“Eindelijk iets waarmee leren over informatieveiligheid ook leuk is”

Sybrand Doevendans is Chief Information Security Officer (CISO) bij de Friese gemeente Waadhoeke. De gemeente telt 47.000 inwoners en is in 2018 ontstaan door een fusie tussen vier gemeenten. Het gemeentehuis staat in Franeker. Zoals elke gemeente neemt ook Waadhoeke informatiebeveiliging en privacybescherming heel serieus. “Maatregelen voor informatieveiligheid worden al snel als last ervaren en dan hoor je wel eens ‘moet dat nou, als kleine gemeente zijn we toch niet interessant voor cybercriminelen?’. Door het gebruiken van Arda en andere bewustwordingsacties die we ondernemen, hebben we dat inmiddels weten om te buigen. Mensen weten steeds beter wat ze doen, wat ze moeten doen en wat ze moeten doen als het misgaat.”

Uitnodigend leerplatform

In 2022 maakte Doevendans kennis met het cyber security awareness programma van Centric-partner Arda. “Het was de eerste keer dat ik zelf enthousiast werd over een cyberbewustzijnstraining. Vaak zijn dat ellenlange e-learnings, waar we zelf nog veel aan moeten herschrijven om ze geschikt te maken voor de gemeentelijke praktijk.” Arda is een Nederlands bedrijf, ontwikkelde de training specifiek voor de lokale overheid en combineert verschillende elementen in een uitnodigend leerplatform, zegt hij. “Er is heel goed nagedacht over de mix van leren en spelen, over het periodiek vrijgeven van de modules, de lengte van de modules, dat ze spannend zijn en dat je graag wilt weten hoe het verder gaat. Toen ik het een tijdje had uitgeprobeerd in de demo-omgeving, dacht ik dat dit wel eens zou kunnen werken in onze organisatie.”

Verplicht

Eind 2022 implementeerde Waadhoeke het leerplatform van Arda. Doevendans nam een introductiefilmpje op met de burgemeester, die opriep om aan de slag te gaan met de training. De CISO bezocht een aantal afdelingsoverleggen en sprak met het management om over Arda te vertellen. “Ons college en onze directie vinden informatieveiligheid en privacy heel belangrijk. Dat maakte dat de implementatie soepel verliep.” Meedoen met Arda is verplicht en de directie stuurt daar actief op, vertelt hij. Het programma genereert onder meer overzichten hoeveel actieve deelnemers er zijn en hoeveel modules zijn afgerond. Daar wordt op afdelingsniveau op gestuurd. “We zagen dat sommige afdelingen achterbleven. De directie sprak hierover met de managers en er werden doelstellingen geformuleerd over hoeveel actieve gebruikers we op een bepaalde datum willen. Dat werkte, we zagen het gebruik toenemen.” Tijdens het interview (april 2024) zijn er drie afdelingen waar alle medewerkers het platform gebruiken, vier afdelingen zitten boven de 80% deelname en twee zitten daar nog net onder.

Wedstrijdje met collega’s

Arda gebruiken betekent ook een wedstrijdje met collega’s. Door modules af te ronden krijg je punten en je kunt extra punten verdienen, bijvoorbeeld als je een phishingmail meldt. Op een scorebord kun je zien hoe je presteert ten opzichte van anderen. “Een aantal collega’s is heel fanatiek. Zodra er een module uitkomt, doen ze die meteen. Voor sommigen is het echt een wedstrijd om zo snel mogelijk bovenaan het scorebord te staan.” Natuurlijk is niet iedereen zo gretig om aan de slag te gaan, zegt hij ook. “Je houdt altijd mensen die je voor dit onderwerp nooit echt kunt enthousiasmeren. Maar door hoe Arda is opgezet, met het spelelement, gaat het onderwerp voor mensen wel leven. Ook omdat de modules niet alleen gaan over je werk, maar ook over hoe je thuis veilig kunt zijn.” Hij krijgt inmiddels vragen van medewerkers over welke wachtwoordmanager ze thuis het beste kunnen gebruiken, en of partners ook de Ardatraining kunnen volgen. “Zelfs medewerkers die totaal geen binding hebben met het onderwerp, komen nu bij mij met dat soort vragen. Dat mensen er zo mee bezig zijn, heb ik nog nooit meegemaakt met een bewustzijnstraining.”

Duidelijk verschil in houding en gedrag

Welk effect ziet de gemeente, nu de training van Arda ruim een jaar wordt gebruikt? “Medewerkers begrijpen nu beter waarom informatieveiligheid belangrijk is. Men vindt de maatregelen die we moeten nemen nog steeds niet altijd even leuk, maar er is meer begrip waarom ze nodig zijn. Dat is minder goed te meten dan de adoptiegraad van Arda zelf, maar ik merk verschil in houding en gedrag ten opzichte van het jaar hiervoor.” Zo krijgt hij veel meer vragen over of bepaalde websites veilig zijn, als dat het onderwerp van een module was. En komen er duidelijk meer meldingen van phishingmails binnen, als dat in een module is behandeld. “Ik merk het ook aan ons kantoor. Ik loop wanneer de meeste collega’s naar huis zijn nog wel eens een rondje door het pand en zie dat afdelingen beduidend netter worden achtergelaten dan voorheen, met kasten die op slot zitten. Natuurlijk is dit allemaal niet alleen het resultaat van Arda, want we doen veel meer om mensen bewust te maken. Maar het draagt er zeker aan bij.”

Specifiek voor gemeenten

Over de samenwerking met Centric en Arda is Doevendans zeer te spreken. “Het contact is heel laagdrempelig, ze zijn heel meedenkend en meewerkend.” De AVG en de BIO zijn het uitgangspunt van de trainingen, dus veel hoeft niet te worden aangepast voor de gemeentelijke omgeving. Maar als dat wel nodig is, dan kan dat. In de samenwerking lijkt het soms alsof Arda en Centric één bedrijf zijn, zegt hij: “Ik zie geen onderscheid als we in gesprek zijn, het is lekker snel schakelen. Het helpt dat we allemaal hetzelfde willen, namelijk medewerkers bewust maken van de risico’s en ze leren hoe ze op het werk en thuis veiliger kunnen worden. Dat gedeelde doel maakt de samenwerking prettig.” Al met al is hij erg tevreden over de samenwerking en over de training: “We hebben eindelijk iets gevonden waarmee leren over informatiebeveiliging en privacy ook leuk kan zijn.”