#15 - Bewustwording en communicatie is volharden (met Marlies Schamper)
Hey, welkom en leuk dat je weer luistert naar Keep Talking. In deze nieuwe aflevering van Keep Talking ga ik in gesprek met Marlies Schamper. En Marlies en ik kennen elkaar al, ik denk al wel ruim 10 jaar of zo ongeveer 10 jaar. En ja, ik moet iets bekennen in deze aflevering. En Marlies en ik spreken elkaar in de in de marge van een G4 Security Dag in Rotterdam waar heel veel security professionals van de 4 grote steden bij elkaar waren en waar wij nog een tijd tijd en wat ruimte vonden om deze podcast op te nemen.
Renco:En in dit gesprek zul je merken dat er in ons vak biedt informatiebeveiliging een grote rol is weggelegd voor communicatie en het creëren van bewustwording. Hartstikke mooi, maar hoe doe je dat? Nou dat ga je horen in deze nieuwe aflevering. Veel plezier. Op deze dag heb ik prachtige dinsdag in mei zit ik ver van huis.
Renco:Ik weet, ik ben zoals jullie misschien weten een zwolleaar en ik zit hier in Rotterdam, want vandaag is er een hartstikke leuke dag, namelijk een securitydag voor allemaal G4 security professionals. En dat moet je breed zien. Aan een van de G4 security professionals zit hier bij mij aan tafel en dat is niemand minder dan
Marlies:Marlies Schamper.
Renco:Hey Marlies, leuk dat je er bent.
Marlies:Ja, insgelijks.
Renco:We hebben even van de gelegenheid gebruik gemaakt dat we elkaar hier treffen en nemen deze aflevering op. Terwijl we nu het risico lopen het begin van de borrel te missen.
Marlies:Ja, dus we moeten niet te lang praten.
Renco:Dus ja, dat is wat ik tussen de regels door zeg, maar ook wel blijkt iets uit van onze toewijding. Toch?
Marlies:Zeker. Wat wij ervoor opofferen om hier te Ja.
Renco:Hé Marlies, wij kennen elkaar eigenlijk al ja, al heel lang.
Marlies:Ja, bijna 10 jaar misschien al wel denk ik.
Renco:Dat is echt lang hé?
Marlies:Ja, is heel lang als je het zo zegt.
Renco:Valt ongeveer samen met 10 jaar geleden begon ik eigenlijk aan mijn carrière. Dat klinkt wel spannend, maar ik ben in dit vak gestapt 10 jaar geleden. Dus eigenlijk voor mij ben jij iemand die ik vanaf het eerste uur dan al ken.
Marlies:Andersom ook.
Renco:Dan moeten we misschien even uitleggen hoe dat dan zit, want ik aarzel natuurlijk een beetje om dat toe te geven, maar de eerlijkheid gebiedt te zeggen dat jij dus al 10 jaar lang mij helpt, goed ruim helpt bij het schrijven van allerlei blogs. Recent ook het maken van een nieuwsbrief. Ik doe altijd naar de buitenwereld natuurlijk alsof ik dat allemaal vlijtig zelf schrijf, Maar terwijl eigenlijk op de achtergrond heb jij al 10 jaar lang Heb je nog nooit gedacht: daar gaat die rank weer strijken met mijn eer?
Marlies:Nee, nee, ik krijg die vraag natuurlijk wel eens vaker. Ik heb ook wel eens getwijfeld van ga ik dat nou ook echt bijvoorbeeld op mijn LinkedIn zetten dat ik dat doe. Want dan zeg ik daarmee ook gelijk dat de andere het dus niet doet zelf. Ik weet dat ik het ook wel eens een keer op een verjaardag of een borrel vertelde aan iemand en die een oom van mij en die ook echt een beetje verbaasd was van maar dat ging dan over blogs van directeur of een leidinggevende die de organisatie in gaan. Van maar die woord schrijft hij dus niet zelf.
Marlies:Ik zo in veel gevallen bij veel mensen zit daar inderdaad iemand achter die dat grotendeels uit handen neemt. Uiteraard altijd in samenwerking met degene. Ja in dit geval voor jou dan. Jij levert ook de onderwerpen aan. Ik ondersteun jou daar inmiddels al bijna 10 jaar in.
Marlies:Dus dat zijn al heel wat blogs.
Renco:Dat zijn al heel wat blogs, ja. En dat ondersteunen, klinkt Kijk, voor mij is het ook stok achter de deur. Ja. Tijd. Continuïteit.
Renco:Het is best moeilijk om in je eentje vol te houden, dus samen is dat dan beter vol te houden. Maar Marlies, voordat we verder de inhoud ingaan, kan jij iets vertellen over Wie is Marlies? Je doet iets op het gebied van communicatie in de hoek van informatiebeveiliging. So far so good, maar kan je nog iets meer vertellen over jezelf?
Marlies:Zeker. Ja, ik ben dus inderdaad adviseur op het gebied van communicatie verandermanagement, maar met name ook op security awareness. En daar bijvoorbeeld ook privacy awareness zit, daar valt daar dan ook onder. Nou hoe ben ik daar nou terechtgekomen en ook in dat kennisdomein? Want het is best wel een specifiek kennisdomein, de hele security wereld.
Marlies:Want uiteindelijk, wat jij zegt, we kennen elkaar dan al een beetje vanaf het begin dat jij er ook instapte. Maar op veel plekken waar je komt, kom je toch ook veel nog dezelfde mensen tegen. Die wereld is uiteindelijk ook toch wel klein en zeker degene die vanaf het begin af aan meelopen. Ben 10 jaar geleden begonnen aan de bureau zijde. Heb ik ruim 6 jaar gewerkt voor een bureau gespecialiseerd in communicatie opdrachten.
