Actueel

Cyberaanval met ransomware

10 december 2019

Creatieve communicatiecampagne informatieveiligheid: Security & Privacy bij Thales

Informatieveiligheid is in iedere organisatie van groot belang, zeker bij een bedrijf als Thales. Als hightechbedrijf met klanten in de luchtvaart, bij defensie en in de IT-sector – en bijvoorbeeld bekend van de OV-poortjes op bus-, tram- en treinstations – heeft het bedrijf naast persoonsgegevens ook te maken met vertrouwelijke overheidsgegevens, staatsgeheimen en andere confidentieel geclassificeerde data. Dat vraagt uiteraard om een extra stap in informatieveiligheid.

Awareways werd ingeschakeld om een nulmeting uit te voeren en het bestaande niveau van informatiebewustzijn in kaart te brengen. Daar volgde een roadmap uit voor een meerjarig Awareness-programma, waaronder een overkoepelende communicatiecampagne en een praktische lijst Gouden Regels. Het team van Thales is daar vervolgens zeer creatief mee verder gegaan. Geïnspireerd door de handvatten van onze op maat gemaakte communicatiecampagne en huisstijl werden er in het afgelopen jaar diverse acties uitgevoerd om security en privacy op creatieve wijze op de agenda te houden. In gesprek met Debby Hogeweg, Senior Internal Communications Officer bij Thales.

Leestijd: 3-4 minuten

Startpunt: Awareways nulmeting

Bij Thales weten ze als geen ander hoe belangrijk informatieveiligheid is, en zijn ze daar als organisatie veel mee bezig. “Begin vorig jaar zijn we met Awareways aan tafel gegaan omdat we wilden weten hoe het in de gehele organisatie gesteld is met het niveau van awareness rond security en privacy. Het logische vertrekpunt was uiteraard de nulmeting”, zo blikt Debby met ons terug.

De resultaten van de Awareways nulmeting waren in algemene zin positief, omdat security en privacy bij Thales bepaald geen nieuwe onderwerpen waren. “Maar het bood ook enkele aanknopingspunten om links en rechts de puntjes op de i te kunnen zetten.” Er werd direct een werkgroep gelanceerd met vertegenwoordiging uit drie afdelingen: Communicatie, IT (ISD) en Country Security Management (CSM).

Turn the final switch

Awareways heeft vervolgens een interne awareness communicatiehuisstijl ontwikkeld waarmee de belangrijkste onderwerpen op basis van de Gouden Regels doorheen de organisatie onder de aandacht konden worden gebracht. Deze campagne heeft als slogan ‘Turn the final switch’, in het verlengde van de uitslag van de nulmeting; het belang van informatieveiligheid leeft duidelijk al binnen het bedrijf, maar op sommige punten mag een laatste stapje gezet worden. Informatiebewustzijn en het juiste gedrag op de werkvloer zijn tenslotte twee verschillende dingen.

“Er werden expliciet geen posters opgehangen, want Thales hanteert een ‘no-posters-policy’, dus acties werden ingezet op het intranet en de eigen digitale nieuwsvoorziening, de Thales Connect app.” Dat is een app die binnen Thales Nederland is ontwikkeld, voor communicatie over events en interne ontwikkelingen. Je kunt deze app als consument overigens ook downloaden, voor wie op de hoogte wil blijven van het laatste nieuws.

Test your strength

Nadat we het Awareness-programma en de interne huisstijl hebben geïntroduceerd, heeft Thales het stokje overgenomen om het communicatietraject verder in te vullen. Zo werden er vanuit de werkgroep steeds nieuwe manieren bedacht om vanuit een van de drie afdelingen met de Gouden Regels te blijven werken. “We hebben bijvoorbeeld heel veel programma’s en accounts met wachtwoorden, en die moeten om de zoveel tijd vernieuwd worden. Daarom is één van onze regels: gebruik sterke wachtwoorden, en sla ze op in de wachtwoordmanager van onze voorkeur.” De standaard wachtwoordmanager is voor iedereen op de werkplek beschikbaar.

I always use a password manager to store my strong passwords safely
> Even when I’m in a hurry

Steeds een nieuw, sterk wachtwoord bedenken is in veel organisaties – en ook privé – een stevige drempel (‘gedoe!’), maar bij Thales is dat creatief aangepakt. “Collega Roel van ISD heeft zelf software ingezet om de sterkte te kunnen testen. Daarmee ging hij onze locaties af om medewerkers de eigen wachtwoorden te laten checken, waarbij hij vervolgens kon laten zien welke (super)computer een paar dagen of misschien zelfs maar een paar seconden nodig had om het account te kraken. Dat bleek voor sommigen een serieuze eye-opener, vooral voor de collega’s die dachten al een heel veilig wachtwoord te hebben.”

Clean-desk policy

Een nog inventiever wapenfeit binnen deze campagne kwam van de afdeling CSM. In het atrium verschenen twee bureaus met een rood lint, als ware een crime scene zoals bekend van televisie. Niet aangekondigd, maar gewoon zo geplaatst. “Daar stonden dan later op de dag collega’s bij om voorbijgangers te vragen: ‘Wat vind je hiervan? Wat valt je op? Wat kan er beter?’ En dat natuurlijk toegespitst op ons clean desk-policy: laat je informatie nooit slingeren.”

I never leave sensitive Thales information lying around
> Even when it’s only for a few minutes

“Alle reacties maakten het vervolgens extra. We hebben veel techneuten, die zijn van nature erg nieuwsgierig, dus er kwam veel respons. CSM kreeg die dagen zelf diverse meldingen; ‘weten jullie wel dat er allerlei gevoelige informatie in het atrium te vinden is!?’”

Informatieveiligheid: ook buiten kantoor

Een laatste voorbeeld is de reisactie van afgelopen zomer. “Op het terrein stond een team klaar met onder meer ijsjes, opblaaskrokodillen en muziek om aandacht te vragen voor alles waar je op het gebied van informatieveiligheid aan moet denken als je op reis gaat.” Ga je naar China, laat dan je laptop thuis; zorg dat je weet wat er eventueel op de bestemming speelt; verstuur geen zakelijke e-mail of vertrouwelijke informatie via je persoonlijke account – met andere woorden, awareness en het juiste gedrag geldt ook buiten kantoor!

I only travel when I’m well-prepared, and I check whether there are security risks at my destination
> I know what to do if something suspicious happens

We hebben nog veel meer leuke voorbeelden, waaronder een Escape Room Challenge rond cybersecurity en een complete bedrijfsvideo met do’s & dont’s voor op de werkvloer. “Awareways heeft ons echt de handvatten gegeven om dit te kunnen doen, we zijn erg blij met onze samenwerking. Ik kan me niet voorstellen dat die inzet niet beklijft, want we hebben er zoveel mee gedaan en alles aan dezelfde herkenbare kapstok kunnen ophangen.” In december start Thales met de Awareways 1-meting, dus we zullen snel weten wat het effect is geweest van al deze creativiteit – wellicht een goede reden voor een volgend interview?

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.