21 mei 2025 | business case CIBG
Security Awareness Programma CIBG: “Duurzaam kennis opbouwen”
“Awareways biedt een goede allround oplossing die laat zien dat het om meer gaat dan compliance”, zegt Karen Sipsma, sr. adviseur communicatie bij het CIBG. De overheidsorganisatie liet in 2022 een nulmeting uitvoeren (de Cultuurscan) en laat sindsdien jaarlijks een follow-up meting uitvoeren.
“Die gebruiken we om het programma te evalueren en de aandachtspunten in de volgende fase een (nieuwe) rol te geven”, vult Bastiaan Mol aan, collega en Information Security Officer bij het CIBG.
Overheidsorganisatie CIBG
Het CIBG is een uitvoeringsorganisatie van het ministerie van Volksgezondheid, Welzijn en Sport. Werken voor de organisatie betekent dat je dagelijks veel vertrouwelijke gegevens voor en over verschillende sectoren verwerkt, met een nadruk op de zorgsector en uiteraard met veel aandacht voor privacy. Het CIBG werkt daarom met diverse dienstverleners op het gebied van security en privacy, waarbij Awareways een van de vaste partners is voor het awareness programma – waar onder meer trainingen, de jaarlijkse meting en de phishing-strategie onderdeel van uitmaken.
“Jullie programma was vijf jaar geleden de duidelijke frontrunner bij de aanbesteding”, zegt Bastiaan. “Sindsdien hebben we jaarlijks met veel plezier verlengd. Dat is een reflectie op de inhoud en het effect, maar ook op de samenwerking. Er is goed en intensief contact rond nieuwe onderdelen, regelmatig overleg voor continuïteit, met altijd voldoende ruimte om het programma op maat te maken voor de behoeften van het CIBG.”
Informatieveiligheid als startpunt
“We verwerken dagelijks heel veel gegevens”, zegt Karen. “Daar is vanuit de overheid terecht veel aandacht voor met bijvoorbeeld de BIO (Baseline Informatiebeveiliging Overheid, het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen, red.), maar ook binnen het CIBG is het al jaren een hoofdonderwerp.”
“Het is echt een prioriteit om te zorgen dat informatie veilig verwerkt wordt, en ons personeel over de juiste kennis beschikt om dat op de juiste manier te kunnen doen.”
“In security en privacy is de medewerker het grootste risico”, vult Bastiaan aan. “Dat bedoel ik niet negatief, maar het blijft uiteindelijk mensenwerk en voor awareness en trainingen is het juist een duidelijk target point.”
“We zetten daarbij veel in op herhalen, want een losse training levert geen gedragsverandering op – of hooguit op korte termijn. We werken daarom structureel met campagnes, gericht op kennisoverdracht én gedragsverandering.
Gedragsverandering als doel
“Na een interne beoordeling tijdens het aanbestedingstraject stond Awareways duidelijk bovenaan”, herinnert Bastiaan zich uit die periode. “Er werd een presentatie gegeven die de doorslag gaf: een model met kennis, attitude en gedrag waarin jullie filosofie vanuit een achtergrond van sociale psychologie duidelijk naar voren kwam. Geen droge kennisoverdracht, maar trainingen die beklijven en echt gedragsverandering faciliteren.”
“Het programma in het eerste jaar onderstreepte vervolgens dat we de juiste keuze gemaakt hadden. De Engine (de voorloper van Wave, red.), met de niveaus Brons, Zilver en Goud, maakte het mogelijk om de onderwerpen die wij belangrijk vonden op de juiste manier bij de juiste doelgroepen uit te zetten. Brons en Zilver waren bijvoorbeeld verplicht voor de hele organisatie, terwijl we Goud ingezet hebben op persoonsgegevens en een prioriteit maakten voor ons HR-team.” Karen: “Die aanpak is nu in Wave doorontwikkeld naar niveaus zoals Basis en Vervolg, met kortere blokjes die deelname nog laagdrempeliger maken. ”
“Dat is echt een mooie vooruitgang. Wat het onder de streep zo goed maakt, is dat het laat zien dat Awareways flexibel is, maar ook heel allround is in de aanpak, en dat het echt om meer gaat dan compliance. Het is gericht op duurzaam kennis opbouwen met als doel het gedrag van onze collega’s daadwerkelijk te veranderen.”
