security header

Security - Beveiliging & Beleid

Op deze thema-pagina voorzien wij u van informatie en de juiste tools, die u helpen de beveiliging op uw instelling te verbeteren.

Beveiliging - of security - is een breed begrip dat vanuit vele invalshoeken belicht kan worden. Daarom vindt u hier bijvoorbeeld:

  • Informatie en handvatten die kunt gebruiken als u aan de slag wilt gaan met het ontwikkelen van beveiligingsbeleid
  • Een speciaal onderwijsaanbod aan security-checks, dat u helpt de knelpunten en lacunes in uw ICT-netwerk bloot te leggen. Denk hierbij aan Ethical Hacking-sessies en (gratis) Security Scans
  • Informatie met betrekking tot de wet Meldplicht Datalekken, die sinds 1 januari 2016 actief is.
  • Een kennisbank vol referentiecases en white papers over beveiligings-vraagstukken en –oplossingen, bijvoorbeeld: 
    - Hoe is het ROC A12 omgegaan met DDoS-aanvallen?
    - Wat zijn de nieuwste Security-trends?

De laatste tijd merken wij dat er vanuit het onderwijs meer belangstelling komt voor beveiliging (security). Die toenemende belangstelling is niet vreemd, gezien...

  • ...de mate waarin ICT inmiddels verweven is met het primaire proces van een onderwijsinstelling
  • ...de toename van beveiligingsgerelateerde incidenten; DDoS-aanvallen zijn aan de orde van de dag
  • ...de onlangs aangenomen wet- en regelgeving omtrent de bescherming van persoonsgegevens, waar scholen ‘iets mee moeten’. 

Beveiligingsbeleid

De basis

Technologische ontwikkelingen, het nieuwe werken en nieuwe wet- en regelgeving ervoor dat er steeds strengere en andere eisen worden gesteld aan de beveiliging van uw netwerk. Daar zijn u en uw collega’s op de ICT-afdeling ongetwijfeld van doordrongen, maar vaak is het lastig om beleids- en beslissingsmakers mee te krijgen. Begin daarom met een goede basis, voordat je met branche- en organisatiespecifieke beveiligingsmaatregelen aan de slag gaat.

Wilt u aan de slag met het ontwikkelen van een beveiligingsbeleid?

  • Stem dan de beveiligingsmaatregelen af met de organisatiedoelen. Een goede beveiligingsbasis begint bij het bedenken hoe de beveiligingsstrategie de doelen van de organisatie kan ondersteunen in plaats van dwarsbomen. Draagvlak voor de strategie is hier enorm belangrijk. Een firewall kan bijvoorbeeld heel netjes alle hackers buiten de deur houden en al het dataverkeer intensief scannen. Maar wat als daardoor bijvoorbeeld de netwerksnelheid buiten proporties daalt en een onwerkbare situatie ontstaat? Concessies aan informatiebeveiliging zijn best bespreekbaar, als die ten goede komen van de productiviteit, flexibiliteit of werkbaarheid. 
  • Zorg voor een solide beveiligingsmanagement. De IT-afdeling moet continu bewaken dat de beveiliging in dienst staat van de organisatie en niet andersom. Maar ook het hogere management moet inzien dat de beveiliging onderdeel uitmaakt van een langetermijnstrategie en een cyclus van continue verbeteringen. Hiervoor is het cruciaal alle technologie te updaten, maar ook de blik op de gebruikerservaring is belangrijk en tenslotte is testen één van de meest kritieke onderdelen van een succesvol beveiligingsbeheer. 
  • Vergroot de bewustwording bij het personeel. Een thema waarover nagedacht moet worden voordat er beslissingen genomen worden over technische oplossingen, is het gedrag van mensen. U kunt een hoop techniek inzetten om uw beveiliging te optimaliseren, maar de menselijke factor is een essentieel onderdeel van het beveiligingsbeleid. De term 'security awareness' wordt hiervoor vaak gebruikt: als mensen zich bewuster zijn van de meest voorkomende gevaren en valkuilen bij het dagelijks gebruik van internet, dan is de eerste stap gezet voor het voorkomen van misbruik. Het creëren van awareness kunt u op verschillende manieren aanpakken. Leverancier Beveiligmij.nl is gespecialiseerd in bewustwordingstrainingen en e-learning trajecten over dit onderwerp. Wij zijn in onderhandeling met deze leverancier voor een passend aanbod voor het onderwijs. Wij houden u hiervan op de hoogte.

