Deel 2 van 3 in een serie over informatiebeveiliging en privacybescherming binnen het hoger onderwijs. Naar deel 1.

Informatiestromen zijn, net als persoonsgegevens, niet weg te denken binnen het hoger onderwijs. Alle data die binnen de organisatie gebruikt wordt, moet op een goede manier beschikbaar en beveiligd zijn. U wilt uiteraard voorkomen dat gevoelige informatie in verkeerde handen valt of verloren gaat.

Als security officer in een hoger onderwijsorganisatie betekent dit een veelheid aan activiteiten bij het inrichten en controleren van de beveiliging alsook het afhandelen van vele dreigingen en mogelijke incidenten.

Daarnaast is er een toenemende druk om hierover verantwoording af te leggen; informatiebeveiliging is een hot topic in het hoger onderwijs na de ransomware-aanvallen en datalekken die in de afgelopen jaren plaats hebben gevonden.

In deze specialistische, kennisintensieve en omvangrijke taak die onmiskenbaar een bepaalde hectiek met zich meebrengt, is het van groot belang om alle activiteiten en ontwikkelingen overzichtelijk en gestructureerd bij te houden.

Om hierop grip te krijgen is een Information Security Management System, afgekort ISMS, essentieel. Hiermee kunt u de informatiebeveiliging in een omvangrijk IT landschap, zoals dat binnen het hoger onderwijs, beter aansturen en controleren. Daarnaast is een ISMS effectief om aan normenkaders zoals de SURFaudit, IBHO of een ISO 27001 te voldoen.

Hoe zet je een Information Security Management Systeem (ISMS) op?

Een ISMS wordt aan de hand van een aantal stappen opgezet, namelijk:

1. Bepaal de belanghebbenden

Wanneer u begint met het opzetten van een information security management system is het belangrijk dat u eerst de belanghebbenden goed voor ogen hebt.

Binnen het hoger onderwijs kunt u de personen of groepen die er belang in stellen hoe de informatiebeveiliging geregeld is in verschillende categorieën indelen.

  • College van Bestuur (CvB), inclusief portefeuillehouder informatiebeveiliging / privacybescherming
  • CISO en Security team (inclusief security officer, interne auditor, adviseurs etc.)
  • IT beheerders / systeemeigenaren
  • Medewerkers
  • Onderzoekers
  • Studenten
  • Leveranciers en partners
  • Overheid en maatschappij

Zodra u de belanghebbenden heeft bepaald gaat u na welke eisen en verwachtingen deze groepen hebben ten aanzien van de informatiebeveiliging. Dit vormt een belangrijke bron voor het opstellen van het beleid.

2. Stel uitgangspunten voor het beleid op

Nadat de belanghebbenden en hun eisen en verwachtingen duidelijk zijn, gaat u door naar de uitgangspunten voor het beleid. Dit is een belangrijke stap bij het opstellen van het ISMS en u moet ervoor zorgen dat er altijd een handboek ligt waar betrokkenen mee kunnen werken.

Hiervoor kunt u gebruik maken van het SURFaudit normenkader voor informatiebeveiliging. Dit normenkader bestaat uit normen gegroepeerd in 6 clusters, namelijk:

  1. Beleid en organisatie
  2. Personeel, studenten en gasten
  3. Ruimten en apparatuur
  4. Continuïteit
  5. Vertrouwelijkheid en integriteit
  6. Controle en logging

3. Bepaal rollen en verantwoordelijkheden

Binnen de onderwijsorganisatie moet voor een ieder een rol en de daarbij behorende verantwoordelijkheden worden bepaald met betrekking tot informatiebeveiliging.

Verder kunt u bijvoorbeeld te maken hebben met een decentrale organisatie, waarin de security officers samenkomen. Daarnaast zullen er rollen zijn met betrekking tot de CISO, adviseur informatiebeveiliging, interne auditor, et cetera.

Belangrijk is om bij de rolbepaling onderscheid te maken tussen wie verantwoordelijk is en wie uitvoert. In enkele gevallen loopt dat in elkaar over.

Uitvoerend, bijvoorbeeld:

  • ICT-coördinator
  • Security Officer
  • Manager Informatiebeveiliging en Privacy (IBP)
  • Verantwoordelijke IBP
  • Informatiemanager
  • Privacy Officer
  • Functioneel beheerder
  • ICT-beheerder

Verantwoordelijk, bijvoorbeeld:

  • Faculteitsbestuur
  • College van Bestuur
  • Portefeuillehouder m.b.t. privacybescherming / informatiebeveiliging
  • CISO
  • Decaan

Controlerend, bijvoorbeeld:

  • Functionaris Gegevensbescherming (FG)
  • Interne auditor

U kunt er bijvoorbeeld voor kiezen speciale security officers die decentraal actief zijn aan te wijzen. Daarnaast kunnen er andere portefeuillehouders zijn, één of meerdere systeemeigenaren en leidinggevenden.