Marlies:Eigenlijk allemaal met een verandercomponent en zo ook het ja het inhoudsdomein van informatieveiligheid was er toen eigenlijk alleen nog terechtgekomen.
Renco:Volgens mij ben ik jou op het spoor gekomen destijds. Het is dus al wel een tijdje geleden, maar volgens mij werkte jullie onder andere destijds vanuit dat bureau ook voor de informatiebeveiligingsdienst.
Marlies:Ja klopt.
Renco:En hielpen jullie de informatiebeveiligingsdienst, of misschien deed je wel alles, dat weet ik ook verder niet, maar in ieder geval de informatiebeveiligingsdienst ondersteunen we vanaf ook al ruim 10 jaar. We hadden volgens mij niet zo lang geleden nog een congres van de IBD, 10 jaar IBD. Klopt. Dus die zijn ook ongeveer 10 jaar bezig. En die ondersteunen de gemeente ook op het gebied van een communicatie aanpak.
Renco:En daar zijn dus ook door de jaren heen communicatiemiddelen ontwikkeld. Ja. En volgens mij zit daar onze eerste contact.
Marlies:Klopt, want inderdaad wij ondersteunden toen de IBD echt met ook gewoon het neerzetten van de organisatie. De informatiebeveiligingsdienst. Die is toen ook echt ontstaan. Daarnaast zat toen ook bij de Task force bestuur en informatieveiligheid dienstverlening. Dat was echt een van de taskforce bid inderdaad van minister Plastic.
Marlies:Elke keer als ik hem nu zie in het nieuws moet ik daar ook weer aan denken. Hij was daar toen de initiatiefnemer van. Maar dat was toen naar aanleiding van de diginotar crisis waar eigenlijk ja toen is alles een beetje begonnen dat iedereen dacht oeh, we moeten hier echt iets mee.
Renco:Ja, we lopen serieuze risico's hier.
Marlies:Ja, ja en nou ja het opzetten van de IBD was daar ook een onderdeel van wat zich natuurlijk echt ging richten op ondersteuning van gemeenten. En wij of ik heb toen met name ook toevallig zag ik hem net nog lopen heel veel producten van de baseline informatiebeveiliging overheid werden er toen geschreven. Die moesten allemaal communicatief natuurlijk ook gecheckt worden. Maar ook zagen we toen dat de informatiebeveiliging niet alleen technische maatregelen bevat, maar dat er ook een heel groot organisatorisch menselijke kant aan zit. En daar heb ik me toen ook vanuit de informatiebeveiligingsdienst de IBD opgericht en hebben we een campagne ontwikkeld die de IBD eigenlijk wilde aanbieden aan alle gemeenten om daar gebruik van te maken.
Marlies:Waarbij je in de praktijk toch wel ziet, en dat is inmiddels ook mijn ervaring in de afgelopen jaren, dat zeker in gemeenteland, elke gemeente is toch weer anders. Ze zijn anders.
Renco:Viel mij ook op dat die communicatie-aanpak en die communicatiemiddelen die daarbij horen, die hebben ook door de jaren heen geen opfrisbeurt gekregen. En ik denk om de simpele reden dat uiteindelijk heel veel gemeenten ervoor kiezen om in hun eigen huisstijl op een herkenbare manier aansluiten bij alle andere communicatie-uitingen. Dus dat dat moeilijk vanuit een soort one size fits all aanbod
Marlies:Ja, bijna niet. Natuurlijk zou dat wel heel wenselijk zijn, want je wilt eigenlijk ook niet allemaal het wiel opnieuw uitvinden en hetzelfde doen. Maar er is zoveel maatwerk en dat zie ik al. Neem bijvoorbeeld dan waar we nu zitten gemeente Rotterdam.
Renco:Want je werkt op dit moment of je werkt wel enige tijd voor de gemeente Rotterdam. Ja Dus een van jouw opdrachtgevers. Ja, verwacht het misschien een beetje, maar we moeten misschien ook even verduidelijken dat inmiddels je niet meer voor dat bureau werkt, waar we het net over hadden. Dus je hebt daar 6 jaar gewerkt, gaf je aan, maar je doet dit werk al 10 jaar, dus een simpele rekensom leert mij dat je nu 4 jaar dat zelfstandig doet.
Marlies:Ja inderdaad, ongeveer 4 jaar geleden precies voor de coronacrisis was dat. Heb ik de overstap gemaakt en ben ik begonnen als zelfstandige En ik heb toen eigenlijk heel mooi, heb toen al daarvoor had ik al een opdracht gedaan bij gemeente Rotterdam op het gebied van awareness op informatieveiligheidsvlak, maar daar komen we dadelijk nog iets meer inhoudelijk op. Toen ben ik eigenlijk gevraagd om daar binnen, want daar bleek heel veel werk te zijn. Dus ja, ik had het opgestart, maar het was nog lang niet klaar. Om daar verder de gemeente bij te helpen en te ondersteunen.
Marlies:En dat ben ik toen gaan doen, maar dan op freelancebasis.
Renco:Ja, wij hebben onze samenwerking ook gewoon voortgezet. Ja,
Marlies:jij bent ook een van mijn opdrachtgevers. Ja,
Renco:Iets minder grote opdrachtgever dan de gemeente Rotterdam voor alle duidelijkheid.
Marlies:Ja, nee zeker.
Renco:En in Rotterdam ben je bezig met, we hebben het vooral over communicatiemiddelen, communicatieuitingen, bevestigingscampagne moet ik dan aan denken. Ook daar hebben we, zeg ik maar even, de jaren heen de nodige blogs gewijd. Waarom lukken ze, waarom lukken ze niet? Waarom zou je er tijd en energie insteken? En hoe pak je dat dan aan?
