Do’s and dont’s van informatiebeveiliging #samboict

In ronde 3 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie door ROC Aventus. Fung Yee Poon is security-officer en change-manager. Ze vat het dilemma goed samen: Iedereen wil een veilige omgeving maar niemand wil er last van hebben. De maatregelen die ze troffen lagen gelukkig niet alleen op het technisch vlak. Ze hebben campagne gevoerd, voorlichting gegeven en aandacht gegeven aan communicatie.

Zaken waar ze tegenaan liepen:

  • Weinig bewustzijn op het gebied van beveiliging.
  • Onderschatten van de risico’s èn onderschatten van de impact van beveiligingsmaatregelen.
  • Informatiebeveiliging wordt niet meegenomen bij de zoektocht van een systeem.
  • Moeite met vertalen van wet- en regelgeving naar de techniek.

Wat ik knap of vasthoudend vind is dat ze ook voor eigen devices technisch afdwingen dat er een pincode op moet zitten, als je op hun infrastructuur wilt. Zodat applicaties niet open staan als je je tablet even uit het zicht hebt liggen.

Fung somt ook nog even de (extrinsieke) motivatie voor beveiliging op:

  • Wet- en regelgeving, accountancy en audits
  • Financiële schade
  • Imagoschade
  • Verwachtingen

Ik bedacht me wel ineens, wat zou nou de intrinsieke motivatie zijn voor veilig gedrag omtrent informatie? Bescherming van je klant, de student en/of zijn ouder? Hoe kun je je eigen onderwijs en begeleidingsproces goed doen (en dus veel informatie vergaren) en tegelijkertijd het belang van de student dienen? Overigens waardeer ik het wel als een instelling zich opent opstelt op dit soort kwetsbare en soms delicate onderwerpen. Zonder over eieren te lopen krijg je eigenlijk veel cultuuraspecten mee van onderwijsteams. Waarin onveilig gedrag een rol speelt.

Enkele do’s op een rij:

  • Formuleer een duidelijk beleid
  • Leg de verantwoording daar waar het hoort.
  • Laat je beleid adviserend zijn.

 

2 comments

  1. Erg goed zulke voorlichtingen en vooral dat je ze hebt bijgewoond, geeft je toch net dat ene voorsprong in de kennis!

    Je merkt dat bedrijven daar nog vaak op achterlopen met het informeren van haar personeel en de rol die ze dragen met de data van het bedrijf.
    Ook wordt dat nog te vaak uit het bedrijfsleven genegeerd, maar bijvoorbeeld nu met de “Sony hack” ziet men steeds vaker dat beveiliging een zaak is van faillissement of groei.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s