Wat wilt u beschermen?

Dé vraag waar het bij het ontwikkelen van beveiligingsbeleid om draait is: ‘Wat wil ik beschermen en wat is het mij waard?’ In een onderwijs-setting is het belangrijk dat er in ieder geval nagedacht wordt over de volgende beveiligingsgebieden:

  • Datalekken: de bescherming van persoonsgegevens
  • Social media-beveiliging: o.a. cyberpesten
  • Beveiliging tegen Hacking en DDoS-aanvallen
  • Daarnaast is het belangrijk dat er nagedacht wordt over de aanpak die gehanteerd wordt op het moment dat het mis gaat. 

In 5 stappen naar beveiligingsbeleid

  1. Verzamel de juiste personen. Er moet niet alleen nagedacht worden over de juiste ICT-oplossingen voor uw organisatie, maar ook het gedrag van collega’s en leerlingen: welke mate van ‘bewustwording’ hebben zij al en moet dit niveau verhoogd worden? Een communicatieadviseur kan hier over meedenken. Daarnaast moet er ingespeeld worden op juridische vraagstukken en moet het pakket aan oplossingen in een bepaald kostenplaatje vallen. Een financieel- en juridisch specialist moeten daarom zeker ook deel uitmaken van een dergelijke werkgroep.
  2. Bepaal de kwetsbaarheden, bijvoorbeeld door het laten uitvoeren van een security-test (ESET).
  3. Bepaal wat u wilt beschermen.
  4. Bepaal wat deze bescherming u waard is.
  5. Stel een beveiligingsbeleid op (leverancier Dearbytes kan u hiermee helpen, neem daarvoor contact op met onze Servicedesk)

Speciaal onderwijsaanbod security checks

Bepaal de zwakke plekken in uw netwerk

Wilt u weten waar de zwakke plekken in uw netwerk zitten en wilt u het securitybeleid van de instelling eens flink onder de loep laten nemen? Wij hebben speciale onderwijsafspraken gemaakt met leverancier ESET voor het afnemen van een security check of –scan. Na afloop van zo’n korte check of een meer uitvoerige scan, ontvangt u een rapport met de bevindingen en aanwijsbare risico’s, op het gebied van:

  • De status van uw Wifi-security
  • Het patch-niveau van uw omgeving en systemen
  • De mate van security awareness van het personeel
  • Het risico op datalekken.

Ook krijgt u advies over de vervolgstappen die gezet kunnen worden op het gebied van beveiligingsbeleid en het minimaliseren van de veiligheidsrisico’s.

  • Security Check: gratis
  • Security Scan: € 1.000 - € 1.500, afhankelijk van het aantal nodes
  • Security Scan Advanced: € 2.500,=.

Met leverancier DearBytes hebben wij afspraken gemaakt voor het afnemen van een pentest en vulnerabilitytest met extra korting voor onderwijsinstellingen. Prijzen zijn op aanvraag aangezien deze afhankelijk is van de scope, het aantal dagen dat het testen in beslag zal nemen.

Heeft u interesse in de mogelijkheden, neem dan contact op met onze Servicedesk voor meer informatie of het inplannen van een afspraak.

DDoS-aanvallen afwenden

Het afgelopen schooljaar waren DDoS-aanvallen op scholen een aantal keer in het nieuws. Een instelling die bewust de publiciteit zocht toen zij te maken had met deze aanvallen, was ROC A12. Dit deed ROC A12 omdat het andere onderwijsinstellingen wilde wijzen op het gevaar van een dergelijke aanval, waarbij het hele wifi-netwerk simpel platgelegd kan worden. Naar aanleiding daarvan merkten wij ook dat er meer vragen over dit onderwerp bij onze Servicedesk binnen kwamen over de maatregelen die instellingen hiertegen kunnen nemen. Leverancier Flowmon heeft een nieuwe oplossing voor de Nederlandse onderwijsmarkt. 