Renco:Maar hier in Rotterdam heb je door de jaren heen volgens mij verschillende Ik ik bij jou, voor alle duidelijkheid voor de luisteraar, ik heb zelf ook voor de gemeente Rotterdam een opdracht gedaan. In die periode heb ik ook met jou samengewerkt en was je best wel alle markten thuis. Als er ergens maar iets op het gebied van informatiebeveiliging naar een doelgroep moest, werd er al snel gezegd 'Hé, moeten we maar liefst even vragen'. Dus hoe definieer jij dan je eigen vakgebied? Want ja, dit gaat alle kanten op zou je bijna zeggen.
Marlies:Ja klopt. Je moet natuurlijk ook voorkomen dat je van alles wordt, want je hebt natuurlijk ook wel een heel specifiek gebied waar je expert in bent of waar je je mee bezig houdt. Maar als je kijkt naar, als ik het dan even heb over het stuk informatiebeveiliging en de awareness campagne die daar binnen Rotterdam toen is opgezet in 2018, dat heb ik toen gedaan, komt daar heel veel communicatie bij kijken. Want heel vaak zie je dat de awareness ook gewoon onder een CISO hangt als verantwoordelijkheid uiteindelijk. Maar je kan je afvragen is hij of zij de juiste persoon om dat op te pakken?
Renco:Zowel qua expertise als ook qua capaciteit.
Marlies:Ja, dat maar ook weet je moet ook een aantal zaken kunnen en dan is er 1 ook altijd, maar een boodschap zo framen dat die aansluit bij de organisatie. Er komt heel veel communicatie kijken bij het opzetten van een campagne. Anderzijds kan je ook weer zeggen van iedereen zou dan ook die awareness campagne kunnen opzetten, maar op het gebied van informatiebeveiliging is het toch ook wel weer best wel een bepaald inhoudsdomein waar je iets van moet weten om dat vervolgens ook goed te kunnen doen. En dat die 2 samenkomen is dan natuurlijk heel mooi. En daarbij heb ik wel qua achtergrond ook vanuit het bureau waar ik heb gewerkt eigenlijk altijd wel in de IT-wereld of de finance wereld gezeten.
Marlies:Waarbij juist dat stukje die vertaalslag van de techniek en de IT wat voor veel gewone medewerkers om het zo maar even te zeggen niet heel een sexy onderwerp zeggen we vaak, maar het is niet hetgeen waarvan ze gelijk denken oeh, daar ga ik gelijk eens even lezen of dat is leuk of daar gaat mijn interesse naar
Renco:uit. Maar daar loont het dan ook meer dus om daar dus extra tijd en aandacht aan te besteden? Anders dan is het echt met hagel de ruimte inschieten en hopen dat iemand ergens iets van onthoudt. Ik vind dat nog wel eens lastig als het gaat om bewustwordingscampagnes. We nemen dan eigenlijk al te snel het woord campagne in de mond, omdat ik dan denk: campagne, dat veronderstelt voor mij een soort langdurig, logisch met elkaar samenhangend geheel.
Renco:Terwijl in de praktijk zijn het ook vaak gewoon losse ad hoc acties die door 1 iemand gecoördineerd worden. Allebei is prima, maar noem dat tweede dan niet een campagne, want daar verdenk ik toch iemand van meer planmatig te werk gaan. Als we dan naar Rotterdam kijken, we hoeven we hoeven het niet specifiek over Rotterdam te hebben, maar er is toen natuurlijk een aanleiding geweest, je noemt het volgens mij 2018, er worden af en toe natuurlijk bij gemeentes rekenkameronderzoeken uitgevoerd, en dat komt gewoon in de landelijke media, dus daar zeg ik niks nieuws mee. En destijds is er volgens mij in 2017 een onderzoek geweest binnen de gemeente Rotterdam. Daar kwam het nodige uit als je dat interessant vond om te lezen.
Renco:Daar is wel een keer een blog over geschreven volgens mij.
Marlies:Zeker.
Renco:Niet geheel toevallig. Maar 1 van de dingen die daar natuurlijk uitkwam, is dat er eigenlijk helemaal geen aandacht was voor die menselijke kant. Nee. Net noemde je al, BIG, die hadden we toen nog, nu hebben de BIGO, maar toen hebben we de BIG, vooral techniek, dat is natuurlijk niet waar. Mensen hebben geen zin om anders te werken of voelen zich beperkt of gaan allerlei leuke creatieve dingen bedenken.
Renco:Dus hoe krijg je die mensen op een positieve manier mee in die verandering? De vraagsteller is in mijn geval absoluut niet beantwoorden, want ik denk vaak ja, ik ben op die inhoud blij dat ik ergens een besluit op heb en dan daarna volgt er nog een heel traject met communicatie. Dan heb ik al geen zin meer, weet wel? Ja, ik zeg het maar gewoon zoals het is. Ik ben er ook niet goed in.
Renco:Nee. Maar het is ook een beetje intimiderend. Zeker als je voor zo'n grote gemeente werkt, dan denk ik: ja, al die duizenden ambtenaren, die moeten dan
Marlies:En waar begin ik?
Renco:Ja, daarom. Ik zie echt door de bomen het bos niet meer. Ik heb al niet vaak in mijn opdrachten de eindverantwoordelijkheid gehad voor dit soort campagnes. Het zou ook finaal mislopen denk ik, omdat ik echt niet weet waar ik moet beginnen. Dus is mijn persoonlijke ervaring, dat is volgens mij toch zeker het bestaansrecht voor communicatieprofessionals die juist ook die inhoudelijke kennis van het vakgebied informatiebeveiliging meenemen.
