- Tips
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
11 basismaatregelen om je informatiebeveiliging te verhogen
Bescherm je school tegen cyberaanvallen en verhoog de informatiebeveiliging met deze 11 basismaatregelen. Zo zet je eerste concrete stappen om jouw school digitaal veiliger te maken. Elk van deze maatregelen vermindert hoge veiligheidsrisico’s en de kans op digitale incidenten. Ze gelden zowel voor je eigen systemen als voor systemen van leveranciers.

Door de redactie

Achtergrond
Met deze basismaatregelen werk je aan een aantal normen uit het Normenkader IBP. Welke normen dit zijn, zie je bij elke maatregel terug. Let op: je voldoet met het nemen van de basismaatregelen nog niet aan de hele norm. De basismaatregelen zijn deels gebaseerd op publicaties van het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center. De maatregelen worden aangeraden door het programma Digitaal Veilig Onderwijs.
Relatie met het Normenkader IBP en Groeipad
Heb je nog niet gewerkt aan de digitale veiligheid in jouw school en is het Normenkader IBP nieuw voor jou? Dan kun je met deze basismaatregelen de eerste concrete stappen zetten om jouw school digitaal veiliger te maken. Wil je op een planmatige manier aan de slag met het Normenkader IBP en weet niet waar je het beste kunt beginnen? Gebruik dan het Groeipad.
1. Breng je applicaties en omgevingen in kaart
Door applicaties en omgevingen in kaart te brengen – zeker die waar persoonsgegevens in staan – krijg je meer grip op je digitale schoolomgeving. Wijs daarnaast intern en extern verantwoordelijke personen aan en richt een proces in voor ‘als het fout gaat’. De volgende deelprojecten van het Normenkader IBP kunnen je helpen met het nemen van deze basismaatregel:
- Deelproject 1.6 Overzicht creëren van systemen en hardware. In dit deelproject ga je aan de slag met het in kaart brengen van applicaties en omgevingen.
- Deelproject 2.10 Waarborgen van bedrijfscontinuïteit. In dit deelproject sorteer je voor op ongewenste gebeurtenissen zoals ransomware of DDoS-aanvallen en zorg je dat kritische processen binnen je school zo snel mogelijk weer doorgang kunnen vinden.
- Deelproject 2.9 Managen van leveranciersrisico’s. Besteed je de verwerking van persoonsgegevens uit aan een derde partij? Dan is het belangrijk aandacht te besteden aan het managen van leveranciersrisico’s. Denk ook aan veilige inkoop van clouddiensten.
2. Maak afspraken met leveranciers
Binnen het onderwijs worden IT-diensten veel uitbesteed en wordt regelmatig samengewerkt met leveranciers en externe partijen. Het is belangrijk dat je dit zorgvuldig doet om zo de kans op incidenten te verkleinen. Leveranciersmanagement helpt scholen bij het maken van heldere afspraken van leveranciers en daarmee het beheersen van risico’s en kosten en het waarborgen van kwaliteit.
- Deelproject 2.9 Managen van leveranciersrisico’s. In dit deelproject ga je aan de slag met het beheersen van de risico’s die gepaard gaan met uitbesteding.
- Deelproject 2.8 Verantwoord uitwisselen van persoonsgegevens. Besteed je de verwerking van persoonsgegevens uit aan een derde partij? Dan moet je bepaalde waarborgen inrichten.
3. Richt risicomanagement in
Informatiebeveiliging is altijd een afweging van de kansen op en de impact van risico’s, de kosten van maatregelen, je beschikbare middelen en praktische toepasbaarheid binnen de school. Het is daarom belangrijk om te inventariseren welke risico’s je loopt en te kiezen hoe je daarmee om wil gaan, zodat je daarna de juiste passende maatregelen kunt nemen.
- Deelproject 2.2 Beheersen van risico’s. In dit deelproject ga je aan de slag met het inrichten van risicomanagement.
4. Bepaal wie toegang heeft tot je data en diensten
Bepaal wie toegang heeft tot je data en diensten en leg uit waarom personen toegang moeten hebben.
- Bepaal wie toegang heeft tot je data en diensten (NCSC). Geef medewerkers alleen toegang tot informatie, systemen en locaties die nodig zijn voor het uitvoeren van hun taak.
- Beleid logisch toegangsbeveiliging (IBD). Deze handreiking voor gemeenten beschrijft beleid voor logische toegangsbeveiligingen en biedt voorbeelddocumenten voor hoe je dit beleid uitvoert.
