InformatieBeveiliging

Veilig samenwerken: Office365 en security #kdo365

Ik ben vandaag te gast bij Microsoft voor de Kennisdeling Office365 zoals saMBO-ICT deze organiseert. De derde sessie ging over beveiliging. Op zich belangrijk omdat aan de ene kant de risico’s toenemen en je aan de andere kant met Office365 veel vrijheid krijgt om gegevens uit te wisselen.

Vanwege de uitdagingen zoals cyberaanvallen, phising mails, wachtwoorden verliezen, delen van bestanden met gevoelige informatie etc. geeft Remco Ploeg ons tips voor het veilig gebruik van Office365. Beveiliging vergt naast technische aspecten vooral aandacht voor bewustwording, gedrag en cultuur. De rol van de IT afdeling verandert ook wel: meer monitoring en sneller doorvoeren van patches bijvoorbeeld.

Op een rij de mogelijkheden:

  • Regel backup, ook als deze niet standaard in Office365 zit.
    Eigen opmerking: Microsoft maakt wel backup’s voor zichzelf maar dat is doorgaans niet om van één gebruiker zijn bestanden terug te zetten. In de standaard overeenkomst tussen een school en Microsoft is hier geen dienstverlening voor. Moet je apart regelen als je het nodig acht.
  • Beheer van mobiele devices, zodat je kunt bepalen wat er op mag gebeuren.
  • Beperk de mogelijkheden van delen met externen.
    Eigen opmerking: zelf hebben we extern delen alleen aanstaan voor specifieke sitecollecties zoals projectsites. Voor de rest stond het dicht. Echter met de introductie van Groups kwam er een manier om te delen met externen die niet eens uitgezet kan worden. In mijn ogen maakt dat de moeite van dichtzetten op centraal niveau een beetje een loze actie. Of je moet heel Office365 Groups dichtzetten en jezelf buitensluiten van allerlei nieuwe features.
  • Er is een “Alert Dashboard” voor admins die aangeeft als er ongebruikelijke activiteit is.
  • Data Loss Prevention: Als documenten of mail bepaalde informatie bevat zoals IBAN nr of BSN dan voorkomt het systeem het delen ervan.
  • Kleine tip: In Outlook kun je de “Do Not Forward” optie aanzetten voor mail die niet verder verspreid mag worden.

De presentatie is hier terug te vinden.

Informatieveiligheid in de steiger #samboict

In ronde 4 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie van ROC TwenteAndré Wessels en Paul Tempelaar praten ons bij over hun traject van beleidskeuzes. verkenningen, risicoanalyses, nulmetingen en de implementatie van het informatieveiligheidsplan. Hierin is samengewerkt met directie (verantwoordelijk), de informatiemanager (regie), kwaliteitszorg, controllers en de facilitaire diensten.

Er zijn drie hoofdissues met informatieveiligheid:

  1. Beschikbaarheid: als er iets mis is, kun je niet werken omdat de informatie niet bereikbaar is.
  2. Integriteit: als er iets mis is, klopt de informatie niet meer.
  3. Vertrouwelijkheid: als er iets mis is, kennen anderen deze informatie.

Op deze hoofdissues hebben ze steeds een classificatie toegepast. Sommige informatie is gewoon vitaal, niet, zeer of uiterst vitaal. De gevolgen hiervan verschillen dan weer.

De hoofdoorzaken zijn in afnemende frequentie:

  • Onwetend handelen
  • Onvoldoende gedragen beleid
  • Falende techniek
  • Opzettelijk handelen

Mijn indruk is dat ze er in slaagden om tijdens een nul-meting de risico’s van verschillende veiligheidscategorieën te kwantificeren. Mede dankzij het classificeren va risico’s en gevolgen. Interessant vond ik ook hun achterliggende doelen en een meta-doel:

  • Een veiligheidscultuur voor informatie en bijgaande draagvlak onder betrokkenen.
  • Een continue en waar gewenst vertrouwelijke informatievoorziening.
  • Een organisatie waarin beide doelen nagestreefd, gecontroleerd, bediscussieerd en bijgesteld kunnen worden

Do’s and dont’s van informatiebeveiliging #samboict

In ronde 3 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie door ROC Aventus. Fung Yee Poon is security-officer en change-manager. Ze vat het dilemma goed samen: Iedereen wil een veilige omgeving maar niemand wil er last van hebben. De maatregelen die ze troffen lagen gelukkig niet alleen op het technisch vlak. Ze hebben campagne gevoerd, voorlichting gegeven en aandacht gegeven aan communicatie.

Zaken waar ze tegenaan liepen:

  • Weinig bewustzijn op het gebied van beveiliging.
  • Onderschatten van de risico’s èn onderschatten van de impact van beveiligingsmaatregelen.
  • Informatiebeveiliging wordt niet meegenomen bij de zoektocht van een systeem.
  • Moeite met vertalen van wet- en regelgeving naar de techniek.

Wat ik knap of vasthoudend vind is dat ze ook voor eigen devices technisch afdwingen dat er een pincode op moet zitten, als je op hun infrastructuur wilt. Zodat applicaties niet open staan als je je tablet even uit het zicht hebt liggen.

Fung somt ook nog even de (extrinsieke) motivatie voor beveiliging op:

  • Wet- en regelgeving, accountancy en audits
  • Financiële schade
  • Imagoschade
  • Verwachtingen

Ik bedacht me wel ineens, wat zou nou de intrinsieke motivatie zijn voor veilig gedrag omtrent informatie? Bescherming van je klant, de student en/of zijn ouder? Hoe kun je je eigen onderwijs en begeleidingsproces goed doen (en dus veel informatie vergaren) en tegelijkertijd het belang van de student dienen? Overigens waardeer ik het wel als een instelling zich opent opstelt op dit soort kwetsbare en soms delicate onderwerpen. Zonder over eieren te lopen krijg je eigenlijk veel cultuuraspecten mee van onderwijsteams. Waarin onveilig gedrag een rol speelt.

Enkele do’s op een rij:

  • Formuleer een duidelijk beleid
  • Leg de verantwoording daar waar het hoort.
  • Laat je beleid adviserend zijn.

 

InformatieProducten en vertrouwelijkheid

Al een tijdje ben ik bezig met het bouwen van een InformatiePortfolio. Toen schreef ik al:

Aan elk InformatieProduct worden kenmerken toegekend zoals een code, naam, omschrijving, doel, niveau, status en frequentie. 

Ondertussen krijg ik ook te maken met “informatiebeveiligingsbeleid”, waarin een classificatie van vertrouwelijkheid staat. Vandaar dat ik deze ook als kenmerk wil meegeven aan een InformatieProduct. Deze classificatie kent drie niveaus van vertrouwelijkheid:

  • Publiek: Deze informatie kent geen eisen ten aanzien van de vertrouwelijkheid en integriteit en is daardoor voor iedereen binnen de instelling beschikbaar en toegankelijk.
  • Intern: Dit betreft de informatie die toegankelijk mag of moet zijn voor alle medewerkers van de instelling. De eisen ten aanzien van vertrouwelijkheid en integriteit zijn gering.
  • Vertrouwelijk: Dit betreft informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt beschikbaar gesteld op basis van het “need to know” principe.