Bepaal per rol ook welke taken en verantwoordelijkheden hiermee gemoeid zijn.

4. Ga databronnen na: informatiesystemen en processen

De informatie die binnenkomt, komt altijd ergens vandaan. Bij hoger onderwijsinstellingen wordt data vaak decentraal verwerkt. U moet er daarom voor zorgen dat u duidelijk inzicht heeft in de databronnen, de informatiesystemen en de gehanteerde processen om de beveiliging van de data optimaal te hebben. Idealiter heeft u inzicht per dienst of organisatie.

Daarbij kunnen HORA processen (Hoger Onderwijs Referentie Architectuur) een goede oplossing zijn, zodat de volledige IT-architectuur duidelijk is. De HORA is een verzameling van instrumenten voor het inrichten van de organisatie en informatievoorziening van Nederlandse instellingen voor Hoger Onderwijs.

5. Loop leveranciers na en het belang t.a.v. informatiebeveiliging

Ook hoger onderwijsinstellingen hebben te maken met leveranciers en partners die toegang en inzage hebben tot (persoonlijke) gegevens. Hier moet rekening mee gehouden worden bij het opstellen van het ISMS.

U moet er voor zorgen dat u een goed beeld heeft van de leveranciers en partners en in veel gevallen daarbij zorgen voor een passende verwerkersovereenkomst. Zie ook deel 1 van deze blogserie.

Ten aanzien van de informatiebeveiliging voor leveranciers dient u daarnaast na te gaan of de leverancier passende beveiligingsmaatregelen heeft genomen. Denk hierbij aan geheimhouding, encryptie-maatregelen (zeker bij cloud leveranciers t.a.v. de website/applicatie), backup, verwijdering van gegevens na opzegging, et cetera.

In het beste geval is dit aantoonbaar middels een ISO 27001 certificering of soortgelijke certificeringen, bijvoorbeeld een ISO 27017/18 etc.. Vergeet hierbij niet om de Verklaring van Toepasselijkheid na te lopen op de punten die voor de betreffende dienstverlening aan uw organisatie relevant zijn.

6. Voer (regelmatig) een risicoanalyse uit

Een goed ISMS moet altijd onder toezicht staan om risico’s rondom informatiebeveiliging te minimaliseren. Het is daarom belangrijk dat er met enig regelmaat een risicoanalyse uitgevoerd wordt, maar (eventueel) ook na grote veranderingen en/of de implementatie van nieuwe systemen binnen de hoger onderwijsinstelling.

Hiervoor kan onder andere gebruik worden gemaakt van Business Impact Analyses (BIA). Bij een Business Impact Analyse wordt onderzoek gedaan naar de meest kritische bedrijfsprocessen, ICT-systemen en leveranciers.

Tijdens een Business Impact Analyse wordt er getoetst wat de zogenaamde BIV classificatie moet zijn. Hierbij staat BIV voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Vaak worden deze voor de BIA gescoord met 3 niveaus: hoog, midden en laag.

De belangrijkste punten van een risicoanalyse zijn:

  1. Maak afspraken over kans en impact voor de organisatie met betrekking tot risico’s;
  2. Stel de scope vast voor een risicoanalyse;
  3. Wijs een verantwoordelijke aan (op basis van de scope);
  4. Betrek betrokken/ervaringsdeskundige personen bij de analyse;
  5. Kies (indien gewenst) een geschikt dreigingsmodel;
  6. Identificeer risico’s voor relevante dreigingen en stel de kans en impact vast;
  7. Neem maatregelen voor de niet-acceptabele risico’s.

7. Stel een procedure incidenten op

Op het moment dat beveiligingsincidenten plaatsvinden, bijvoorbeeld door menselijke fouten of een gerichte aanval van buitenaf, is het goed om een gedocumenteerde procedure te hanteren.

Bepaal bijvoorbeeld wie het eerste aanspreekpunt is bij een (mogelijk) incident, binnen welke termijn medewerkers een (mogelijk) incident bij het aanspreekpunt moeten melden en maak afspraken over wie wat doet om het incident te beëindigen.

Hier komt mogelijk ook de rol van de CISO bij kijken. De volledige procedure kunt u opstellen in een document, dat u er direct kunt bijpakken in geval van een incident. Of beter nog; binnen uw ISMS automatisch tot uitvoering kunt brengen.

8. Stel een controleprogramma op

Een ISMS is ervoor bedoeld om een goede informatiebeveiliging te realiseren en een controleprogramma is hierin een verstandige aanvulling. Een controleprogramma zorgt er voor dat de effectiviteit van beheersmaatregelen aangetoond en geëvalueerd kunnen worden. Hierbij kunt u denken aan bijvoorbeeld een firewall, autorisaties, back-ups en benodigde patches.

