Bewustwording over ICT-beveiliging: tussen de oren vaak meer winst te halen dan onder de knoppen

Het grootste risico op een inbreuk op de beveiliging van je onderwijsinstelling loop je in de regel niet door de aanwezige systemen, maar door de personen die ermee werken. Dat is inmiddels een bekend gegeven, dat iedere keer weer terugkomt als het gaat om cybersecurity. Daarom is er meer winst te behalen ‘tussen de oren’ dan ‘onder de knoppen’. Maar hoe zorg je in de praktijk voor veilig gedrag van leerlingen en medewerkers?

Van alle datalekken wordt 95% veroorzaakt door menselijk handelen, aldus een onderzoek van Cybint, specialist in cybersecurity trainingen. Met het besef dat elke keten zo sterk is als de zwakste schakel, is het zaak de aandacht vooral te richten op de gebruikers door het geven van awareness-trainingen. Het doel van awareness creëren is dat medewerkers zich bewust zijn van de risico’s bij het gebruik van computers die verbonden zijn met (openbare) netwerken. Als IT’er moet je daarbij altijd schipperen tussen maximale beveiliging en gebruiksgemak. Je kunt alles dichtgooien, dan is de kans groot dat er geen ongenode gasten binnenkomen. Maar tegelijkertijd valt er dan niet meer te werken en zijn de kosten daarvan zo hoog, dat dit ook daarom geen haalbare kaart is.

Awareness binnen scholen nog onder de maat

Uit een onderzoek door Kantar naar IT-beveiliging binnen het voortgezet en middelbaar beroepsonderwijs blijkt dat IT-afdelingen ontevreden zijn met de aandacht die besturen van onderwijsinstellingen hebben voor awareness. Er is volgens hen te weinig of nauwelijks budget voor beschikbaar. Nieuwe medewerkers krijgen eenmalig wel wat uitleg, maar vaak wordt dit niet meer herhaald. Bovendien is het bijbrengen van bewustwording alleen gericht op docenten en ondersteunend personeel, niet op leerlingen. Het bestuur gaat ervan uit dat het onderwerp ter sprake komt tijdens lessen over informatietechnologie. Er lijkt vrijwel nergens een gericht programma te zijn om awareness uit te dragen.

Wel of niet levensbedreigend

Hoe zit het eigenlijk met bewustwording als het niet gaat om cybersecurity, maar om een industrie waar het niet naleven van beveiligingsvoorschriften levensbedreigend kan zijn? Bijvoorbeeld in de petrochemische industrie. Als daar iets fout gaat, kan de zaak ontploffen en staan er mensenlevens op het spel. Alle medewerkers krijgen daar voortdurend trainingen om veilig te werken. In de fabriekshal hangt een scherm dat aangeeft hoeveel dagen het bedrijf ongevalsvrij is. Aannemers en onderaannemers die op het terrein aan de slag moeten, mogen pas hun werk doen nadat zij uitvoerig zijn voorgelicht over de risico’s die zij lopen en hoe die zijn te vermijden. Bezoekers komen pas voorbij de portier nadat zij een filmpje hebben bekeken over de veiligheidsvoorschriften die ter plekke gelden. Medewerkers zijn zich daar nadrukkelijk bewust van de risico’s en hoe ze daarmee moeten omgaan. Bovendien krijgen zij regelmatig controles door de Arbeidsinspectie.

Continu proces

Alhoewel er binnen het onderwijs geen doden vallen als een systeem wordt gehackt, kunnen onderwijsinstellingen een voorbeeld nemen aan de bewustwording rondom beveiliging. Hoe zorg je ervoor dat binnen jouw onderwijsorganisatie een cultuur van ‘security-onderbewustzijn’ ontstaat? Allereerst: dit is geen project, maar een (continu) proces. Daarbij kun je denken aan de volgende stappen:

1.    Realiseer je dat het gaat om een cultuurverandering

Iedere verandering roept weerstand op. Leg daarom geen regels op, maar leg ze vooral uit. Verklaar het belang van een goed security-beleid. En zorg dat ook het management, directie en bestuur deze cultuurverandering ondersteunen en het goede voorbeeld geven.

2.    Doe een nulmeting

Bekijk hoe je organisatie er nu voor staat. Begin bijvoorbeeld met meten hoeveel incidenten worden gerapporteerd en om wat voor incidenten het gaat.

3.    Bepaal welk niveau van veiligheidsbewustzijn nodig is

Hoe veilig wil je het hebben? Omschrijf het niveau van veiligheidsbewustzijn. En bepaal een strategie om het verschil tussen bestaande en gewenste situatie te overbruggen. Kies slimme momenten om het onderwerp onder de aandacht te brengen, bijvoorbeeld bij indiensttreding, bij upgrades van een systeem of bij een fusie met een andere onderwijsinstelling.

4.    Gebruik digitale awareness-trainingen

Nodig medewerkers uit voor digitale awareness-trainingen, monitor wie er meedoen en maak het bespreekbaar. Overweeg beloningen voor positief gedrag en maak veiligheidsbewustzijn onderdeel van beoordelingen.

Phishing in het onderwijs is een exponentieel groeiend probleem. Voorkom een datalek voordat het te laat is. SLBdiensten en Surelock verzorgen phishing-awareness binnen jouw onderwijsinstelling door gebruik te maken van awareness tools zoals: E-learning, phishing-simulaties & een Outlook plug-in. Lees meer

Naar een veiligere, hybride onderwijsomgeving

Wil je meer weten over de stand van zaken rondom cyberveiligheid in het onderwijs en concrete stappen zetten om cyberaanvallen te voorkomen? Lees dan de whitepaper van Breens Network: ‘Naar een veiligere, hybride onderwijsomgeving’