Gemeente Rotterdam | Informatieveiligheid voor iedereen

Van wannabe hacker tot podcast

Vast wel eens meegemaakt: Als medewerker word je gevraagd een generieke e-learning over informatieveiligheid en/of privacy te doorlopen. Doordat de inhoud voor meerdere organisaties en rollen geschikt moet zijn, krijg je vaak te algemene informatie. Vragen die net niet aansluiten op je eigen werkpraktijk. Voorbeelden die niet echt herkenbaar zijn. Je merkt op: ”Dit gaat niet werken bij ons.” Gelukkig pakte Gemeente Rotterdam dit anders aan. Ze vroegen ons aansprekende, motiverende leeroplossingen te ontwikkelen aansluitend op hun bestaande awareness campagne ‘Blijf Alert!’.

Klant

Gemeente Rotterdam

Logo gemeente Rotterdam

Markt

Overheid, Openbare Veiligheid & Non-profit

Thema

Informatiebeveiliging: Start bij medewerkers

Publicatiedatum

27 mei 2021

Illustratie van markante gebouwen gemeente rotterdam met subtiele verwijzing naar hacker

"Het belang van informatieveiliggedrag is actueler dan ooit. Door corona is een groot deel van Nederland van de ene op de andere dag anders gaan werken, veelal vanuit huis. Alertheid als het gaat om informatieveiligheid en privacy is nu dus belangrijker dan ooit. De ontwikkelde e-learning sluit mooi aan op deze hedendaagse realiteit. Het is de bedoeling dat alle collega’s de module(s) doorlopen. We vinden het immers belangrijk dat alle medewerkers een goede basiskennis hebben, zodat we weten hoe we veilig omgaan met onze eigen gegevens en met die van anderen", aldus Annelies van der Meer, coördinator awareness informatieveiligheid en privacy gemeente Rotterdam.

Veilige gemeente is veilige burgers

Informatieveiligheid en privacy zijn ook voor gemeentes hot topics. Burgers moeten erop kunnen vertrouwen dat de overheid zorgvuldig met hun gegevens omgaat. De ambtenaren van de gemeente werken dagelijks met gegevens van de burgers. Toch is er een verschil tussen de diverse functies. Zo heeft een leidinggevende andere verantwoordelijkheden op het vlak van informatieveiligheid en privacy dan een baliemedewerker of Privacy Officer. Gemeente Rotterdam heeft ons gevraagd mee te denken bij het opleiden van al hun medewerkers en hen bekend te maken met de impact van hun werk als het gaat om informatieveiligheid en privacy.

Diversiteit aan medewerkers

Om de oplossing persoonlijk relevant te maken vormde de doelgroep ons uitgangspunt. We onderscheiden hierbij drie niveaus:

  • Basiskennis voor alle medewerkers
    Voor de grootste groep medewerkers is het doel een goede basiskennis op het gebied van informatieveiligheid en privacy.
  • Ambassadeurs op de vloer
    De ambassadeurs op het vlak van informatieveiligheid en privacy krijgen verdiepende kennis. Zij zijn het eerste aanspreekpunt voor collega’s rondom dit onderwerp.
  • Inspiratie voor experts
    Daarnaast wil Gemeente Rotterdam haar leidinggevenden, Privacy Officers en Security Officers blijvend inspireren over dit, voor hen alledaagse, onderwerp.

Deze drie verschillende doelgroepen moeten we op verschillende gebieden bedienen en uitdagen.

Een verleidelijk drieluik voor informatieveiligheid en privacy

Wij hebben samen met Gemeente Rotterdam een drietrapsoplossing neergezet. Niet alleen een goede basis voor de brede doelgroep van ambtenaren, maar ook handvatten voor de ambassadeurs en inspiratie voor de experts.

1. Een basismodule voor alle medewerkers
Twee computerschermen met voorbeelden uit de e-learning
Een sterk staaltje storytelling: Stop de hacker!

Nieuwsberichten over een hacker die gemeente Rotterdam aanvalt stromen binnen. Als vertrouwelijke gegevens in verkeerde handen vallen kan dit grote gevolgen hebben. Gelukkig stropen ze in Rotterdam snel de mouwen op om in actie te komen. De medewerker kan de hacker in de basismodule tegenhouden! Ondergedompeld in het verhaal van de hacker leert de medewerker in circa 25 minuten om veilig om te gaan met informatie.

