn deze specifiek gemaakt voor IT, waarbij is aangegeven hoe verwacht wordt hoe je omgaat met IT-apparatuur en IT-systemen. In een klein deel van deze gedragscodes is ook aandacht besteed aan informatiebeveiliging. Informatiebeveiliging als onderdeel van deze gedragscodes is in de praktijk vaak een ondergeschoven kindje, terwijl het door toenemende risico’s belangrijker is dan ooit!

Na het in kaart brengen van de meest voorkomende gevaren en risico’s voor informatiebeveiliging hebben we negen gedragsregels geïdentificeerd voor het optimaal beschermen van vertrouwelijke informatie:

• Ik ben bekend met de beleidsregels omtrent informatiebeveiliging en pas deze toe.
• Ik werk met een persoonlijk en sterk wachtwoord.
• Ik werk veilig met (bedrijfs)apparatuur.
• Ik herken phishingmails en klik niet op linkjes in de mails als ik deze niet vertrouw.
• Ik bewaar en deel vertrouwelijke informatie veilig.
• Ik herken een beveiligingsincident en meld een incident.
• Ik houd mijn werkplek opgeruimd en afgesloten.
• Ik heb ook onder tijdsdruk aandacht voor informatiebeveiliging.
• Ik ben samen met mijn collega’s verantwoordelijk voor een veilige werkomgeving.

Deze negen gedragsregels vormen de kern van de mens als succesbepalende factor bij informatiebeveiliging. Het is van belang om op de hoogte te zijn van de gedragsregels die jouw organisatie hanteert en deze te communiceren naar medewerkers, zodat zij hier ook bekend mee worden. Niet om medewerkers ermee om de oren te slaan, maar wel om een bepaalde mate van commitment te bewerkstelligen. Nóg belangrijker dan communicatie is gedragsverandering. Het doel is dat medewerkers bekwaam worden op het gebied van informatiebeveiliging. Kennis van regels is de basis. Ernaar handelen is belangrijker!

Pas (er)op!