Renco:Dat is precies de reden waarom wij al 10 jaar samenwerken denk ik. Daar is best nog wel wat werk in te vinden. Daar is veel behoefte aan, ik. Want anders wordt het misschien te generiek. Of je hebt het gevoel dat je als opdrachtgever toch nog heel veel aan de inhoudelijke knoppen moet zitten.
Renco:Het is ook best wel prettig als een communicatie- professional die inhoudelijke kennis meeneemt. Dat maakt je wel een prettiger in te huren specialist op dit gebied.
Marlies:Zeker, zeker. En je ziet dat ook die die mensen die dat beiden hebben schijnt ook best, zijn er niet heel veel van begreep ik ook laatst van iemand die me daarvoor benaderde.
Renco:Dat is altijd goed om te horen over je eigen
Marlies:Ja klopt, dat betekent dat er genoeg werk is. Maar kan natuurlijk ook het beste zo'n campagne opzetten of dat nou inderdaad bij Rotterdam is of bij een andere organisatie als je ook snapt wat het belang is van het onderwerp en niet puur van je kan natuurlijk als je iemand gewoon iedereen zou dat kunnen doen. Uiteindelijk kan elke communicatieprofessional een campagne opzetten. Maar in dit geval gaat het wel en dat is ook iets, daar ben ik in het begin ook tegen aangelopen, maar daarin moet je wel echt, jij ook zei, van dat je denkt: waar moet ik beginnen? Zeker bij een hele grote organisatie, dan heb je zoveel mensen die je mee moet krijgen.
Marlies:Ten eerste is het goed om te beseffen dat je gewoon weet van ja, is iets echt van een langere
Renco:Meer jaren.
Marlies:Ja, dit ga je niet Ik weet dat ik begon en dat er toen een project was van 9 maanden. Ja, dan ben je net begonnen en dat was ook echt zo, want voordat je weet waar je moet zijn, wie je doelgroep is, hoe die mensen allemaal informatie tot zich nemen. Ik geloof daar ook in dat als je dan kijkt naar digitaal versus fysieke middelen, dat daar nog steeds ook de kracht zit in de combinatie daarvan. Natuurlijk zijn we de laatste jaren met alle thuiswerken wel naar meer digitaal gegaan, waardoor je iets meer een uitdaging daarop krijgt want mensen worden overspoeld. Dus hoe ga je dan met deze boodschap daar nog steeds bovenop zitten dat dit belangrijk is en blijft?
Renco:Nou, ik kwam net op onze security dag zag ik een voor mij herkenbare Utrecht banner en een voor mij herkenbare Rotterdam banner. Dus dat was allebei offline. Ik dacht, ging meteen Ja. We hebben vandaag ook een spreker gehad, die ging over allerlei stofjes in je hersenen en zo. Dus er werden meteen allerlei positieve stofjes bij mij losgemaakt.
Renco:Nu durf ik niet te beweren dat iedere collega van de gemeente zo'n positieve reactie heeft bij het zien van zo'n van zo'n banner, maar ja, het het communiceren op schermen, het communiceren in de lift. Dat kan op schermen zijn, dat kan natuurlijk ook gewoon offline zijn. Het kan
Marlies:Ja, bedenk het, muismatten, posters, stickers. Echt, we hebben alles denk ik in de afgelopen jaren heb ik al heel wat middelen ontwikkeld.
Renco:Heb je ook een soort trofee? Ja, zo'n kastpijn.
Marlies:Nou, dat zei ik laatst. Inmiddels heb ik heel wat, ik krijg van heel veel middelen die je ontwikkelt neem je in een exemplaar mee.
Renco:Logisch.
Marlies:En inmiddels heb ik wel een hele la vol, die ook te vol begint te worden, dat ik bijna dacht, ik zei toen nog tegen een collega hier van, ik moet bijna zo'n kast aanschaffen waar ik alles in kan zetten. Maar het is wel heel leuk om te zien wat je in de loop der tijd ontwikkeld hebt. En ook zeker om te zien als ik zelf nu in de panden kom dat het ook dat je het ook echt overal terug ziet komen. Want dat is wel op dit onderwerp is het ja kijk om je heen ook wat je in het nieuws terug ziet komen. In de meeste gevallen is het de mens waarbij het toch fout gaat binnen organisaties.
Marlies:En nog steeds. 8 jaar geleden rolde ik hier al in en zagen we dat toen al. En je merkt wel, tuurlijk daar is heel veel in gebeurd en organisaties weten dat nu en zien dat ook. En incidenten laten dat ook zien dat die mensenkrant zo belangrijk is. Maar toch is het wel iets nog steeds wat heel moeilijk is, want nog steeds ook 8 jaar geleden zeiden we al: laat je computer niet open achter en lock je scherm, maak een veilig wachtwoord, draag je toegangspas, laat het niet liggen.
Marlies:En dat gebeurt nog steeds.
Renco:Ik ga wel een beetje tegengas geven, want ik onderken dat het vaak bij die mens misgaat. De vraag is: hoe voorkomen we dat dan? Hoe zorgen we dat het niet meer zo vaak bij die mens misgaat? Dat kun je op meerdere manieren bereiken. Ik ben ook wel een beetje van de overtuiging, nee, laat ik dat beetje maar weglaten, dat je dat zoveel mogelijk manieren technisch kan ondervangen.
Renco:Ik ga mezelf iets genuanceerder uitdrukken, want ik zie een fronsen. Ik denk dat de tijd en de energie die in technische maatregelen moet, versus de tijd en energie die je steekt in het beïnvloeden van gedrag van medewerkers via bewustwordingscampagne. Als je die 2 naast elkaar zet, ben ik heel snel geneigd te kijken naar technische maatregelen. Omdat die balans tussen wat erin moet en wat het oplevert, voor mij gunstiger is, de kosten-baten versus de bewustwordingscampagne. Nu wil ik daarmee niet zeggen dat bewustwordingscampagnes niet zinnig zijn, maar ze laten zich wel lastiger meten.
