Ik ben vandaag op de 33ste saMBO-ICT Conferentie bij het TT-Instituut van Drenthe College in Assen. Jaap de Mare vertelt over informatiebeveiliging en privacy op het Albeda Collega. Beleidsmatig hebben veel MBO’s gebruik gemaakt van het werk dat HBO al gedaan had, het normenkader [pdf] en het Cyberbedreigingsbeeld. Jaap ook dus. De uitdaging zit juist in het ontstijgen van alleen het beleidsmatige.
Hij neemt ons mee in de wereld van ‘risico’s, maatregelen en borging/beleid’. Overigens relativeert Jaap de zwaarte van de risico’s voor een school een beetje. Hij onderscheidt de volgende niveaus van volwassenheid:
- Ad-Hoc: je neemt maatregelen, maar deze groeien organisch en willekeurig.
- Herhaalbaar maar intuïtief.
- Gedefinieerd proces van maatregelen uitvoeren.
- Beheerst en meetbaar.
Jaap moedigt vanzelfsprekend aan om eerst te focussen op ‘hoge’ en ‘midden’ dreigingen. Voorbeelden:
- Hoog: Digitale identiteitsfraude (je uitgeven voor een ander tijdens een examen) en manipulatie van data (student wijzigt zelf cijfers).
- Midden: Vertrouwelijke gegevens die op straat komen te liggen, zoals zorggegevens, diefstal van examens en verstoring van ICT (DDOS etc.).
We krijgen ook maatregelen mee die we kunnen nemen:
- Sterke authenticatie (token, sms)
- Monitoren (wanneer worden cijfers aangepast bijvoorbeeld).
- Versleuteling (encryptie, ook in koppelingen)
- Geen ‘Single Sign On’.
- Bewustwordingscampagne, maar dan meer dan alleen bangmakerij, juist ook concreet verbinden aan risico’s.
- Technische maatregelen.
Borging kan met procedures rond opslag (examens), backup/restore en het volgen van beveiligingsincidenten. Jaap geeft ook wat suggesties:
- Focus op maatregelen (en niet zozeer op de borging).
- Focus op laaghangend fruit (zonder grote kosten of moeite).
- Accepteer rest-risico’s.
Uitsmijter: voorkom ‘de paarse krokodil’ omdat je allerlei laag-risico maatregelen probeert te borgen!