Quadraam stapt over naar Microsoft A5 en verbetert zo de beveiliging

Quadraam is een onderwijsgroep die bestaat uit 14 middelbare scholen in de regio Arnhem, De Liemers en Overbetuwe. Leerlingen kunnen er terecht voor alle onderwijsniveaus en richtingen. Er werken ruim 1.600 medewerkers.

Security op hoger niveau

Toen Gerard Lodder op 1 juni 2022 startte als ICT-manager, moest hij de ICT voor de hele onderwijsgroep verder vormgeven. Op 1 oktober 2022 was de formele start van een bovenschoolse ICT-team, dat bestaat uit een servicemanager, projectmanager, ICT-architect en twee systeembeheerders.

Met decennialange werkervaring bij IBM, onder meer als Benelux-lead beveiligingsmanagement, was het logisch dat security één van zijn eerste aandachtspunten was bij de scholengroep. “Mijn eerste doel was zorgen dat de ICT-infrastructuur van Quadraam veilig genoeg was voor medewerkers en leerlingen. ‘Veilig genoeg’ betekent voor mij: voorkomen dat er iets misgaat als medewerkers per ongeluk een fout maken. Ook wil ik zien wat er allemaal gebeurt in het netwerk, zodat je het beter kunt beschermen tegen bedreigingen.”

De ICT-omgeving was bij zijn komst gebaseerd op Microsoft 365 Education A3. Het beheer daarvan ligt bij een externe partij. Zij zijn verantwoordelijk voor support en onderhoud. “Alleen wij houden de regie in deze samenwerking. Het initiatief om te innoveren en de beveiliging op een hoger niveau te brengen kwam echt vanuit onszelf”, vertelt Gerard. “In het algemeen is de aandacht van onderwijsorganisaties vooral gericht op goed onderwijs geven, minder op security. De mate van beveiliging binnen Quadraam was niet slecht, organisatorisch was het ook goed geregeld, maar toch wilde ik het beter hebben. Vandaar de licentieupgrade naar A5.”

Hoe overtuig je het bestuur?

Op dat moment kwamen accountmanager Mark den Braber en technisch specialist Martijn Frank van SLBdiensten in beeld. SLBdiensten verzorgde al jaren het licentiebeheer voor Quadraam. Eind maart 2023 begonnen zij de gesprekken met Gerard over de mogelijkheden van A5 Security. Gerard was enthousiast erover, maar hoe overtuig je het bestuur? In mei 2023 presenteerden Martijn Frank en Gerard Lodder het plan nogmaals aan het bestuur. “Gerard had dat heel goed voorbereid”, vertelt Martijn. “We hebben het hele verhaal opnieuw gedaan en het bestuur uitgelegd hoe de gebruiker en de organisatie er beter van worden. Alhoewel Gerard al akkoord had, wilde hij het bestuur ervan bewust maken waar ze voor kozen als ze hun handtekening zetten. Vanaf toen kon hij verder.”

Planmatige aanpak

In juni kwam ook Microsoft in de lucht. Bijzonder was dat Microsoft de opdracht graag zo snel mogelijk wilde oppakken. Daartoe gebruikten ze Microsoft funding, waarmee ze betaalden voor de inhuur van Cloudlife. Deze partij stelde eind augustus een plan op voor het verbeteren van de beveiliging van de ICT-omgeving. Inmiddels zijn in november 2023 de A5-licenties geactiveerd en is de volgende fase aangebroken. “We gaan nu aan de slag met de rapportages. We willen kunnen monitoren hoe het netwerk ervoor staat. Zijn er bedreigingen, activiteiten of apparaten in het netwerk die er niet in thuishoren? We richten nu de tooling in, zodat we dagelijks kunnen zien wat er gebeurt. Mijn onderbuikgevoel zegt dat we nu veiliger zijn, maar liever zie ik het op mijn scherm. Begin januari starten we samen met Cloudlife aan een manier om notificaties te krijgen van waar actie vereist is in het netwerk, waarna we die ook kunnen nemen.”

Extra tools

Inmiddels staat multifactorauthenticatie (MFA) aan voor leerlingen en docenten, de admins zijn beter beveiligd en er is een andere manier om in te loggen. In plaats van een wachtwoord kunnen gebruikers met een biometrisch gegeven inloggen. Ook zijn medewerkers door A5 beter beschermd tegen potentieel gevaarlijke cloudapps.

Daarbij heeft Quadraam nog extra tooling aangeschaft. AvePoint Policies and Insights biedt een extra schil boven de A5 security setup, waardoor de beveiliging makkelijker in te richten en te managen is. Nieuw is ook de implementatie van AvePoint Backup. In aanvulling op de standaard backup in de cloud, biedt AvePoint meer mogelijkheden om data terug te halen. In december voltooide Quadraam de installatie en configuratie van AvePoint. Daarmee voldoet de scholengroep al aan de eis in het Normenkader, dat data ook op een externe plek moet worden opgeslagen. Scholen hoeven daar pas in 2027 aan te voldoen.

Normenkader

Met de keuze voor A5 is Quadraam beter voorbereid op de eisen in het Normenkader. Met de nulmeting van het Normenkader heeft de scholengroep in november 2023 een start gemaakt. Hiermee brengen we de totale ICT-organisatie in kaart. De nulmeting geeft aan of je de ‘basis op orde’ hebt en welke actiepunten er nog zijn. In 2027 moet iedere school voldoen aan de vereisten van het Normenkader.

Waar security de afgelopen en aankomende tijd bovenaan staat, is het ook onderdeel van een complete technische roadmap die Quadraam heeft opgesteld. Daarin staat ook het afbouwen van de oude netwerkomgeving en de overstap naar de Microsoft Azure Cloud, inclusief standaardisatie voor werkplekken en het virtualiseren van alle externe services, zoals printservices en telefooncentrales in de cloud. “Aan de eindgebruikerskant kunnen we nog veel verbeteringen aanbrengen als het gaat om standaardisatie van werkplekken en externe support.”

Adviesfunctie van SLBdiensten

Gerard is zeer tevreden over de samenwerking met SLBdiensten. “Wat ik zoek bij een externe leverancier is dat ze mij op de hoogte houden van nieuwe ontwikkelingen. Bijvoorbeeld via de recente kennissessie over AI die we van ze hebben gehad. Er gebeurt zoveel; dat kun je onmogelijk zelf allemaal bijhouden. Ik wil dat ze nieuwe ideeën aanreiken, niet alleen in de vorm van een commercieel verkooppraatje, ik wil informeel kunnen bijpraten over de ICT bij Quadraam. Daarbij komt dat ze een onafhankelijke partij zijn. Ze adviseren wel, maar nooit met een voorkeur voor een leverancier of IT-partner. Bovendien adviseren ze niet met het idee dat het geld moet opleveren, maar om het onderwijs beter te maken. Door uit te leggen waarom security zo belangrijk is, hebben we het management meegekregen. Als de samenwerking en het wederzijds vertrouwen er zijn, komt die verkoop uiteindelijk vanzelf.”

Toekomstvisioen

Gerards beeld voor de toekomst is duidelijk: “In 2024 wil ik in mijn werkkamer een scherm waarop ik in realtime de infrastructuur kan zien. Als ik bezoek heb, wil ik ze direct laten zien hoe het ervoor staat in het netwerk, zonder het technisch te maken. Dat geeft vertrouwen. We baseren alles op het zero trust model van Microsoft: we vertrouwen niets of niemand tot we hebben bewezen dat het goed is. Af is het nooit: de wereld verandert zo snel, dat volgende gevaren alweer op de loer liggen.”