“We hebben een vrij hoog verloop in medewerkers”, zegt Bastiaan, “en werken veel met externen. Het is ook daarom belangrijk dat je blijft herhalen. De onderdelen Basis en Vervolg zijn niet alleen organisatiebreed verplicht, maar ook onderdeel gemaakt van de onboarding van nieuwe collega’s. Zo houden we alles top of mind, vanaf het begin.”
De kracht van herhaling
“Neem bijvoorbeeld de phishing-strategie die we hebben ingezet. De score in de eerste ronde was vrij goed, nog niet wat het moe(s)t zijn, maar erg inzichtelijk. De tweede ronde was iets minder, de derde en laatste zat er tussenin. Het laat goed zien dat het doorlopend aandacht verdient, net als alle andere onderdelen. Niet zomaar een losse interventie, maar blijvend aan de slag gaan – want cybercriminelen blijven hun aanpak ook doorontwikkelen.”
Daarom houdt het CIBG, ook buiten het Awareways-programma om, zelf de vele ontwikkelingen in de gaten en acteert daarop als nodig.
Vooruitdenken
“Wat we van een security awareness organisatie nodig hebben richting de toekomst? Sprekend vanuit het CIBG zijn we heel erg in ontwikkeling met onze security-afdeling. Dat was een paar jaar geleden nog drie man, vooral in de tweede lijn.”
“Nu zijn we met zeven – waaronder een eigen security- en privacy architect – en kijken we vanaf de eerste lijn naar beleid en ontwikkelingen, van buiten naar binnen. Nu we op volledige capaciteit zitten, kunnen we de rolverdeling goed wegzetten.”
Samen sterker
“Een goed awareness programma maakt ook dat je zelf (als organisatie, red.) initiatieven ontwikkeld en op actuele ontwikkelingen inspeelt”, zegt Karen. Dat doen we bijvoorbeeld met interne communicatie en via het intranet. Dat kan een post zijn rond bijvoorbeeld nationale verander-je-wachtwoord-dag, maar ook duiding rond AI en chatbots, met een goede uitleg waarom we daar terughoudend over zijn. Of de ontwikkeling van een escape room hier op locatie, met een andere partij, zodat je op een praktische manier met belangrijke onderwerpen aan de slag kunt.”
“We hebben de inleiding door de algemeen directeur laten verzorgen, via een video, om zo de betrokkenheid van het management te laten zien; die voorbeeldfunctie.”
“Ook binnen het Rijk is er veel aandacht voor, we zijn natuurlijk een overheidsorganisatie en de hele sector is streng op bepaalde eisen. Dit programma helpt daarbij, door onderdelen eruit te halen die we kunnen vertalen naar onze eigen organisatie, en daar dan creatief invulling aan geven.”
Ook samenwerken met Awareways?
Laat onderstaand je gegevens achter!
Een goed awareness programma
“Wat ik aan de samenwerking heel sterk vind”, besluit Bastiaan, “zijn de ‘town hall meetings’ die georganiseerd worden rondom de periodieke metingen van Awareways. Eerst wordt er op locatie voor directie en afdelingshoofden een heldere presentatie verzorgd over de voortgang, de resultaten en de aandachtspunten. Daarna wordt deze presentatie online herhaald (eventueel aangevuld met een interessante spreker over een actueel, ‘hot’ topic) , waarbij de hele organisatie kan aansluiten. Dat is super waardevol, want het levert een actieve discussie op, waarbij het echt gaat leven – en niet alleen onder je securitymedewerkers, maar juist ook de mensen uit de business, de stafafdelingen, de architecten en de developers.”
“‘Wat is de oorzaak van resultaat X? Wat is de reden dat we dit doen, of dat niet?’. Het wordt echt een ‘watercooler’-onderwerp zo, een momentje voor bij de koffiemachine, en dat is het allerbelangrijkste – want dan krijgt het een plek in je organisatiecultuur.”
