Vanuit Arlande zijn diverse professionals ingezet in het domein informatiebeveiliging (IB). Rollen als CISO, manager Security Operations Center (SOC), Functionaris Gegevensbescherming en Kwartiermaker Informatiebeveiliging worden op dit moment succesvol in het onderwijs uitgevoerd. Relatiemanager Onderwijs Rieks Oosting ging in gesprek met deze professionals en kwam tot het inzicht dat de basis van informatiebeveiliging in drie stappen praktisch vorm te geven is.
Informatiebeveiliging staat mede door recente cyberaanvallen op de Universiteit Maastricht en ROC Mondriaan hoog op de bestuurlijke agenda. De vraag is ontstaan wie verantwoordelijk is voor IB en hoe je dit vervolgens praktisch vormgeeft.
Het moderne onderwijs maakt als gevolg van Leven Lang Ontwikkelen steeds meer onderdeel uit van processen en ketens. Er is meer sprake van allerlei verplichtingen met bijbehorende gevoelige data. Daarbij is IB is een nog te vrijblijvend onderwerp dat binnen onderwijsorganisaties door diverse functionarissen, ieder vanuit eigen expertise en verantwoordelijkheid, gefragmenteerd wordt vormgegeven. Gelukkig ontstaat er inmiddels meer samenwerking tussen organisaties.
Recent onderzoek door de Inspectie van het Onderwijs Binnen zonder kloppen – Digitale weerbaarheid in het hoger onderwijs toont aan dat nog niet alle onderwijsinstellingen over genoeg kennis, actuele informatie of voldoende beschermingsmogelijkheden beschikken om IB-dreigingen het hoofd te kunnen bieden. Het ligt in de lijn der verwachting dat binnenkort voor het onderwijs een landelijk verplichte baseline IB wordt ingevoerd.
IB is misschien geen sexy onderwerp, maar het dient wel op orde te zijn. De gevolgen van het niet op orde hebben kunnen desastreus zijn voor de existentie van een onderwijsinstelling. Wachten op externe invloeden kan ervoor zorgen dat je noodgedwongen met stoom en kokend water je IB op orde moet brengen. Het is beter om proactief aan de slag te gaan en niet te wachten op externe triggers met mogelijke ellende en boetes. Daarnaast is op orde hebben niet genoeg; het op orde houden is minstens zo belangrijk. Ook naar de medewerkers en studenten is het als instelling jouw verantwoordelijkheid om veilig te kunnen werken met informatie. Hoe je de basis IB in drie stappen op orde brengt lees je verderop in dit artikel.
Wat je vaak ziet is dat er diverse initiatieven gestart zijn op het gebied van IB. Bestuurders zijn nerveus geworden, waardoor awareness programma’s gestart zijn. Deze programma’s worden vervolgens niet integraal opgepakt waardoor niet iedereen optimaal wordt ingezet. Eigenlijk is de basis van IB regulier risicomanagement. Het zijn echter heel veel puzzelstukjes waarvan het risicomanagement op orde moet zijn, waar de risico’s minimaal geprioriteerd dienen te zijn en waar duidelijk is welke maatregelen genomen moeten worden. Gebrek aan inzicht in de risico’s en hoe daarmee om te gaan ontbreekt vaak, dit is de belangrijkste reden waarom IB niet op orde is. Daarnaast heeft het bestuur vaak onvoldoende kennis van het onderwerp. Als je IB goed in wil richten is een concrete vertaalslag naar het bestuur essentieel zodat er effectief gestuurd kan worden.
In IB zitten duidelijke IT-componenten uiteindelijk gaat het vooral over processen en mensen. Het gevaar is echter dat IB doorgaans als een IT-verantwoordelijkheid wordt gezien waardoor het onderwerp weinig aandacht krijgt in de rest van de organisatie. IB is echter meer dan IT: de business (onderwijs, onderzoek en ondersteuning) is eigenaar van de processen en daarmee ook van de IB-risico’s.
Door de risico’s en de impact in kaart te brengen in combinatie met te nemen maatregelen, kun je aandacht voor IB krijgen. Vanuit IT-systemen kan er veel input komen op het gebied van risico’s, maar IB moet breder gezien worden dan alleen een organisatierisico.
