In ronde 3 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie door ROC Aventus. Fung Yee Poon is security-officer en change-manager. Ze vat het dilemma goed samen: Iedereen wil een veilige omgeving maar niemand wil er last van hebben. De maatregelen die ze troffen lagen gelukkig niet alleen op het technisch vlak. Ze hebben campagne gevoerd, voorlichting gegeven en aandacht gegeven aan communicatie.
Zaken waar ze tegenaan liepen:
- Weinig bewustzijn op het gebied van beveiliging.
- Onderschatten van de risico’s èn onderschatten van de impact van beveiligingsmaatregelen.
- Informatiebeveiliging wordt niet meegenomen bij de zoektocht van een systeem.
- Moeite met vertalen van wet- en regelgeving naar de techniek.
Wat ik knap of vasthoudend vind is dat ze ook voor eigen devices technisch afdwingen dat er een pincode op moet zitten, als je op hun infrastructuur wilt. Zodat applicaties niet open staan als je je tablet even uit het zicht hebt liggen.
Fung somt ook nog even de (extrinsieke) motivatie voor beveiliging op:
- Wet- en regelgeving, accountancy en audits
- Financiële schade
- Imagoschade
- Verwachtingen
Ik bedacht me wel ineens, wat zou nou de intrinsieke motivatie zijn voor veilig gedrag omtrent informatie? Bescherming van je klant, de student en/of zijn ouder? Hoe kun je je eigen onderwijs en begeleidingsproces goed doen (en dus veel informatie vergaren) en tegelijkertijd het belang van de student dienen? Overigens waardeer ik het wel als een instelling zich opent opstelt op dit soort kwetsbare en soms delicate onderwerpen. Zonder over eieren te lopen krijg je eigenlijk veel cultuuraspecten mee van onderwijsteams. Waarin onveilig gedrag een rol speelt.
Enkele do’s op een rij:
- Formuleer een duidelijk beleid
- Leg de verantwoording daar waar het hoort.
- Laat je beleid adviserend zijn.