Zo gaat SOML om met infrastructuurbeveiliging en privacy

Leon van Lare is senior manager bij Stichting Onderwijs Midden-Limburg (SOML). Hij is Manager ICT én Privacy Officer bij de onderwijsinstelling. “Doordat ik als senior manager dicht bij het vuur zit, krijg ik wel meer voor elkaar dan collega’s die niet zo’n positie hebben”, zegt hij.

De SOML biedt met 900 personeelsleden passend onderwijs aan ongeveer 7500 leerlingen, verdeeld over vier scholengemeenschappen voor voortgezet onderwijs op negen locaties. Van Lare werkt twintig jaar in de IT-security. “Het is een leuk vakgebied; sterk in ontwikkeling. Er gebeurt veel op dit vlak. Je hoeft de krant er maar over open te slaan.” Hij koopt centraal in en er is een centraal ICT-beleid. Een groot deel van de automatisering is uit handen gegeven aan een IT-dienstverlener die onder meer zorgt voor anti-DDoS en actieve scanning van het verkeer op onrechtmatigheden. “Op dit moment voert deze IT-dienstverlener een beveiligingsscan uit op de IT-infrastructuur van SOML. We willen graag weten hoe we ervoor staan en risico’s zo veel mogelijk uitsluiten.”

Kwaliteit

Van Lare is verantwoordelijk voor de infrastructuurbeveiliging en voor de privacy. Dat laatste is risicogebaseerd. “Uiteindelijk is het bestuur verantwoordelijk voor een goed en veilig databeheer, maar in de praktijk draag ik die verantwoordelijkheid.”

Hij zet een kader in waarbinnen de kwaliteit van de security op een hoog peil is te brengen en te houden: ISO-27000. Dit is een wereldwijd erkende norm op het gebied van informatiebeveiliging. “Ik had behoefte aan een internationaal erkende richtlijn. Bovendien voorziet deze norm in rapportages, zodat ik betrokkenen elk op eigen niveau op de hoogte kan stellen van hoe het ervoor staat. Cyclisch lopen we alles na en stellen dan verbeterplannen op, afhankelijk van de risico’s die we vinden. We zijn niet gecertificeerd; het bestuur zag daar de meerwaarde niet van in. Maar met ISO-27000 heb ik wel een stevig handvat om de kwaliteit van databeveiliging te garanderen.”

Wij gebruiken ISO-27000 als een best practice en zorgen zo dat onze kwaliteit is geborgd; iets waaraan ons bestuur behoefte heeft. De norm geeft handreikingen.

De VO-raad en het ministerie van OCW raden het gebruik aan van ROSA (Referentie Onderwijs Sector Architectuur) voor informatiebeveiliging. “Die is waarschijnlijk ook wel goed, en lichtelijk gebaseerd op ISO-27000, maar ik voelde meer voor een internationale richtlijn. Wij gebruiken ISO-27000 als een best practice en zorgen zo dat onze kwaliteit is geborgd; iets waaraan ons bestuur behoefte heeft. De norm geeft handreikingen.”

Discussies

Van Lare vindt dat er voldoende informatie te vinden is over IT-security. Hij verwijst naar Kennisnet, een gids voor eenvoudige, veilige en betrouwbare ICT in primair onderwijs (po), het voortgezet onderwijs (vo) en het middelbaar beroepsonderwijs (mbo), gefinancierd door het ministerie van OCW. “Wij gebruiken het IBP-programma van Kennisnet. Dit staat voor Informatiebeveiliging en Privacy. Op een website worden veel zaken van die methode heel praktisch uitgelegd. En daarnaast kun je vragen stellen aan een helpdesk en deelnemen aan forums. Ik help ook wel eens mee door antwoorden te geven. Zo helpen we elkaar. Nuttige discussies daar.”

Awareness

Bij IT-security gaat het om people, process en technology. Je kunt nog zo goed alles afgetikt hebben met de juist technologie, als de mensen lukraak op elke link in een e-mailbericht klikken of gedachteloos usb-sticks actief gebruiken, dan gaat het alsnog mis. Het antwoord is een awareness-training: mensen bewust maken van hoe zij met automatisering om moeten gaan.

“Voor mijn collega’s regel ik wel awareness-trainingen”, antwoordt Van Lare, “maar dat doen we niet voor de studenten. Ik ga ervan uit dat dit in het onderwijsprogramma is opgenomen. Dat bepaalde docenten hier aandacht aan schenken.”

Disaster recovery plan

Om de continuïteit van de bedrijfsvoering te waarborgen, ligt het opstellen van een (backup &) Disaster Recovery Plan (DRP) voor de hand. Een soort draaiboek, dat stap voor stap beschrijft wie wat moet doen om correct en adequaat te kunnen reageren op een calamiteit. Doel is de IT-storing (bijvoorbeeld een aanval van buitenaf) zo snel mogelijk te verhelpen en weer op een aanvaardbaar operationeel niveau aan de slag te kunnen. Er komt overigens heel wat bij kijken om een dergelijk plan op te stellen. En dan ben je er nog niet, want je zult een dergelijk plan ook periodiek moeten testen in de dagelijkse praktijk.

Van Lare vertelt wel een aantal incidenten te hebben meegemaakt. Een paar keer lag internet er uit, waardoor alles stil valt. Ook heeft hij ransomware het hoofd moeten bieden. Een DRP zou zinvol zijn, maar is er (nog) niet voor SOML. “Niemand heeft mij daar ooit op gewezen. Het komt ook niet aan bod bij de ISO 27000. Het is wel besproken toen wij met onze IT-leverancier de securityscan doornamen. Dus nu overwegen we om een DRP op te stellen.”

Voldoende budget

Van Lare vindt het lastig om de vraag te beantwoorden of zijn IT-team wel voldoende budget krijgt om een goed securitybeleid op te stellen en uit te voeren. “Wij hebben namelijk veel van onze operationele taken uitbesteed aan een IT-dienstverlener. Ik kan niet beoordelen hoeveel inspanningen, uitgedrukt in geld, zij besteden aan security. Maar ik heb de indruk dat wij wel met ons budget uit de voeten kunnen. Aangezien ik zelf onderdeel uitmaak van een ICT-regiegroep, hoef ik niet te bedelen. Het is ons bestuur duidelijk dat informatiebeveiliging een must is.”

Het budget zal in de toekomst wellicht wel omhoog moeten. “De aanvallen worden steeds professioneler en veelvuldiger. Het kost meer om je ertegen te wapenen. Daarbij letten we er wel op dat we een tevreden gebruiker blijven houden. Je kunt alles dichttimmeren, maar als je dan niet meer kunt leren of werken, heb je eigenlijk niks bereikt. Het is de kunst daarin de balans te vinden.” En dat is een van de redenen wat zijn werk zo boeiend maakt, besluit Van Lare.

Whitepaper: Naar een veiligere, hybride onderwijsomgeving

Breens Network heeft een whitepaper samengesteld gebaseerd op een security-onderzoek binnen het vo en mbo uitgevoerd door Kantar. In deze whitepaper krijg je concrete handvatten mee om te komen tot een verantwoorde en veilige (hybride) leeromgeving.