maandag 7 maart 2016

Informatiebeveiliging is belangrijk, maar laten we niet overdrijven!

Onderwijsinstellingen besteden de laatste jaren in opdracht van het Ministerie van OC&W meer aandacht aan het thema Informatiebeveiliging. Dat is helemaal niet verkeerd als je er van uit gaat dat er steeds meer met ICT gewerkt wordt en er ook steeds meer ICT buiten de deur wordt gezet. In dat kader heeft Sambo-ICT voor het MBO in samenwerking met Kennisnet en Surf een framework rondom Informatiebeveiliging en Privacy (IBP) opgezet dat instellingen kunnen gebruiken bij het inrichten van hun eigen informatieveiligheid. Het framework is gebaseerd op ISO 27001 en ISO 27002. Naast dat framework organiseert Sambo-ICT masterclasses georganiseerd voor mensen, die binnen de onderwijsinstellingen met dit thema aan de slag willen. Kennisnet wil het framework nog vertalen naar het voortgezet en primair onderwijs.

Er speelt van alles. Examenfraude, DDoS-aanvallen, cijfers, die aangepast worden, dossiers op straat. Met als consequentie imago-schade of zelfs een behoorlijke boete. Je zou er als bestuurder van wakker moeten liggen. Toch?


Wat is nu wijsheid?
Wanneer je het ISO-normenkader erbij pakt, dan kom je zo'n 114 aandachtspunten tegen, verdeeld over 14 aandachtsgebieden (bron: wikipedia). Het IBP Framework heeft dit teruggebracht tot zo'n 85 aandachtspunten, waarbij je er bij een eerste check zo'n 30 moet nalopen om een beetje beeld te krijgen van waar je staat. De echte vraag ontstaat na zo'n eerste check: wat ga je er aan doen?

De neiging bestaat om beleid te gaan formuleren voor alle 30 (of 85) aandachtspunten. En dat is jammer. Gewoon, omdat dat ook helemaal niet nodig is. Laten we het even op een rijtje zetten:

Alles even belangrijk?
Niet alle aandachtspunten zijn even belangrijk. Surf heeft in een Cyberdreigingsbeeld de belangrijkste risico's voor het HO op een rijtje gezet. Haal daar de onderzoekskolom (de middelste) uit en je hebt een aardig beeld van de cyberdreiging voor het MBO en VO.  
De belangrijkste dreigingen zijn dan Identiteitsfraude (iemand anders maakt jouw examen) en Manipulatie van data (ongeoorloofd inloggen en cijfers aanpassen).

Alles even zwaar?
Moet je voor de verschillende aspecten een zo hoog mogelijk maurityniveau nastreven (bronnen: Hoezo p27, Kuiper p8) ? We kennen er 5 (6, als je 0 ook meetelt).
  1. Ad hoc (informal): alleen achteraf iets repareren als er iets misgegaan is. 
  2. Herhaalbaar (repeatable): er liggen duidelijke afspraken over hoe om te gaan met bepaalde risico's. Gebaseerd op de kennis van de mensen.
  3. Gedefinieerd (defined): maatregelen zijn ingebed in processen en niet meer persoonsafhankelijk. 
  4. Gecontrole erd (managed): er zijn doelstellingen die gemeten worden en waarop bijgestuurd wordt.
  5. Geoptimaliseerd (optimised): zeg maar volledig in control.
Laten we nu eens als uitgangspunt nemen, dat de lage risico's alleen op niveau 1 of hooguit 2 worden aangepakt. Vervelend als het zich voordoet, maar dat valt wel te overleven. 
Middelmatige risico's worden in elk geval op niveau 2 en eventueel niveau 3 aangepakt.
Hoge risico's moeten minimaal op niveau 3 worden aangepakt waarbij gestreefd wordt naar niveau 4. Daar ga je als instelling niet mee sollen. 

Wat betekent dat voor een aanpak?
Zeker voor kleinere instelling betekent het oppakken van informatiebeveiliging een flinke kluif. Het is dan lastig om iemand voldoende te faciliteren met opleiding en uren om het IBP handen en voeten te geven. Een pragmatische aanpak in 5 stappen. 
  1. Begin met een quickscan om de bestaande risico's en actuele stand van zaken in kaart te brengen. Projecteer dat op de belangrijkste (primaire, secundaire én tertiaire) processen van de organisatie, zodat je weet waar en bij wie de belangrijkste risico's voorkomen. 
  2. Ga aan de slag met een awareness campagne. Zo'n campagne vroeg in het traject heeft meerdere voordelen. Mensen vormen immers de zwakste schakel (zie bijvoorbeeld dit filmpje). Bovendien worden andere maatregelen, die wellicht minder prettig zijn alvast in een zekere context geplaatst. Bedenkwel, dat awareness iets is dat permanent aandacht vergt totdat men onbewust bekwaam is!
  3. Neem de nodige maatregelen die uit de quickscan naar voren kwamen. Waar je met techniek bepaalde dingen kunt afdwingen, moet je dat zeker niet laten, ook al vinden mensen dat lastig.
  4. Ga daarna pas aan de slag met de langere termijn zaken als het borgen van maatregelen en informatiebeveiligingsbeleid en dan ook alleen nog maar op die onderdelen waar de instelling serieus risico loopt. 
  5. Denk na over het borgen van maatregelen door middel van peerreviews, audits en de pdca-cyclus.
Kortom, laat je vooral niet onnodig bang maken en accepteer een zeker restrisico. 

Met dank aan Jaap de Mare voor de inspiratie!