Renco:Wanneer heb je nou voor jezelf zoiets van: ja, deze campagne was een succes, want we hebben al onze doelstellingen gehaald. Dat veronderstelt al een dat je die van tevoren allemaal helder kunt opschrijven en 2 dat je ze ook kunt meten, zodat je ook kan weten dat het gelukt is. Ik heb vroeger ooit nog eens marketing gestudeerd en dan is het altijd zo'n uitspraak van: de helft van mijn marketingbudget gooi ik weg. Ik weet alleen niet welke helft, dus ik kan niet stoppen met het uitgeven van geld. Dit is misschien een wat cynischer kijken op de zaak, maar als ik dit zo zeg, jij komt vanuit die menselijke kant, bedoel dat is jouw achtergrond, dat doe je al 10 jaar.
Renco:Wat is jouw reactie daarop?
Marlies:Ik snap en hoor wat je zegt.
Renco:Dit voelt als een gesprekstechniek, Marlies.
Marlies:Nee, maar ik geloof wel
Renco:dat Communicatieprofessioneel. Ik voelde het.
Marlies:Maar je kan Kijk, als je los van Ik heb ook andere IT-projecten gedaan en daar ook een training in gevolgd een paar jaar geleden. Wat je heel vaak ziet is je kunt heel veel met techniek doen en oplossen. Je kunt ook prachtige systemen bouwen, maar vaak moet wel de mens daar ook mee werken. En als je die daar niet goed in meeneemt of ook kijkt waar liggen die behoefte, waar lopen mensen tegenaan, hoe is die verandering voor hun, gaat het uiteindelijk, kan je wel iets heel mooi hebben dichtgetimmerd in dit geval en helemaal veilig, maar als iemand er vervolgens niet meer mee kan werken en denkt van dan ga ik het omzeilen bijvoorbeeld, dat gebeurt natuurlijk ook vaak, dan ga je juist creëren dat ze op een onveilige manier iets gaan doen. Dus ik denk dat de balans heel erg zit om daar eigenlijk te kijken van hoe kun je die techniek inzetten, maar wel op zo'n manier dat mensen ook gewoon nog hun werk kunnen doen.
Marlies:En het ze wel makkelijker maken met techniek waar dat kan. Daar geloof ik wel zeker.
Renco:We krijgen natuurlijk vaak dat argument tegengeworpen als informatiebeveiligers, dat mensen zeggen: ja, het moet wel werkbaar blijven. Met andere woorden, ja, jullie komen met dingen die het onwerkbaar maken. Nu is dat soms ook het geval, omdat we niet goed nadenken over alternatieven. We zeggen bijvoorbeeld wel: ja, dit mag niet meer. En dan oorverdovende stilte.
Renco:En die medewerker zit vervolgens met het probleem en zegt: ik moet nog steeds dit doen en jij snijdt mijn pas af hier, maar hoe dan wel? Dan ga ik
Marlies:dat hierachter denken.
Renco:Dan gaan mensen dat zelf oplossen. Want wat je net zei, kan ik het helemaal mee eens zijn. Dus als je een technische oplossing invoert van welke aard dan ook, uiteindelijk moet je daarover communiceren, moet je duidelijk maken waarom je dat doet, hoe mensen daarmee om moeten gaan, hoe ze met een applicatie Nou, daar ben ik het helemaal mee eens. Maar je zou bijvoorbeeld kunnen zeggen, stel je voor, een gemeente reikt apparaten uit, dus telefoons. En je kan zeggen: nou, weet je, je mag je eigen telefoon gebruiken, maar je mag ook een telefoon van gemeente gebruiken wat je wil.
Renco:De ene zegt: bij mij mag een telefoon van de gemeente, dat is vaak een beheerderstelefoon en een ander zegt: joh, ik heb geen zin in 2 telefoons, ik doe dit gewoon op mijn eigen telefoon. Dan kan je zeggen: 'Oké, mensen die het op hun eigen telefoon doen, die krijgen daar een folder bij waarin staat wat de omgangsvormen zijn, wat je daar acceptabel gedrag vindt en wat niet.' Ik denk dan: 'ja, ik kan 10 folders bij doen. Je kan ook gewoon een ding dichttimmeren, weet je wel? Dus dan moet je nog steeds wel uitleggen waarom je dat doet. Je kunt soms langs 2 assen een probleem oplossen.
Renco:En ik zet ze natuurlijk nu even bewust tegenover elkaar alsof het of helemaal aan de ene of helemaal aan de andere is. Maar ik heb daar in mijn werk door de jaren heen best wel vaak mee te maken gehad, dat mensen soms in mijn ogen hele naïeve verwachtingen hebben van wat je dan kan bereiken met het aan mensen vertellen. Alsof dat dan daarna direct tot ook aangepast gedrag leidt. Dat is in mijn ervaring helemaal niet waar. Voor mij lonkt meteen, nogmaals, wel goed uitleggen, maar voor mij lonkt die technische oplossing dan.
Renco:Dan heb ik zekerheid, dan weet ik zeker, als ik hem dicht zet, ik zit niet aan die knop voor de duidelijkheid, maar als we voor zo'n inrichting kiezen, dan heb ik mijn doel. Terwijl langs de andere manier is het me afvragen of ik mijn doel wel bereik.
Marlies:Nee klopt, want je kunt inderdaad daarover communiceren, maar de vraag is ook nog: leest iedereen dat? Want je ziet heel veel, er zijn hele handboeken en richtlijnen binnen elke organisatie hoe je overal mee om moet gaan. Denk maar even simpel aan als je een app installeert accepteert ook iedereen bij wijze van de voorwaarden. Niet bij wijze van. Genoeg mensen doen dat.