Uiteindelijk kan de accountant vragen stellen over IB. Na diverse cyberaanvallen zijn er initiatieven gekomen om het onderwerp verplicht te stellen. Zo is voor het wetenschappelijk onderwijs en hoger onderwijs een externe audit inmiddels verplicht en is het waarschijnlijk dat dit voor het mbo ook verplicht gaat worden. Binnen het voortgezet onderwijs en primair onderwijs is hierover nog geen duidelijkheid. Een normenkader zou als alternatief voor de verplichting goed kunnen werken.
Informatiebeveiliging organiseert zich niet vanzelf: het moet een doelbewuste actie zijn om het constructief neer te zetten. Zie het als een businessvraagstuk: het gaat over de onderwijsorganisatie als geheel en het voortbestaan ervan.
Om te komen tot IB die op orde is zijn drie belangrijke stappen te zetten; awareness, analyse en organisatie.
De eerste stap is het creëren van awareness door de bestuurders te wijzen op de risico’s en de impact ervan voor de gehele organisatie. Uiteindelijk is het bestuur eindverantwoordelijk. Het is een onderwerp waar echter veel eer valt te behalen voor bestuurders, door het goed te (laten) organiseren en besturen. Dus zowel vanuit bedreiging als kansen beredeneerd is aandacht te creëren.
De tweede stap is de huidige stand van zaken in beeld brengen. Een nulmeting, wat is het kader, wat zijn de risico’s, waar sta je en waar wil je als organisatie naartoe? Gedurende deze stap is het de hoogste prioriteit om de eventuele lekken te dichten. Het allerbelangrijkste is prioriteiten stellen door op een slimme manier beperkte middelen in te zetten. Wat zijn de acute problemen en risico’s? Definieer maatregelen en houd de organisatie in stand. Het is belangrijk om het bestuur en de medewerkers mee te nemen in de verandering die IB met zich meebrengt. Waarover beslissen we met elkaar en waar hebben we welke invloed op? Heldere keuzes en de consequenties ervan dienen op IB-vlak geduid te worden. Hiermee kan het bestuur verantwoord sturen. Spreek elkaar zoveel mogelijk aan in de eigen taal en maak IB-onderdeel van de volledige control-cyclus van de instelling. Creëer een cultuur waarin mensen open en transparant zijn. Er gaan dingen fout maar maak het bespreekbaar. Niets is zo erg, als een incident of een risico, dat niet behandeld wordt.
Stap drie is het opbouwen van de IB-organisatie met de bijbehorende rollen. Een IB-organisatie is een professionele organisatie dat in staat is om de juiste maatregelen te nemen, in stand te houden en te evalueren, passend bij de risico’s die de organisatie loopt. Dit is een constant proces. Rollen zoals een Chief Information Security Officer, een ICT Security officer en IT-architect zijn belangrijk om aan te haken omdat je preventief wilt handelen. Hoe beter je het van tevoren organiseert, des te eenvoudiger is het om achteraf te repareren. Daarnaast is bij elk instituut of opleiding een privacy officer randvoorwaardelijk om daadwerkelijk tot decentraal succes te komen.
Een Information Security Management System (ISMS) kan een passende bijdrage leveren met daaraan gekoppelde normen uit het onderwijs om in control te komen. Mogelijk kan een Surf Audit de aanjager zijn om IB op orde te brengen.
Met informatiebeveiliging bescherm je medewerkers en studenten omdat het onderdeel is van een veilige werk- en studeeromgeving. Met IB op orde is een pakket van maatregelen ingezet en een organisatie ingericht die deze maatregelen continu in stand houdt en checkt in hoeverre deze nog passen bij het risico waarover regelmatig gerapporteerd wordt naar het bestuur.
Rieks denkt vanuit de markt en is account- en community manager van Arlande. Hij is gespecialiseerd in de onderwijssector van primair- tot aan wetenschappelijk onderwijs. In zijn rol is hij gericht op het verbinden van zinprikkelende vraag en gekwalificeerd aanbod.
bekijk profiel