Eén punt groeien in volwassenheid kost al gauw enkele jaren.
“Op niveau 3 heb je je informatiebeveiliging onder controle”
Sectorbreed zijn in het onderwijs afspraken gemaakt over informatiebeveiliging. Het niveau ervan drukken we met elkaar uit in ‘volwassenheid’. Op een schaal van 1 (ad-hoc) tot 5 (geoptimaliseerd) is het gemiddelde cijfer binnen de onderwijs- en onderzoeksector momenteel een 2.3. Bestuurlijk commitment is cruciaal om vooruit te komen.
Om te groeien naar een gemiddeld niveau van 3.0 moeten we nog flinke stappen zetten. Zoiets doe je niet even. Wat we ons voor ogen mogen houden is dat het niveau 3.0 behalen een afspraak is, maar geen doel op zich. Het is ook een indicator die laat zien waar we groeien en waar mogelijk ondersteuning nodig is.
Om de volwassenheid in informatiebeveiliging te testen, laten instellingen in het mbo, hbo en wo audits uitvoeren. Daarbij geldt, één punt groeien kost al gauw enkele jaren. Vergelijk maar eens twee opvolgende niveaus. Op toetsingsniveau 2 geldt dat beheersmaatregelen bestaan en op een gestructureerde en consistente, maar informele manier, worden uitgevoerd. Op niveau 3 zijn al deze maatregelen gedocumenteerd en op een structurele en formele manier worden uitgevoerd op een manier die bovendien aantoonbaar, getest en effectief is (bron: SURFaudit Toetsingskader Informatiebeveiliging). Dat zijn grote stappen.
Alle lagen van de organisatie
Instellingen die het is gelukt om grote vooruitgang te boeken, hebben het onderwerp allemaal prominent op de bestuurlijke agenda staan. Zij hebben teams in positie gebracht en zijn zich bewust van de continue aandacht die het onderwerp vereist, omdat informatiebeveiliging onderhevig blijft aan verandering.
De Universiteit Twente (UT) is een van de hoogst scorende instellingen. Machteld Roos, bestuurder bij deze universiteit, legt uit hoe zij het aanpakken. “Besluitvorming over informatieveiligheid vindt plaats op tactisch én strategisch niveau. Bij elke maatregel kijken we goed naar de uitwerking en we betrekken hierbij alle lagen van de organisatie.” Dat doet de UT volgens een gestroomlijnde aanpak die langs de volgende vijf punten wordt uitgevoerd: beleid, verantwoordelijkheden, awareness, training en risicobeheer.
Zichtbare steun van het bestuur
“We hebben een gedetailleerd informatieveiligheidsbeleid in place, met doelstellingen en richtlijnen”, gaat Roos verder. "Dat ligt allemaal vast en wordt periodiek geüpdatet. Hiervoor is een cyclus ingericht: plan, do, check, act. Het is de proceskant, de papieren kant.” Aan de andere kant is er veel aandacht voor awareness. Zo heeft de universiteit de awareness-training verplicht gesteld voor álle medewerkers, inclusief het bestuur. Dit draagt bij aan de effectiviteit van maatregelen.
“Natuurlijk vindt iedere bestuurder dit onderwerp belangrijk, maar dat moet je wel zichtbaar maken.”
Hetzelfde geldt voor zichtbaar maken dat je het onderwerp als bestuur belangrijk vindt, aldus Roos. Bijvoorbeeld door zichtbare bestuurlijke steun aan de CISO, verantwoordelijke voor het informatieveiligheidsbeleid, de voortgang en het toezicht daarop. De CISO heeft bij de UT een directe lijn met het bestuur en komt ook aan tafel in bestuursvergaderingen. “Natuurlijk vindt iedere bestuurder dit onderwerp belangrijk, maar als je dat niet zichtbaar maakt, is het veel moeilijker om de hele organisatie mee te krijgen.”
Traject van jaren
Ook bestuurder Trudy Vos van ROC van Twente benadrukt hoe belangrijk ‘bestuurlijk commitment’ is. “Wanneer cyberveiligheid op de bestuurlijke agenda staat, helpt dat de organisatie om het serieus op te pakken.” Hoe ziet dat er in de praktijk uit? ROC van Twente heeft na jarenlange versplintering van ict-teams door de hele organisatie een aparte dienst gemaakt van dit vakgebied: Educatieve Technologie & ICT. “De dienst staat onder leiding van een deskundige en toegewijde directeur. Dat is een hele grote stap geweest, en ik ben er trots op dat we die hebben genomen”, stelt Vos. “Ook hebben we de functies Functionaris Gegevensbescherming, Security Officer, Privacy Officer geprofessionaliseerd en zit er binnen het ict-team een specifiek toegewijde Security Specialist.”
“Je bent nooit klaar als het gaat om informatiebeveiliging. Het denken op dit vlak mag daarom nooit stoppen.”
“In de stap van niveau 2 naar 3 is een van de eisen dat processen goed beschreven en vastgelegd zijn. Dat is relatief simpel te doen”, zegt Vos. “Maar er zijn soms ook systeeminterventies nodig om bepaalde stappen te kunnen zetten.” Zo is haar ROC nu bijvoorbeeld bezig met een kernregistratiesysteem, waarin ook een studentvolgsysteem is verwerkt en waarop administratiesystemen worden aangesloten. “Daar komt zoveel bij kijken. Echt een traject van jaren.”