- Toegangsbeleid (IBD). Deze handreiking voor gemeenten benoemt aandachtspunten voor toegangsbeleid, gebaseerd op praktijkvoorbeelden.
5. Beperk het aanvalsoppervlak
De meeste software, computer- en netwerkapparatuur bevatten meer functionaliteiten dan een organisatie nodig heeft. Dit maakt je onnodig kwetsbaar en maakt de kans groter dat je bijvoorbeeld wordt gehackt. Om het zogeheten aanvalsoppervlak te beperken kun je maatregelen nemen zoals hardening en segmentering.
- Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline. In dit deelproject ga je aan de slag met een securitybaseline, waar technische maatregelen zoals hardening en segmentering onderdeel van uitmaken.
- Hardening
- Netwerksegmentering (IBD). Dit is het opknippen van het totale netwerk in kleinere segmenten, met tussen de segmenten een beveiligd koppelvlak. Hackers die zich in een netwerksegment bevinden hebben dan niet ongehinderd toegang tot andere delen van het netwerk.
6. Versleutel je data
Zorg dat je apparaten, zoals laptops, mobiele telefoons en usb-sticks, waar bedrijfsinformatie of gegevens van leerlingen, ouders of medewerkers op staan versleuteld zijn. Zo is deze data onbruikbaar als een apparaat wordt gehackt of gestolen.
- Mobiele gegevensdragers (IBD): mobiele gegevensdragers worden gebruikt voor het transport van informatie. De vormen van mobiele gegevensdragers nemen toe en daarmee ook de kans op verlies van gegevens. Daarnaast kunnen mobiele media ook een bron zijn van ongewenste software zoals virussen. Deze handreiking voor gemeenten gaat hierop in.
- Gebruik versleuteling (NCSC): het versleutelen van informatie maakt data onbruikbaar als deze in handen van aanvallers valt. Door de versleuteling is de data alleen in te zien wanneer je de sleutel hebt.
7. Maak back-ups
Bescherm je organisatie tegen het verlies van gegevens door regelmatig back-ups te maken en te testen.
- Deelproject 2.11 Back-up en herstel van gegevens. In dit deelproject ga je aan de slag met het inrichten van je back-ups, zodat je wanneer nodig data kunt terugzetten of terughalen.
8. Gebruik antivirus-software
Bescherm je organisatie tegen virussen en andere malware door het gebruik van antivirus-software. Hiermee kun je apparaten scannen op aanwezigheid van kwaadaardige software.
- Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline. In dit deelproject ga je aan de slag met een securitybaseline, waar maatregelen zoals gebruik van anti
–virus-software deel van uitmaken. - Voorkom virussen en andere malware (Digital Trust Center): stimuleer veilig gedrag bij leerlingen en medewerkers; gebruik een antivirusprogramma; installeer apps bewust en beperk de installatiemogelijkheden van software.
9. Pas multifactorauthenticatie toe
Door multifactorauthenticatie toe te passen op kritieke systemen voorkom je dat een aanvaller toegang krijgt tot een account door het wachtwoord te raden of op een andere manier te achterhalen.
- Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline: In dit deelproject ga je aan de slag met een securitybaseline, waar technische maatregelen zoals multifactorauthenticatie onderdeel van uitmaken.
- Pas sterke authenticatie toe (NCSC): Authenticatie
- Tweefactorauthenticatie (2FA) voor gemeenten (IBD): 2FA is een identiteits- en toegangsbeveiligingsmethode die twee vormen van identificatie vereist om toegang te krijgen tot bronnen en gegevens. 2FA wordt vaak gebruikt als een extra beveiliging voor online accounts om onbevoegde toegang te voorkomen.
10. Centraliseer en analyseer loginformatie
Logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door logbestanden te centraliseren en analyseren heb je tijdig de juiste en voldoende informatie om incidenten af te handelen.
- Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline. In dit deelproject ga je aan de slag met een securitybaseline, waar technische maatregelen zoals logging onderdeel van uitmaken.
- Basisprincipe 3: Bescherm systemen, applicaties en apparaten (NCSC). Om detectie goed in te richten zijn logbestanden noodzakelijk. Daarnaast moeten de logbestanden ook kunnen worden uitgelezen en gemonitord.
11. Installeer updates
Zorg dat je updates tijdig en op een gestructureerde manier installeert. Zo voorkom je dat bekende kwetsbaarheden van systemen gebruikt kunnen worden door aanvallers om toegang tot je IT-infrastructuur te krijgen.
- Deelproject 2.5 Patchmanagement inrichten. Door een patchmanagementproces in te richten, zorg je dat er een proces is om updates voor je software te identificeren, te testen en te installeren.