ICT-BEVEILIGING: ‘WAT BETEKENT DAT VOOR UW ONDERWIJSINSTELLING’?
Onderwijsinstellingen maken voor bijna alle gegevensstromen gebruik van internet; bijvoorbeeld: gegevens van studenten en cijferlijsten zijn via internet inzichtelijk, maar ook de personeelsadministratie en financiële resultaten worden steeds vaker online bewaard en via e-mail of website gedeeld. Steeds meer wordt het belang van goede beveiliging tegen diefstal en oneigenlijk gebruik duidelijk. Ook de invoering van de wet Algemene verordening Gegevensverwerking vraagt om extra aandacht voor ict-beveiliging.
Actualiteit
Het aantal gemelde datalekken[1] en beveiligingsincidenten neemt de laatste jaren sterk toe, ondanks de steeds hogere budgetten voor ict-beveiliging binnen organisaties. Er is blijkbaar sprake van een discrepantie tussen beveiliging en bedreiging. Dat komt onder meer doordat de klassieke ict-beveiliging niet meer afdoende is. Dit klassieke systeem beveiligt de data binnen systemen door middel van programmatuur, maar houdt geen rekening met de menselijke factor: docenten en studenten.
Menselijke factor
Het personeel en de studenten hebben toegang tot de ict-omgeving van uw onderwijsinstelling. Er kunnen personeelsleden en studenten zijn die, bewust of onbewust, het beveiligingssysteem frustreren. Dit komt door:
- onvoldoende kennis en waakzaamheid en zich niet bewust zijn van de risico’s die gebruik van internet met zich meebrengt (bezoeken malafide websites, geen device virusscanner et cetera);
- verloren inloggegevens;
- kwade intenties (bijvoorbeeld: gestolen inloggegevens).
Wat is van belang?
Voor iedere onderwijsinstelling is het van belang een ict-beveiligingsbeleid te hebben waarin naast de klassieke ict-beveiliging rekening worden gehouden met het menselijk handelen van personeel en studenten. In het beleid kunnen afspraken opgenomen worden, bijvoorbeeld dat bepaalde website niet mogen worden bezocht
Tips en aanbevelingen algemeen
- Zie het -beveiligingsvraagstuk als zelfstandig vraagstuk;
- Zorg voor een up to date klassieke ict-beveiliging;
- Hanteer fijnmazige autorisatiestructuren;
- Informeer proactief zowel medewerkers als studenten;
- Huur een ethische hacker;
- Gebruik intelligente software die afwijkend gedrag van personen signaleert.
Tips en aanbevelingen bij inkopen en aanbestedingen
- Vraag en bepaal bij elke ict-gerelateerde aanbesteding de positie van ict-beveiliging;
- Vraag en bepaal voldoende autorisaties;
- Vraag en bepaal monitoring en beheerstool;
- Vraag en bepaal specifiek bij (wifi)netwerk:
- Beveiliging
- 2.4 en 5 GHz netwerk
- AC-standaard (8x8 MIMO)
- Bekabeling (CAT 5E of CAT 6)
- Doorboringen brandafscheiding boven plafond
- Monitoring en beheerstool
- Voldoende autorisaties
1) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken/cijfers-meldplicht-datalekken-vierde-kwartaal-2017