Marlies:Misschien wel bijna iedereen. Zonder te weten van hoe moet ik er nou eigenlijk mee omgaan en wat gebruik ik. Maar wat je volgens mij wel ziet is een beetje van we zijn eerst zijn heel veel organisaties zo is dat hele bring your own device gekomen. Het werd makkelijker. Je mag je telefoon ook voor privé dingen gebruiken.
Marlies:En gaandeweg werd natuurlijk duidelijk dat heel veel dingen eigenlijk steeds onveiliger worden en dat dingen gehackt kunnen worden of dat je gevolgd kan worden of dat als jij je werktelefoon meeneemt naar buitenland, naar bepaalde risicolanden, dat er van alles opgezet kan worden. Dus ze moeten een beetje weer terug naar we zijn eerst allemaal wat makkelijker geworden en nu moet je het allemaal weer gaan aanscherpen. Merk ik ook wel eens binnen, nou misschien dat dat binnen de ene organisatie meer is dan bij de ander, dat ze Dat ze dus niet zo streng willen zijn van nee dit mag allemaal niet meer, dit is hoe het is. En dat ze dat dan dus heel voorzichtig proberen te doen waardoor ja dat soort harde maatregelen niet meteen genomen worden.
Renco:Nee, die zijn minder populair.
Marlies:Van een soort weerstand. Je wilt ook geen weerstand van je
Renco:Ja, en ik snap dat ook. Kijk, ik zie het ook wel als mijn werk als informatiebeveiliger om gewoon oplossingen aan te reiken voor problemen. En ik ben me daar heel erg van bewust dat degene die uiteindelijk die beslissing moet nemen, dat die veel meer argumenten weegt dan alleen maar dat van mij. Maar dat neemt niet weg dat ik nog steeds denk dat ik vanuit het vakgebied waar ik verantwoordelijk voor ben, het beste advies moet geven. Dus ik merk dat ik niet heel erg genegen ben om dan op voorhand al te zeggen: nou, laat ik mijn advies maar een beetje afschaven, want dat gebruikersgemak leidt daar wel onder.
Renco:Ik vind het prima om dat als kanttekening erbij te zetten, ik ben me daar vaak wel bewust van, maar ik ga niet op voorhand water bij de wijn doen. Ik denk gewoon nog steeds: dit is het probleem, daar zit het risico, het is een maatregel die we kunnen nemen, die een heel groot deel van het risico wegneemt. Kanttekening, een gebruiker levert op punt A, B of C iets in. Dan kom je weer bij communicaties. Ook als je dus impopulaire dingen neemt, waarbij je toch zegt: 'Hé, we gaan dit dichtzetten op wat voor nu dan ook'.
Renco:Ja, dan moet je dat ook uitleggen. Moet het consistent doen.
Marlies:En dat kan ook zeker. En dan is het dus juist belangrijk als je dat doet, dat je heel duidelijk uitlegt waarom je dat doet. Want als mensen begrijpen dat de bepaalde beveiliging, dat doe ik vaker, dan worden bepaalde beveiligingsmaatregelen genomen. Dan willen we wel uitleggen en duidelijk maken waarom het nou zo belangrijk is dat we dat doen en mensen daar dus bewust van maken. En dan werkt het als je bijvoorbeeld al een bewustwordingscampagne hebt lopen, dan neem je mensen continu en dan herhaal je dat ook mee in het belang ervan dan dat het bijvoorbeeld rouw op een dak komt van ja dit is daarom en dat ze denken hoezo dan?
Renco:Ja, komt echt uit lucht vallen dan. Ja. Hé en heb je nou ook als je kijk even achterom, 10 jaar lang ben je actief in dit vak. Wat lukt nou en wat lukt nou niet? Waar heb je nou succes?
Renco:Ik bedoel niet bij de individuele opdrachtgever, maar gewoon zo over 10 jaar heen, waarvan je denkt: ben ik wel echt mee doorgegaan, want daar heb ik wel succes mee geboekt. En hier dacht ik van daar gaat dat ook mee lukken, maar nee, daar ben ik gaandeweg mee gestopt, want die manier, die aanpak, die werkt niet. Ik weet niet of dit een lastige vraag is, maar
Marlies:Het is wel een goede vraag. In dit geval, op dit onderwerp, is er zeker 1 volhouden. Volhouden? Ja, is wel echt Dat
Renco:is eentje die je moet blijven doen denk ik.
Marlies:Die moet blijven doen.
Renco:Er is echt mee stoppen.
Marlies:Nee ook. Nee, nee, nee, zeker wel volhouden om uiteindelijk, wat ik al zei, hebt niet je moet niet de verwachting hebben dat je binnen een maand of een paar maanden resultaat gaat zien. Dus als je dat graag en ik ben overigens wel heel resultaatgericht, dus ik zie graag van wat ik doe graag resultaat.
Renco:Dat is wel lastig.
Marlies:Ja is soms best lastig natuurlijk en daar loop je ook wel eens tegenaan. Zeker in complexe organisaties waar je ook lange trajecten hebt of bepaalde besluitvorming waar je mee te maken hebt of gewoon samenwerkingen of anderen die je nodig hebt om het verder te brengen. Maar goed als je te snel zou opgeven dan ga je niet het resultaat zien waar ik wel in geloof dat als je het volhoudt. Mijn allereerste opdrachtgever die gaf toen ook aan van je hebt je een soort pitbull in vastgebeten en je bent doorgegaan. Dan is het ook wel eens makkelijk als je bijvoorbeeld als extern ergens bent kan je ook net je iets makkelijker bewegen door de organisatie heen en ook dat langere termijn doel voor ogen houden.