Gamification stimuleert voortgang

Het verhaal gaat leven door animaties waarop de hacker het scherm overneemt, reageert op gegeven antwoorden en mini-animaties van een glurende hacker op vraagpagina’s. De hacker brengt humor en maakt serieuze, soms droge stof aansprekend. De strijd tegen de hacker is extra aangezet door gebruik van gamification. De lerende beantwoordt vragen en vult daarmee zijn alertheidsmeter. Wanneer de meter 100% gevuld is, is de hacker verslagen. De strijd is hiermee nog zichtbaarder en motiveert de lerende om door te gaan.

Aantrekkelijke interacties

Interactievormen zijn speels en tonen herkenbare situaties voor de lerende. Zo is er bijvoorbeeld gebruik gemaakt van een ‘chat tablet’. De lerende voert een mini-gesprek met een fictieve collega per chat over een verloren concernpas en heeft direct invloed op de afloop van het gesprek. Hoe zou de hacker reageren op jouw keuzes?

2. Verdiepende module voor ambassadeurs
Schermvoorbeelden van 3 verschillende interactievormen uit de e-learning
Leer kijken door de ogen van een hacker

“Een goede toegangscontrole is het halve werk. Vaak lukt het me wel om binnen te komen als koffieleverancier of printermonteur. Dan lijk je opeens heel betrouwbaar.”

De hacker speelt een spelletje! Hij geeft steeds een tipje van de sluier over zijn werkwijze. De verplaatsing in het perspectief van de hacker, triggert de alertheid van ambassadeurs in de verdiepende e-learningmodule van circa 20 minuten. Ambassadeurs zijn in dit geval collega’s die een eerste aanspreekpunt zijn in de organisatie voor vragen over informatieveiligheid en privacy. In deze module kiezen ambassadeurs casussen die betrekking hebben op hun eigen functie, waardoor kennis en vaardigheden nauw aansluiten op ieders werkpraktijk. Dit zet álle ambassadeurs optimaal in hun rol. Hierdoor kunnen ze met vertrouwen het aanspreekpunt van hun collega’s zijn.

3. Verdiepende podcast voor Privacy Officers, Security Officers en lijnmanagers
Vrouw zit op trap en luisterd naar een podcast op haar mobiel
“Servicedesk ICT merkt dat datalekken vaker gemeld worden. Dat is een goed teken!”

De start van een verfrissende podcast, misschien wel tijdens een rustige wandeling in de lunchpauze. De hacker heeft even een pauze en maakt plaats voor prikkelende gesprekken tussen Privacy Officers Security Officers en lijnmanagers. Vier podcasts in de vorm van microlearning; de luisteraar doet in circa 5 minuten per podcast inspirerende kennis op. Leren kan door deze korte bites ‘even tussendoor’, op een moment dat het voor de lerende uitkomt. Ideaal voor de volle agenda’s van deze doelgroep.

Annelies van der Meer:  “Samen met onze inhoudelijke deskundigen en de leerconsulenten van Bright Alley zijn we er in geslaagd een e-learning te ontwikkelen waarin elk informatieveiligheids- en privacyonderwerp vanuit een sterk onderliggend creatief concept wordt neergezet. Onze collega’s worden vanuit hun eigen wereld en de wereld van (de gemeente) Rotterdam direct en met een gepaste knipoog aan het denken én handelen gezet zonder daarbij de serieusheid van het onderwerp teniet te doen”.  

Informatiebeveiliging anno nu

Het is dus echt niet nodig om medewerkers een leeroplossing te bieden die niet aansluit. Dat wordt ervaren als ‘even een uur zo’n verplichte module doen, dan kan ik daarna weer terug naar mijn werk’. Zonde van de tijd en daar wordt een organisatie niet informatieveiliger en privacybewuster van. Door aan te sluiten bij de motivaties en diverse rollen is de impact groter. Begin klein en bouw een positief resultaat langzaam uit. Hoe zit dat bij jullie?

Enthousiaste reacties

"We hebben veel positieve en enthousiaste reacties ontvangen van collega’s! Zij zien het als een leuke onderbreking van de werkdag in plaats van ‘die zoveelste e-learning die ze moeten doorlopen...’. Kortom, missie geslaagd!" , aldus Marlies Schamper, projectleider e-learning informatieveiligheid en privacy gemeente Rotterdam