Meer weten over de DDoS-aanvallen op ROC A12? Lees het blog van Pieter Oosterhof over de DDoS-aanval op ROC A12.

Wet Meldplicht Datalekken: wat zijn de gevolgen?

Per 1 januari 2016 is de Wet Meldplicht Datalekken actief. Deze meldplicht houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) zodra zij een ernstig datalek hebben. Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken volgens de Wet ‘passende technische en organisatorische maatregelen’ nemen.

De verantwoordelijkheid voor de bescherming van persoonsgegevens ligt in vervolg dus bij de organisatie de data verzamelt. Omdat een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker als datalekken wordt aangemerkt, is het duidelijk dat hier serieuze maatregelen getroffen moeten worden op het gebied van beveiliging én beleid.

Beveiliging en beleid

De Wet Bescherming Persoonsgegevens eist van organisaties dat zij ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen. Wat u hier precies hieronder moet verstaan, leest u in de ‘Richtsnoeren beveiliging persoonsgegevens’ uitgegeven door de Autoriteit Persoonsgegevens.

Uitgangspunt bij de te nemen maatregelen die de overheid van u verwacht is dat er beredeneerd te werk gegaan wordt, volgens de zogenaamde plan-do-check-act-cyclus: beoordeel de risico’s vooraf en tref aan de hand daarvan de beveiligingsmaatregelen, op basis van algemeen geaccepteerde beveiligingsstandaarden.

Gedrag en techniek gaan hierbij hand in hand. U kunt gebruik maken van de beste encryptie-technologie voor persoonsgegevens die er bestaat, maar als uw collega zijn wachtwoord op een post-it aan zijn beeldscherm heeft hangen, heeft dit weinig zin. Het devies is daarom: beleid maken!

Oplossingen in ons assortiment

Triangle Solutions

Triangle Solutions levert VDSS, een gebruiksvriendelijk hulpmiddel dat u controle geeft over belangrijke gegevens. VDSS-EDU is speciaal ontwikkeld met het oog op onderwijsrisico's, zoals fraude met cijferlijsten of toetsen. De software volgt en rapporteert 24/7 alle activiteiten met betrekking tot essentiële bestanden en geeft realtime waarschuwingen (sms, e-mail) aan beheerders en/of directie bij inbraak op essentiële bestanden of pogingen daartoe.

Kaspersky

Kaspersky levert Endpoint Security For Business – Advanced. Kaspersky voegt hier gegevensbescherming toe in de vorm van encryptie van afzonderlijke bestanden of full disks bovenop niveau Select. In een ander nieuw aanbod, Kaspersky Systems Management, wordt beveiliging gecombineerd met IT-efficiëntie. Met deze uitgebreide functionaliteit ontvangen beheerders essentiële tools om het volgende te doen:

  • Images maken en opslaan en systemen op afstand implementeren.
  • De afhandeling van hardware- en softwarerisico's prioriteren met een krachtige combinatie van Advanced Vulnerability Scanning en intelligent Patch Management.
  • Het licentiegebruik en de compliance controleren met beheer van softwarelicenties.
  • Met Network Admission Control een toegangsbeleid voor gegevens en de infrastructuur instellen voor gebruikers en gasten.
  • Op afstand updates en nieuwe software voor gebruikers implementeren en installeren via de centrale console.

Sophos

Sophos SafeGuard biedt ook encryptiemogelijkheden. 

Symantec

Symantec biedt Endpoint Encryption, Gateway Email Encryption en Desktop Email Encryption. Daarnaast beschermt u al uw data met Symantec Data Loss Prevention Suite.

McAfee

McAfee Complete Data Protection biedt:

  • Drive-encryptie
  • Bestands- & removable media-bescherming
  • ePO Deep Command.

Kennisbank: referentiecases en whitepapers

Verbreed en verbeter uw kennis, leer van anderen en laat u inspireren: hoe pakken andere scholen dit aan? Waar liepen zij tegenaan? Wat zijn aanraders?