Renco:Dus is iedereen die nu dit luistert en actief is op het gebied van bewustwording campagne en het gevoel heeft van nou
Marlies:Ja, zie het niet meer zitten.
Renco:Die steken we nu een hart onder de riem. Ja. Houd vol. Ja. Gewoon stikt uw plan.
Renco:Ga niet die boodschap elke keer veranderen, want dat proef ik ook wel een beetje in. Dus hou vast aan de lijn die je uit hebt gezet en de baten komen wel, maar ja, heb geduld.
Marlies:Ja, ja, dat. En ook echt wel daarin die herhaling die je terug laat komen. Wat ik wel zie, waar je, ik heb heel lang ook gedacht van ik wil iedereen meekrijgen en met je wilt eigenlijk op dit onderwerp ook met anderen samenwerken. Ook andere inhoudsdomeinen. Denk aan informatiebeheer, privacy en daar komt nu nog veel meer bij.
Marlies:Digitale vaardigheden, nu heb je straks Dat wordt denk ik alleen maar, we leven in een enorm snelle digitalisering of digitaliserende wereld. Dus dit onderwerp gaat ook alleen maar meer en meer en meer spelen. Maar dat is soms wel heel complex. En als je dat dan heel graag wil en dat lukt niet, dan moet je dat op een gegeven moment wel loslaten.
Renco:En is dat dan denk je omdat die verschillende inhoudelijke disciplines toch niet helemaal qua belangen uit te lijnen zijn? Ik bedoel uiteindelijk, je zou kunnen zeggen, even heel simplistisch na, van ja, heeft een boodschap iedereen heeft een doelgroep, en als die doelgroep is, de hele gemeente, alle ambtenaren, nou ik heb een stuk inhoud, mijn buurman heeft een stuk inhoud en die andere collega heeft ook nog een stuk inhoud, we ontdubbelen dat even, we zetten dat in een e-learningprogramma of wat dan ook, of we werken dat uit in een bewustwordingscampagne waar bijvoorbeeld een e-learning onderdeel van is. Dat klinkt niet heel moeilijk. Ik herken overigens wel wat je zegt, dat dat in de praktijk toch knap lastig kan zijn. Maar waar zit dat dan in?
Renco:Uiteindelijk denk ik ja, laat ik het zo zeggen, snap dat een CEO zegt: jongens, waarom doet iedereen dit? Je bent altijd de derde die iets wil met bewustwording. Waarom noemen we dit niet integraal? Dat vind ik een hele terechte vraag.
Marlies:Zeker.
Renco:Maar waarom doen we dat dan niet?
Marlies:Ja, is toch een stukje ja, ook wel cultuur waar je mee te maken hebt. Dat zal verschillen per organisatie en ook per grootte van een organisatie. Ik denk hoe groter een organisatie is, hoe lastiger dat is.
Renco:En zijn wij dan van die inhoudelijke vakgebieden pionieren? Als het gaat om bewustwordingscampagne en alles wat daarbij hoort?
Marlies:Ja, misschien wel security is daar natuurlijk wel de eerste in geweest en er zijn steeds meer bijgekomen. Dus in dat opzicht wel. En ik geloof er ook wel in dat je niet allerlei campagnes naast elkaar moet zetten, want je medewerkers ook niet overspoelen met allerlei diverse campagnes en slogans. Moet gewoon 1 heel duidelijk iets hebben en daar kunnen een aantal onderwerpen onder vallen. Ook daarin moet je wel ook weer zaken uitsluiten.
Marlies:Want soms wordt natuurlijk bij alles geroepen. Het is awareness of bewustwording. Waarbij mensen denken de stoelen terugzetten bij het bureau is ook bewustwording. Dat soort vragen heb ik echt gekregen. Kan je dat ook meenemen?
Marlies:Kijk dan ga je te ver. Ik denk wel doordat je er de eerste in bent geweest en uiteindelijk komen daar allerlei onderwerpen bij. Maar tegelijkertijd hebben ze soms ook wel weer allemaal een andere boodschap.
Renco:Nou, daar wou ik nog even op doorvragen, want wij hebben vandaag op deze securitydag in Rotterdam een spreker gehad. Paul Smit, filosoof en cabaretier. Wie kent hem niet? Nou, ik ken hem niet, maar zeer interessant. Vermakelijk ook.
Renco:Maar wat hij op hele aansprekende manieren wist over te brengen naar ons, is dat het brein eigenlijk maar heel, heel veel op automatische piloot doet en eigenlijk maar heel weinig informatie echt kan verwerken op dat moment. Dus ik denk dan, als ik kijk naar het vakgebied informatiebeveiliging, dat is al behoorlijk breed. Als ik dan een idee krijg bij wat je eigenlijk realistischer wijs kan verwachten van de ontvanger, die helemaal niet thuis is in het onderwerp en heel vluchtig een boodschap vaak meepakt, net als dat ik dat op andere terreinen doe, dan kan je helemaal niet zo hard op het gebied van informatiebeveiliging. Als je dan ook nog eens een keer al die andere IT-thema's erbij moet nemen, dan heb je dus een enorme lijst aan onderwerpen die je over de bühne wilt brengen.
Marlies:Nee, men zal
Renco:Dat gaat nog nooit lukken.
Marlies:Nee.
Renco:Terwijl ja, maar dan ben ik even weer die CIO, hè? Die zegt ja, maar we gaan het niet allemaal individueel doen. Denk ik ja, dan heb je ook een punt. Ik heb nog geen oplossing gevonden.