Een controleprogramma bestaat onder andere uit:

  • Autorisatiecontroles op basis van een autorisatiematrix.
  • Leverancierscontroles op basis van (contractuele) afspraken en beoordelingscriteria.
  • Organisatorische controles, bijvoorbeeld m.b.t. naleving gedragsregels.
  • Technische controles m.b.t. maatregelen als backup, firewall, zonering etc.

Deze controleprogramma’s worden voornamelijk binnen de organisatie en IT belegd. De manager informatiebeveiliging zorgt hier meer voor de regie dan de werkelijke uitvoering van het controleprogramma.

9. Stel een auditprogramma op

Zorg tevens voor een auditprogramma binnen het ISMS. Dit wordt doorgaans gerealiseerd op basis van een scope normenkader zoals de SURFaudit of een ISO 27001.

De eerder opgegeven beheersmaatregelen worden meegenomen bij het opstellen van het auditprogramma. Het controleprogramma wordt op haar beurt weer geëvalueerd en bijgestuurd aan de hand van de uitkomsten uit dit auditprogramma.

Het auditprogramma kun je baseren op de SURFaudit en bestaat in ieder geval uit de volgende domeinen:

  • Governance en organisatie
  • Risicomanagement
  • Personeelsbeveiliging (Human Resources)
  • Configuratiemanagement
  • Incident- / problem-management
  • Wijzigingsbeheer (Change Management)
  • Systeemontwikkeling / uitbesteding (Outsourcing)
  • Datamanagement
  • IAM (Identity and Access Management)
  • Beveiligingsmanagement
  • Fysieke beveiliging
  • IT / computerbeheer
  • Continuiteit / BCM (Business Continuity Management)
  • Leveranciersmanagement

Om het volwassenheidsniveau van de verschillende domeinen te bepalen wordt binnen het onderwijs gebruikt gemaakt van het toetsingskader dat gebaseerd is op het volwassenheidsmodel informatiebeveiliging van de NBA. Dit model bestaat uit een 5-tal niveaus.

Niveau 1: Maatregelen zijn ad hoc.
Niveau 2: Maatregelen bestaan en worden op consistente wijze uitgevoerd.
Niveau 3: Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar.
Niveau 4: Er is een verbetercyclus aanwezig en gedocumenteerd.
Niveau 5: Er is een bedrijfsbrede aanpak van risico’s.

Als het ISMS goed is opgezet is het behalen van niveau 3 en hoger bijna vanzelfsprekend te realiseren.

Wat zijn de onderdelen van een ISMS?

Het Information Security Management System omvat dus verschillende onderdelen.

Denk daarbij aan onder andere:

  • Overzicht van belanghebbenden en hun eisen en verwachtingen
  • Het beleid inclusief de procedures
  • Rollen en verantwoordelijkheden
  • De contextbeschrijving: organisatie, architectuur, informatiesystemen, leveranciers
  • Uitvoering en opvolging van risicoanalyses
  • Overzicht en afhandeling van incidenten
  • Overzicht en afhandeling interne audits / self assessments
  • Eventueel ook een register van bedrijfsmiddelen

Hoe rapporteer je over het ISMS?

Het is belangrijk om belanghebbenden op de hoogte te houden van de ontwikkelingen met betrekking tot de informatiebeveiliging en alle daaraan gerelateerde zaken. Ook het security team zelf moet uiteraard continu monitoren en de mogelijkheid hebben om dagelijks inzicht te krijgen in de status van informatiebeveiliging.

Om periodiek te rapporteren is het handig om beschikking te hebben over dashboards.

Binnen het onderwijs ontvangt ook het CvB specifieke rapportages. Dit kan maandelijks of elk kwartaal, maar kan ook een jaarlijkse rapportage inclusief verantwoording zijn. Zo zijn alle relevante partijen op de hoogte van het waarborgen van de informatiebeveiliging.

Kun je ISMS combineren met PMS?

Een ISMS en een PMS kennen veel overlap. Zowel de informatiestromen als de persoonsgegevens moeten immers op een veilige manier verwerkt worden. In het laatste deel van deze blogserie lees je meer over de combinatie van het PMS en het ISMS.

 

Met behulp van Base27 biedt Axxemble een oplossing om informatiebeveiliging snel en effectief te realiseren.

Door gebruik te maken van best practices op het gebied van informatiebeveiliging, toegespitst op het hoger onderwijs, heeft u alle middelen tot uw beschikking om medewerkers te informeren, processen veilig te maken, risicoanalyses snel en gemakkelijk uit te voeren en de beveiliging continu te bewaken en te verbeteren.

Wij helpen bedrijven met hun digitale veiligheid