Steeds weer nieuwe dreigingsbeelden
“We zitten als ROC van Twente nog niet op niveau 3. En zodra we daar wel zijn, is het nog steeds niet klaar”, benadrukt Vos. “Je bent namelijk nooit klaar als het gaat om informatiebeveiliging. Het denken op dit vlak mag daarom nooit stoppen,” Een conclusie die collega-bestuurder Roos van de UT onderstreept. “Want”, zo stelt Roos, “de regels en normen voor niveau 3, maar eigenlijk voor elk niveau, worden steeds strenger. Dit omdat de wereld continu verandert.”
Ook Roeland Reijers, Chief Information Security Officer (CISO) van de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA), benadrukt dat informatiebeveiliging een dynamisch proces is waarmee je nooit klaar bent. “Denk aan technische ontwikkelingen, zoals AI en quantum computing, maar ook nieuwe wetgeving. En niet in de laatste plaats de veranderende tegenstanders en steeds weer nieuwe dreigingsbeelden. Allemaal ontwikkelingen die we in de gaten moeten houden en waarop we moeten inspelen met nieuwe maatregelen of het aanscherpen van bestaande maatregelen.”
Kwestie van risicomanagement
“Als je als onderwijsinstelling wilt digitaliseren, moet je security en privacy serieus nemen,” zegt Reijers. “Je gaat vandaag de dag ook geen Formule 1 rijden met een Aston Martin uit 1950. Het is een kwestie van risicomanagement.” Informatiebeveiliging serieus nemen betekent voor hem dat een faculteit op volwassenheidsniveau 3 van informatiebeveiliging moet zitten. “Dan ben je in control, heb je dingen gedocumenteerd en kun je zaken overdragen.”
Voor Reijers betekent dit dat hij voor zowel de UvA als de HvA twee keer per jaar een eigen strategisch/tactisch dreigingsbeeld opstelt. Als input hiervoor gebruikt hij onder meer het jaarlijkse cyberdreigingsbeeld van SURF en dat van het Nationaal Cyber Security Center (NCSC), maar ook trends en incidenten die in het nieuws zijn geweest of hebben plaatsgevonden bij de eigen instellingen. “Om zo iets meer snelheid in de prioritering qua actiepunten te kunnen krijgen”, legt Reijers uit. “De instellingsspecifieke dreigingsbeelden helpen bovendien in de onderbouwing van beleid naar de organisatie en het bestuur toe en in het creëren van awareness binnen de gehele organisatie. Wanneer je aan kunt geven dat je maatregelen treft om de risico’s van onderwijs en onderzoek te mitigeren, snappen je collega’s ook dat deze maatregelen nodig zijn.”
Samenwerken én zelf aan de bak
Met betrekking tot de haalbaarheid van de ambitie om als sector te groeien naar een volwassenheidsniveau 3 in informatiebeveiliging, benadrukken de drie bestuurders hoe belangrijk het is om samen te werken. Ze wijzen collega’s dan ook op de relevante kennis die binnen SURF en MBO Digitaal aanwezig is. “Maak daar gebruik van”, luidt het gezamenlijke advies. “Maar”, waarschuwt Vos, “je moet hier als instelling wel echt zelf mee aan de bak. Dit onderwerp is te belangrijk om aan anderen over te laten.”
“We voelen een verantwoordelijkheid voor de gehele onderwijssector.”
De instellingen die in dit artikel worden genoemd zijn allemaal relatief groot. Dat kan een voordeel zijn bij het samenstellen van toegewijde teams. Toch is het ook voor kleinere instellingen belangrijk dat zij hun weg vinden binnen informatiebeveiliging en het gewenste niveau van volwassenheid. “Vorm een coalitie met andere instellingen”, luidt het advies van Vos. “Zoek de samenwerking op. De ruimte daarvoor is er.”
“Wij delen als UT sowieso veel kennis”, vult Roos aan. “Andere instellingen vragen ons hoe wij iets aanpakken en of ze bij ons mogen komen kijken. Of ze vragen of wij iets willen komen vertellen. Aan de andere kant leren wij weer van die andere instellingen. Het is echt wederzijds: bijblijven en leren.” “Ik voel me als CISO niet alleen verantwoordelijk voor de veiligheid van mijn instellingen”, sluit Reijers af. "Samen met mijn collega-CISO’s voel ik ook een verantwoordelijkheid voor de gehele onderwijssector.”
Tekst: Sandra Kagie en Maureen van Althuis
Over de SURFaudit-benchmark informatiebeveiliging
In 2023 nam een recordaantal van 103 instellingen deel aan de jaarlijkse SURFaudit-benchmark: 14 universiteiten, 34 hogescholen en 55 mbo-instellingen. De gemiddelde score van alle deelnemers aan deze benchmark komt uit op een volwassenheidsniveau van 2.3 (op een vijfpuntschaal). Dit cijfer is gebaseerd op de externe audits die de universiteiten en (de meeste) hogescholen lieten uitvoeren en op de self-assessments van de mbo-instellingen . Gezien het belang van uniforme externe toetsing, laten mbo's nu ook externe audits uitvoeren.
“Op niveau 3 heb je je informatiebeveiliging onder controle” is een artikel van SURF Magazine.
Terug naar SURF Magazine
Vragen naar aanleiding van dit artikel? Mail naar magazine@surf.nl.