image

Rijk verplicht basisopleiding digitale weerbaarheid voor alle medewerkers

maandag 29 januari 2024, 14:40 door Redactie, 13 reacties

Alle leidinggevenden en medewerkers die voor de Rijksoverheid werken moeten de basisopleiding digitale weerbaarheid volgen. Het gaat niet alleen om eigen medewerkers. Ook om uitzendkrachten, externe medewerkers, medewerkers van zakelijke partners, stagiaires, trainees en vrijwilligers. Dat meldt Digitale Overheid, dat in opdracht van het ministerie van Binnenlandse Zaken wordt gemaakt.

De verplichting om de basisopleiding te volgen komt voort uit een nieuw vastgesteld beleidskader. "Medewerkers met voldoende kennis en vaardigheden op het gebied van cyberveiligheid en privacy zijn cruciaal voor de digitale weerbaarheid van de Rijksoverheid. En zij dragen bij aan het vertrouwen dat de Rijksoverheid gegevens van burgers en bedrijven zorgvuldig behandelt en betrouwbare diensten levert", aldus Digitale Overheid.

Volgens de website loopt de overheid loopt achter in digitale weerbaarheid. "Ook privacy blijft een aandachtspunt. Incidenten hebben vaak ernstige gevolgen, zowel financieel als voor het vertrouwen in de overheid. Informatieveiligheid is van strategisch belang en het vereist blijvende aandacht."

Overheidsorganisaties zijn zelf verantwoordelijk voor de implementatie van het beleid, maar kunnen hierbij wel ondersteuning krijgen. Zo komt er een referentieset van vragen en antwoorden, die halverwege dit jaar beschikbaar is voor alle organisaties. Ook komt er op termijn een e-learning beschikbaar.

Reacties (13)
29-01-2024, 14:48 door Robert Elsinga
Een goede zaak, maar ik hoop wel dat bepaalde certificeringen ontheffing verlenen.... Anders ben je als (bijvoorbeeld) CISSP gecertificeerde externe nodeloos dure tijd aan het besteden aan iets dat allang bekend is.
29-01-2024, 15:50 door Anoniem
Door Robert Elsinga: Een goede zaak, maar ik hoop wel dat bepaalde certificeringen ontheffing verlenen.... Anders ben je als (bijvoorbeeld) CISSP gecertificeerde externe nodeloos dure tijd aan het besteden aan iets dat allang bekend is.

Dat zou ik volledig af laten hangen van de vragen. Ik heb online trainingen moeten volgen waarbij de content zeer was toegespitst op de organisatie en vragen naar voren kwamen als
- Waar kan ik een security incident aanmelden?
- Wie is onze privacy officer?
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
- Welk managed file transfer product biedt de centrale IT organisatie aan voor secure file transfers met een derde partij?
- ...

Niet schokkend om te leren, maar wel erg nuttig om te weten.
29-01-2024, 16:00 door Anoniem
Door Robert Elsinga: Een goede zaak, maar ik hoop wel dat bepaalde certificeringen ontheffing verlenen.... Anders ben je als (bijvoorbeeld) CISSP gecertificeerde externe nodeloos dure tijd aan het besteden aan iets dat allang bekend is.

Mooi dat je hard wilt werken en je tijd zo nuttig mogelijk wilt besteden.
Maar ik denk dat - gezien in het heel grote plaatje - je voorstel waarschijnlijk geen netto rendement heeft.

Ontheffing verlenen betekend : onderzoeken welke criteria/opleiding/certificicaties ontheffing mogen krijgen. De randgeval aanvragen beoordelen .
Na overleg en goedkeuring - administreren en documenteren .

Dan : administreren welke certificaties mensen hebben (let op - geldigheid). Dan dit koppelen aan de administratie 'heeft cursus gehad ja/nee' .
Hoe - tsja, afdelingshoofd moet op blauwe ogen geloven als iemand de uitzondering wil ? Of uitzoeken hoe je dat verifieert op een certificatie validatie site ?

Met de natte vinger - daar gaan heel wat uren inzitten om relatief weinig mensen ietsje productiever te laten zijn.

Ik denk dat je met het optuigen van erkende uitzonderingen meer tijd (en dus geld) kwijt bent dan wanneer de mensen die het al weten toch maar even de computer training doorklikken.

Als automatiseerder is soms de conclusie 'we doen niet aan uitzonderingen, jammer dan'.
29-01-2024, 16:53 door Ron625 - Bijgewerkt: 29-01-2024, 16:54
Door Anoniem 15:50
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Alleen voor één leverancier afhankelijk programma?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
29-01-2024, 17:34 door Anoniem
"Regel 1: Als men een USB stick in de parkeergarage vind moet men deze vooral niet aanzien voor een rubber eendje, die zijn namelijk geel en hebben een snavel." (Geschreven door ene Rutte)
29-01-2024, 18:00 door Anoniem
Door Ron625:
Door Anoniem 15:50
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Alleen voor één leverancier afhankelijk programma?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?

