Rijk verplicht basisopleiding digitale weerbaarheid voor alle medewerkers
Alle leidinggevenden en medewerkers die voor de Rijksoverheid werken moeten de basisopleiding digitale weerbaarheid volgen. Het gaat niet alleen om eigen medewerkers. Ook om uitzendkrachten, externe medewerkers, medewerkers van zakelijke partners, stagiaires, trainees en vrijwilligers. Dat meldt Digitale Overheid, dat in opdracht van het ministerie van Binnenlandse Zaken wordt gemaakt.
De verplichting om de basisopleiding te volgen komt voort uit een nieuw vastgesteld beleidskader. "Medewerkers met voldoende kennis en vaardigheden op het gebied van cyberveiligheid en privacy zijn cruciaal voor de digitale weerbaarheid van de Rijksoverheid. En zij dragen bij aan het vertrouwen dat de Rijksoverheid gegevens van burgers en bedrijven zorgvuldig behandelt en betrouwbare diensten levert", aldus Digitale Overheid.
Volgens de website loopt de overheid loopt achter in digitale weerbaarheid. "Ook privacy blijft een aandachtspunt. Incidenten hebben vaak ernstige gevolgen, zowel financieel als voor het vertrouwen in de overheid. Informatieveiligheid is van strategisch belang en het vereist blijvende aandacht."
Overheidsorganisaties zijn zelf verantwoordelijk voor de implementatie van het beleid, maar kunnen hierbij wel ondersteuning krijgen. Zo komt er een referentieset van vragen en antwoorden, die halverwege dit jaar beschikbaar is voor alle organisaties. Ook komt er op termijn een e-learning beschikbaar.
Dat zou ik volledig af laten hangen van de vragen. Ik heb online trainingen moeten volgen waarbij de content zeer was toegespitst op de organisatie en vragen naar voren kwamen als
- Waar kan ik een security incident aanmelden?
- Wie is onze privacy officer?
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
- Welk managed file transfer product biedt de centrale IT organisatie aan voor secure file transfers met een derde partij?
- ...
Niet schokkend om te leren, maar wel erg nuttig om te weten.
Mooi dat je hard wilt werken en je tijd zo nuttig mogelijk wilt besteden.
Maar ik denk dat - gezien in het heel grote plaatje - je voorstel waarschijnlijk geen netto rendement heeft.
Ontheffing verlenen betekend : onderzoeken welke criteria/opleiding/certificicaties ontheffing mogen krijgen. De randgeval aanvragen beoordelen .
Na overleg en goedkeuring - administreren en documenteren .
Dan : administreren welke certificaties mensen hebben (let op - geldigheid). Dan dit koppelen aan de administratie 'heeft cursus gehad ja/nee' .
Hoe - tsja, afdelingshoofd moet op blauwe ogen geloven als iemand de uitzondering wil ? Of uitzoeken hoe je dat verifieert op een certificatie validatie site ?
Met de natte vinger - daar gaan heel wat uren inzitten om relatief weinig mensen ietsje productiever te laten zijn.
Ik denk dat je met het optuigen van erkende uitzonderingen meer tijd (en dus geld) kwijt bent dan wanneer de mensen die het al weten toch maar even de computer training doorklikken.
Als automatiseerder is soms de conclusie 'we doen niet aan uitzonderingen, jammer dan'.
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
Nee het is helemaal niet handig om de ambtenaren in MinJus te leren hoe ze het in berichten moeten doorsturen in Thunderbird als in MinJus alleen maar Outlook gebruikt mag worden.
Maar ben je nou bewust aan het zuigen ? Want dat is precies wat anoniem 15:50 benoemde en jij bewust hebt weggeknipt.
Een organisatie-specifieke training kan zich prima beperken tot de software en werkwijze die in die organisatie geldt.Beter zelfs, geen tijd en aandacht besteden aan dingen die afleiden of anders zijn maar niet relevant voor wat ze tegenkomen.
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
we noemen het beesje gewoon bij zn naampje en dat maakt het ineens beter te begrijpen voor mensen en de zaak dan veiliger. we moeten iets ingewikkelds niet nog moeilijker maken dan dat het al is toch?
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
Tenzij je daar al in vast zit en je medewerkers practische instructies wilt geven.
Abstract/generiek is leuk, maar zal een aantal medewerkers niets zeggen.
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
Meestal zal alles ook zo afgesloten zijn, dat Email alleen vanaf beheerde devices mogelijk is, en dan is dit gewoon heel simpel Outlook.
Zeker voor Security trainingen is eenvoud het meest belangrijkste. Outlook heeft bijvoorbeeld diverse plugins, waarmee SPAM gemeld kan worden aan de IT organisatie, of juist via Trainingen en simulaties samen werkt.
Bij mijn eigen bedrijf krijg ik iedere 2-3-3 weken een verplichte trainings email, en hebben in ons corporate email programma, of wel outlook, waarbij Email toegang gelocked is, tot beheerde devices, een hele mooie spam plugin, die alles automatisch verwerkt en meld.
Bij 1 van mijn klanten, gebruiken we ook foxhunt, waarbij ik iedere 2 weken ongeveer een simulatie email krijg, en bij het melden er van, krijg ik "punten". Werkt heel erg goed is is juist het voorbeeld hoe IT moet werken voor de meeste eind gebruikers.
KISS houden, niet applicaties vermelden die eigenlijk niet gebruikt worden. Onnodige informatie, waar geen gebruiker op zit te wachten, en daarom de training skipped.
ALS schoonmaker denk ik dat ik ook ontheffing moet krijgen, immers ik doe niets met computers.
/s
Zo hebben wij dan weer even wat rust!
Wat waren de jaren '80 toch lekker offline.
ze met dingen aanzetten die voor een frontoffice medewerker te ingewikkeld zijn en veel te ver gaan. Compliant maar niet secure.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