Marlies:Nee, het is dus ook gewoon heel lastig, want we willen steeds, we gaan natuurlijk allemaal heel snel en ieder vindt ook zijn eigen project belangrijk en zijn programma. Nou vind ik wel dat, en dan frame ik hem iets, het veilig omgaan met gegevens en gewoon digitale middelen waarmee je werkt. Dat kan dus zowel informatie, beveiliging als privacy onder vallen. Uiteindelijk iets zou moeten zijn wat misschien al wel gewoon in de opvoeding al van kinderen en de tijd waarin we nu leven waar we naartoe gaan. Dat je dan al leert bepaalde basis dingen die wij nu eigenlijk aan mensen leren, die wij vroeger ook helemaal niet hoefden te doen, die helemaal niet aan de orde waren, waardoor heel veel mensen ook gewoon bepaalde dingen nog steeds doen zoals ze altijd deden, want dat is gemak en dat zijn gewoontes, want uiteindelijk is het gewoon een gewoonte.
Renco:Je zegt eigenlijk dat je naar de toekomst toe is het misschien de berg werk of de kloof die we te overbruggen hebben.
Marlies:Zou je al een stuk daarvoor zou je al bepaalde basis zaken mee kunnen geven net zoals dat je je gordel in de auto omdoet, ik noem maar iets.
Renco:Ik dan even goed begrijp is Paul Smith die eigenlijk het onderscheid maakte tussen de automatische piloot, zeg maar het onbewuste en de niet-automatische piloot. Het bewuste, als ik het even in detailframe, je eigenlijk: als je er wat meer mee grootgebracht wordt, ga je veel meer vanuit het onbewuste, de automatische piloot, snap je al dat je je scherm even lokt als je in een rest Ja, dit is een heel banaal voorbeeld even, dat je je scherm lockt als je wegloopt.
Marlies:Ja, hetzelfde als dat je je fiets op slot zet als je een boodschap koopt.
Renco:Precies, daar hoef je ook niet Iedereen snapt nou ja, als ik dat niet doe, ik het risico dat je fiets gestolen wordt. Terwijl een scherm unlocked laten, dat misschien wat als trivialer gezien, maar misschien een jongere generatie die zegt: ja, maar weet je wat ze kunnen doen als ze mij
Marlies:er praat over Ja, en dat zie je wel. Ik heb ook een paar jaar terug op MBO scholen presentatie gegeven over deze onderwerpen en daar zie je wel al verschil als je hier vragen over stelt dat zij zijn zich wel veel meer bewust inderdaad van met wat je allemaal vrijgeeft omdat ze zijn opgegroeid met al die. Tegelijkertijd zit ook een doelgroep die heel veel deelt over zichzelf waarvan je denkt zijn ze daar dan ook allemaal bewust van? Maar juist omdat zij zo in die digitale wereld opgroeien. Want het is ook als je om je heen hoort dat uiteindelijk cybercrime groter is dan de incidenten die daarop gebeuren of slachtoffers die daar zijn dan gewoon fysieke veiligheid.
Renco:De reguliere old school.
Marlies:Ja, maar daar zijn we ons allemaal, noem het stukje inderdaad je fiets op slot zetten, je autoream om, dat heeft ook allemaal met veiligheid te maken, maar dan allemaal heel fysiek. Maar dit is iets wat de afgelopen jaren in rap tempo is dit allemaal op gekomen en dat gaat nu alleen nog maar sneller. Het hoort erbij, je kan het niet meer wegdenken of we moeten weer terug naar met elkaar pen en papier en brieven sturen.
Renco:Daar zullen we waarschijnlijk niet snel voor kiezen.
Marlies:Nee, precies. Dus ja, uiteindelijk geloof ik gewoon dat als het gewoon een gewoonte wordt, en niet alles hè, natuurlijk heb je altijd inhoudsstukken en er zullen altijd nieuwe dingen bijkomen, maar bepaalde basiszaken die nu ook zo lastig zijn om er eigenlijk in te krijgen in dat gedrag van mensen. Als je daar al gewoon op jonge leeftijd mee begint, dan nemen ze dat mee op het moment dat ze ergens gaan werken en is dat gewoon normaal om te doen.
Renco:Ik vind dit eigenlijk wel een hoopvolle afronding van ons gesprek, want voor hetzelfde geldt komt hierna een of ander heel mistroostig onderwerp, waar we allebei niet meer zien hoe het verder moet. Nee, dat is natuurlijk gekheid. Wel een hoopvolle boodschap. Ik denk ook wel, ik zie er nog niet zo heel veel van, maar dat is meer omdat ik
Marlies:Nee, er is volgens mij ook nog weinig aandacht voor, hoor.
Renco:Het klinkt wel heel logisch dat dat zo werkt. Dus het gaat bij mij wel een zoete koek in. Zit nu even hardop te denken van zie ik dit om me heen gebeuren? Dan denk ik: nee, maar dat is ook omdat ik misschien niet genoeg in contact sta met jonge mensen die instromen en een baan vinden bij een gemeente of wat dan ook. Dus dat kan ook vooral daaraan liggen.
Renco:Maurice, ik vond het heel leuk om eens met jou door te praten over de communicatie communicatieve aspecten zeg maar van informatiebeveiliging en de lastigheden met het bedenken van bewustwordingscampagnes en het uitrollen daarvan en het volhouden, volharden daarin. Heel herkenbaar denk ik. Voor mij wel in ieder geval. Ik hoop ook voor de mensen die luisteren. Ik stel voor dat wij afronden en nog even kijken of er nog iets van de borrel voor ons.
Renco:Iets over is. Of er nog iets over is. Hé, dank je wel meneer.
Marlies:Graag gedaan, tot hartstikke leuk.
Renco:En daarmee komt aflevering 15 van Tubetalking alweer tot een einde. Tof dat je weer luisterde. Ik hoop uiteraard dat je er bij de volgende aflevering ook weer bij bent. Ik in ieder geval wel en hopelijk dus tot dan.