Nee het is helemaal niet handig om de ambtenaren in MinJus te leren hoe ze het in berichten moeten doorsturen in Thunderbird als in MinJus alleen maar Outlook gebruikt mag worden.

Maar ben je nou bewust aan het zuigen ? Want dat is precies wat anoniem 15:50 benoemde en jij bewust hebt weggeknipt.

Een organisatie-specifieke training kan zich prima beperken tot de software en werkwijze die in die organisatie geldt.Beter zelfs, geen tijd en aandacht besteden aan dingen die afleiden of anders zijn maar niet relevant voor wat ze tegenkomen.
29-01-2024, 18:40 door Anoniem
Door Ron625:
Door Anoniem 15:50
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Alleen voor één leverancier afhankelijk programma?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?

we noemen het beesje gewoon bij zn naampje en dat maakt het ineens beter te begrijpen voor mensen en de zaak dan veiliger. we moeten iets ingewikkelds niet nog moeilijker maken dan dat het al is toch?
29-01-2024, 18:46 door Anoniem
Door Ron625:
Door Anoniem 15:50
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Alleen voor één leverancier afhankelijk programma?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?

Tenzij je daar al in vast zit en je medewerkers practische instructies wilt geven.
Abstract/generiek is leuk, maar zal een aantal medewerkers niets zeggen.
29-01-2024, 22:52 door Anoniem
Tja, vanzelfsprekend moet je zorgen dat mensen de juiste kennis hebben voor het uitvoeren van hun taken. Tegelijkertijd zou ook eens gekeken moeten worden naar de noodzaak van de risico's waaraan de gemiddelde eindgebruiker wordt blootgesteld. Neem e-mail: er is vaak maar een beperkt aantal mensen in een organisatie die e-mail van buiten moeten ontvangen. Zet de rest maar lekker dicht (of zoek een beter alternatief voor interne non-realtime communicatie).
30-01-2024, 15:09 door Tha Cleaner
Door Ron625:
Door Anoniem 15:50
- Hoe markeer ik e-mails als phishing in Outlook (daarmee een bericht sturend naar de centrale mailafdeling)?
Alleen voor één leverancier afhankelijk programma?
Het is beter, om het algemeen te behandelen i.p.v. voor maar één leverancier, we willen toch geen "vendor-lock-in" ?
De meeste gebruikers weten alleen maar van Outlook af, omdat dit 1 van de meest belangrijkste applicaties is.

Meestal zal alles ook zo afgesloten zijn, dat Email alleen vanaf beheerde devices mogelijk is, en dan is dit gewoon heel simpel Outlook.

Zeker voor Security trainingen is eenvoud het meest belangrijkste. Outlook heeft bijvoorbeeld diverse plugins, waarmee SPAM gemeld kan worden aan de IT organisatie, of juist via Trainingen en simulaties samen werkt.

Bij mijn eigen bedrijf krijg ik iedere 2-3-3 weken een verplichte trainings email, en hebben in ons corporate email programma, of wel outlook, waarbij Email toegang gelocked is, tot beheerde devices, een hele mooie spam plugin, die alles automatisch verwerkt en meld.

Bij 1 van mijn klanten, gebruiken we ook foxhunt, waarbij ik iedere 2 weken ongeveer een simulatie email krijg, en bij het melden er van, krijg ik "punten". Werkt heel erg goed is is juist het voorbeeld hoe IT moet werken voor de meeste eind gebruikers.

KISS houden, niet applicaties vermelden die eigenlijk niet gebruikt worden. Onnodige informatie, waar geen gebruiker op zit te wachten, en daarom de training skipped.
30-01-2024, 15:12 door Anoniem
Door Robert Elsinga: Een goede zaak, maar ik hoop wel dat bepaalde certificeringen ontheffing verlenen.... Anders ben je als (bijvoorbeeld) CISSP gecertificeerde externe nodeloos dure tijd aan het besteden aan iets dat allang bekend is.
ALS Directeur of Hoofd IT wil ik mij ook graag uitzonderen met een ontheffing. Ik heb wel belangrijkers te doen, en als hoofd van een 500miljoen bedrijf, wereldwijd trap ik hier niet in...... Ik ben daar veel te slim voor.

ALS schoonmaker denk ik dat ik ook ontheffing moet krijgen, immers ik doe niets met computers.

/s
31-01-2024, 01:04 door Anoniem
Ze gewoon een NES geven, hartstikke veilig en offline, en ook veilig voor het volk, daar kunnen ze er niemand kwaad mee doen zoals het volk bespioneren (sleepwet) en priveberichtjes inkijken. (CSS)
Zo hebben wij dan weer even wat rust!
Wat waren de jaren '80 toch lekker offline.
01-02-2024, 05:54 door Anoniem
Ik heb zo'n cursus van een commerciële partij mogen doen... Ik werk als software ontwikkelaar met een focus op security. De hoeveelheid fouten die in de cursus staan is diep triest. Daarnaast komen
ze met dingen aanzetten die voor een frontoffice medewerker te ingewikkeld zijn en veel te ver gaan. Compliant maar niet secure.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.