Bedankt voor uw interesse, zullen we een afspraak inboeken?
Contacteer ons
Hoe zorg je ervoor dat al je medewerkers op een verantwoorde manier met gevoelige persoonsgegevens omgaan? De RSZ vond het antwoord bij Orange Belgium. “Sinds de invoering van het Managed Security Awareness Program is het aantal incidenten gedaald.”
Bijdrage voor sociale zekerheid, we zien het elke maand op onze loonbrief staan. Die bijdrage zorgt ervoor dat onder meer de uitkeringen, pensioenen en ziektekosten in ons land uitbetaald kunnen worden. Het is de RSZ, de Rijksdienst voor Sociale Zekerheid, die alles in goede banen leidt. “Het spreekt voor zich dat we daarbij heel wat gevoelige persoonsgegevens verwerken”, zegt Hans Vandebos. Als Data Protection Officer (DPO) van de RSZ is hij verantwoordelijk voor de sensibilisering rond het veilig beheren van alle data. “Niet evident als je weet dat hier 1800 medewerkers werken.”
Toen de GDPR in 2018 in voege trad en Hans DPO werd, had hij de intentie om iedere maand een artikel op intranet te publiceren. "Ik wilde iedereen op de hoogte houden van de nieuwste trends in cybercriminaliteit en hen bewust maken van de risico's", blikt Hans terug. “Maar dat is het warm water opnieuw uitvinden. Professionals op het vlak van cyberveiligheid kunnen dat beduidend gedetailleerder, hun kennis is veel actueler.”
Smals, de gemeenschappelijke ICT-organisatie van Belgische overheidsdiensten in de sociale zekerheid, heeft dan een openbare aanbesteding uitgeschreven. Hans: “Orange heeft die aanbesteding gewonnen met zijn Managed Security Awareness Program, een sensibiliseringsprogramma dat de trainingsformules van cybersecurity-expert Phished gebruikt.”
Het Managed Security Awareness Program werd in twee fasen uitgerold. “We zijn begonnen met trainingssessies voor medewerkers”, zegt Hans. "Die modules zijn kort, worden boeiend gebracht en hebben een laagdrempelig niveau. Ik krijg regelmatig van medewerkers te horen dat ze er veel van opsteken. Meer dan 80 % volgt de sessies regelmatig."
Na een half jaar van trainingssessies, activeerde de RSZ fase twee van het programma: de phishingsimulaties. "Al snel na de activatie kreeg ik respons van medewerkers die te goedgelovig op links van gesimuleerde phishingmails geklikt hadden. Ze vonden het heel confronterend om te weten dat ze een probleem hadden, mocht dit een échte phishingmail geweest zijn", zegt Hans.
“Het programma blijft ook evolueren”, gaat hij verder. “Er zijn nog enkele technische aanpassingen aan de phishingsimulaties nodig, omdat een overheidsinstelling als de RSZ met een strikte netwerkbeveiliging werkt. Die aanpassingen moeten de phishingsimulaties nog effectiever maken.”
Het Managed Security Awareness Program bespaart Hans heel wat tijd. “Die tijd kan ik nu besteden aan andere taken. Nieuwe medewerkers geef ik bijvoorbeeld enkel nog een infosessie waarin ik de basisregels rond informatieveiligheid binnen de RSZ uitleg. Al de rest komt in de trainingssessies aan bod: hoe ze moeten omgaan met sociale media, welke informatie ze onbeveiligd mogen verzenden, hoe ze phishing kunnen herkennen enz.”
Hans kan er dankzij het programma op vertrouwen dat medewerkers nu elke twee weken iets nieuw bijleren en daarop getest worden. “Als iemand consistent fouten maakt, kan ik me op die persoon focussen om een oplossing te vinden. En dat werkt. Het aantal incidenten is sinds de invoering van het programma afgenomen."
Bedankt voor uw interesse, zullen we een afspraak inboeken?
Contacteer ons