Kenniskring Normenkader bijeenkomst 3: De basis op orde

Aanwezigen zijn:

• Deelnemers: 6 personen van 5 onderwijsinstellingen
• TrustBound: Arjaan Kunst
• Check Security: Rob Tesselaar
• Van SLBdiensten: Pieter Oosterhof, Mark den Braber, Niels Middelburg & Ruben Bloembergen

De basis op orde

Om 13.15u trappen we af met een opening door SLB-collega Pieter Oosterhof. Hij snijdt de onderwerpen aan om een discussie te starten m.b.t. ‘De basis op orde’, fase 1 van het normenkader. Belangrijk voor het ‘starten’ is het meekrijgen van de bestuurder. Iets wat erg belangrijk is, omdat de eindverantwoordelijkheid van informatiebeveiliging bij de bestuurder van de onderwijsinstelling ligt. Later op de middag komt dit onderwerp nogmaals aan bod met concrete ideeën en voorbeelden. Er ontstaat een levendig gesprek over specifieke wensen van instellingen, de rol van SLBdiensten, verschillende soorten software en tooling en uiteraard vragen waar de onderwijsinstellingen mee zitten.

Zo is het belangrijk om alle medewerkers binnen de onderwijsinstelling te helpen met professionaliseren. De meeste cyberrampen hadden namelijk voorkomen kunnen worden als die ene medewerker niet op een verkeerde link had geklikt. Een belangrijke randvoorwaarde hierin is dat de techniek op orde moet zijn, zonder dat men olifantenpaadjes kan vinden of maken in de IT-omgeving. De dialoog wordt samengevat in de wens om medewerkers ‘veilig te laten internetten’.

Een compleet aanbod

Pieter licht toe dat wij vanuit SLBdiensten hard op weg zijn om een zeer compleet aanbod aan te bieden aan de onderwijsinstellingen. Zo hebben we een specifieke normenkaderpagina gelanceerd en bieden we al verschillende diensten aan welke van enorme meerwaarde kunnen zijn voor onderwijsinstellingen. Drie daarvan springen in het oog en twee daarvan worden geparkeerd, omdat deze later aan bod zullen komen in de presentatie van Arjaan Kunst van TrustBound en Rob Tesselaar van Check Security.

Het derde onderwerp, pentesten, wordt serieus besproken. Vanuit de werkgroep wordt door een deelnemer gevraagd of SLBdiensten niet een aanbod zou kunnen geven van een paar partijen welke goeie pentesten aanbieden. Maar wat is een goede pentest? En waar moet die precies aan voldoen? Omdat er zo veel partijen actief zijn met allemaal eigen smaakjes is het bepalen van randvoorwaardelijkheden voor een pentest binnen het VO makkelijker gezegd dan gedaan. De kern van pentesten is volgens een deelnemer dat ze allemaal gebaseerd zijn op hoge en lage risico’s in de organisatie. Een pentest is heel lokaal omdat iedereen z’n netwerk anders heeft ingericht. Een tip: Probeer er gewoon eens eentje en kijk wat eruit komt.

'Normenkader is als BHV'

Een deelnemer deelt mee dat ze onlangs samenwerkten met Privacy 365 voor een bewustwordingspakket. Hierbij voerden ze halfjaarlijks een pentest uit, een nulmeting van de situatie. Dit gebeurt niet incidenteel, maar op een planmatige manier, waarbij diverse aspecten worden geëvalueerd en technisch kunnen worden geconfigureerd. Dit geldt zowel voor technische instellingen als voor procesmatige stappen om een 'veilige' omgeving te creëren. Het blijft echter belangrijk op te merken dat als iemand per ongeluk op een verkeerde link klikt, de gevolgen aanzienlijk kunnen zijn. Een deelnemer benadrukt ook de vraag om aanbevelingen voor gerenommeerde beveiligingsbureaus, en deze suggesties zijn genoteerd voor verdere actie.

Dan brengt een andere deelnemer in dat elke school wel een BHV-organisatie heeft die verplicht is het calamiteitenplan jaarlijks twee keer te testen en waar nodig bij te sturen. Een prachtige beeldspraak wat we ook zouden willen bereiken met het normenkader. Een breed gedragen onderwerp waarin meerdere mensen in de onderwijsorganisatie zich actief mee bemoeien om zo de veiligheid om scholen te borgen. Hiermee sluiten we de discussie af en gaan naar de 1ste spreker van de dag Arjaan Kunst van TrustBound.

Inzicht in ‘de basis op orde’ met GRC-tooling

Arjaan is in persoon aanwezig en vertelt met veel passie over zijn bedrijf TrustBound. Een bedrijf dat een toolkit levert om ‘in control’ te zijn als het gaat om GRC: Governance, Risk Management en Compliance. De fit is daar 1:1 met het normenkader. Er wordt toegelicht voor wie de tooling is en hoe deze werkt. Na een korte presentatie geeft Arjaan een live demo waarin goede rapportages, actiepuntoverzichten en dashboards te zien zijn.

Om het leven voor het onderwijs makkelijk te maken is het normenkader, specifiek voor het VO en PO, ingebouwd in de tooling. Je kan daardoor doelgericht aan de slag met de verschillende fases van het normenkader. De GRC-tool is visueel erg sterk met de juiste rapportage mogelijkheden. Hierdoor kan je sturen op de voortgang en waar nodig taken uitzetten bij mensen in de organisatie. Kortom, je gaat doelgericht te werk waarbij GRC-tooling organiseert en overzicht biedt. De presentatie en demo worden zeer enthousiast ontvangen door alle aanwezigen. De woorden ‘dit is precies wat ik nodig heb’ vult de ruimte. Meer weten over de GRC-tooling van TrustBound? Neem contact met ons op.

Weet waar je staat met de 0-meting van Check Security

Na een kort voorstelrondje en een samenvatting van het normenkader licht Rob Tesselaar toe wat onderdeel is van de 0-meting van Check Security. Naast diverse interviews met zowel betrokken personen als leveranciers wordt er ook een scan op het contractmanagement gedaan. Deze gegevens worden samen met de interviews geanalyseerd en in een rapportage gegoten. Deze bevindingen en rapportage worden teruggekoppeld aan de onderwijsinstelling met daarbij concrete stappen om te werken aan het normenkader.

Volgens Rob is het gewenste niveau 3 - welke 2027 bereikt moet worden - pas het begin. Een deelnemer vraagt aan Rob of er al bekend is hoe er ge-audit gaat worden. Dat is er nog niet. Rob geeft aan dat de huidige bureaus uitgaan van de ISO-audit. Maar deze is niet van toepassing. Er is wel duidelijk wat er beschreven moet zijn in het normenkader, maar wanneer het goed is nog niet. Laten we hopen dat daarover dit jaar meer duidelijk wordt.

Rob vindt dat je na het bereiken van niveau 3 jaarlijks op basis van de Plan-Do-Act-Check methode moeten herijken om niveau 4 te bereiken. Begin daarom vandaag nog en zorg dat je 2024 besteed aan de basis op orde; 2025 voor fase 2 (mitigeren hoge risico’s); en 2026 voor fase 3 (mitigeren medium risico’s). Zo ben je begin 2027 op het gewenste niveau. Het zo ook passend zijn om deze jaarlijkse herijking in te bedden in de jaarkalenders van scholen en de meerjarenbegroting. Naast het normenkader implementatie biedt Check Security nog meer diensten aan. Wil je hier meer over weten? Neem contact met ons op.

Werk aan de winkel

Nadat we Rob bedanken voor zijn digitale deelname, ontstaat er spontaan een gesprek tussen de aanwezigen als de term ‘het moet geen IT-feestje worden’ wordt uitgesproken. Zo haalt een deelnemer aan blij verrast te zijn met dat het normenkader IBP bij binnenkomst uitgeprint op het bureau van de rector lag: "De houder van de ICT-portefeuille is op de hoogte van de noodzaak. Een stap in de goede richting."

Vervolgens wordt er door Ruben gedeeld dat het hebben van een sponsor binnen de organisatie – en het liefst ‘zo hoog mogelijk in de boom’ – van cruciaal belang is om projecten waarbij verandering komt kijken te laten slagen. Een bestuurder of rector die het podium pakt, en ook actief uitspreekt wat het belang van dit project is, kan het verschil maken in het laten slagen of falen van projecten. Een deelnemer vraagt zich af wie de kartrekker in het proces moet zijn, waarop de ander antwoordt "iemand van het CvB of op stichting niveau, degene die persoonlijke aansprakelijk is."

Daarbij moet niet al het werk bij IT komen te liggen, maar ook juist bij andere onderdelen binnen de bedrijfsvoering. Het voorbeeld van een deelnemer spreekt boekdelen. Hij geeft aan "dat er wel een projectorganisatie aanwezig is, maar zodra hij als IT-verantwoordelijke niet bij het overlegmoment is, de meeting direct niet doorgaat."

‘Het moet geen IT-feestje worden’

Over dat IT een grote rol heeft binnen het normenkader zijn we het allemaal eens. “Maar de verantwoordelijkheid voor implementatie en controle zou niet alleen bij IT, maar ook bij bijvoorbeeld de directiesecretaresse moeten liggen”, stelt een deelnemer. In het gesprek dat dit teweeg brengt wordt geconcludeerd dat er voor iedereen op deze punten nog een slag te winnen is. Iedereen is het eens "dat de implementatie van het normenkader niet alleen een verantwoordelijkheid van IT is, maar dat het echt een gedragen verantwoordelijkheid tot op bestuursniveau betreft."

Neem contact op

Meer weten over de Kenniskring of oplossingen gerelateerd aan het normenkader? Neem contact op met Pieter Oosterhof.