Schoolresultaten, persoonlijke gegevens, financiën en zelfs de fysieke toegang tot de locatie. Een veilige digitale onderwijsomgeving is belangrijk. Bij BOOR maken we er flink werk van en dat wordt gezien. Chief Information Security Officer Floris Pols won er de Kennisnet IBP Award mee.
Voor de tweede keer reikt het Netwerk Informatiebeveiliging en Privacy (IBP) de prijzen uit aan IBP’ers die zich inspannen om informatiebeveiliging en privacy in het primair en voortgezet onderwijs naar een hoger plan te tillen. De manier waarop Floris het aanpakt, viel op. De jury was erg te spreken over de manier waarop hij IBP-concepten begrijpelijk maakt voor medewerkers; helder en duidelijk, zonder belerend te zijn. Met als gevolg een merkbare toename in bewustwording en handelingsbekwaamheid binnen zijn organisatie. Dat heeft hij onder meer bereikt door het opzetten van een voorlichtingsfilmpje met do’s en don’ts en door het organiseren van cybercrisissimulaties. Maar ook door veel met mensen in verschillende lagen van de organisatie in gesprek te gaan.
Een duidelijk beeld van wat er mis kan gaan
‘Als CISO -kort voor Chief Information Security Officer- bij BOOR ben ik verantwoordelijk voor het informatiebeveiligingsbeleid’, vertelt Floris. ‘Daarnaast stel ik jaarlijks een informatiebeveiligingsplan op voor BOOR met daarin concrete doelen die voortkomen uit risicoanalyses. Binnen BOOR heb ik een groot aantal risicoanalyse gesprekken gevoerd. Zowel op scholen als bij BOOR Services, de ondersteunende diensten van het bestuurskantoor. Daardoor heb ik een duidelijk beeld gekregen van wat er mis kan gaan maar ook waar de impact het grootst kan zijn.’ En dat kan van alles zijn. Ongeautoriseerde toegang tot bedrijfsinformatiesystemen en leerlingvolgsystemen bijvoorbeeld. ‘Daar staat natuurlijk allemaal privacygevoelige informatie die niet zomaar bij iedereen terecht mag komen. Maar ook resultaten, absenties, medische gegevens en HR-informatie. Het is ontzettend breed en de beschikbaarheid, integriteit en vertrouwelijkheid van dat soort gegevens moet uiteraard gewaarborgd worden. Een informatiebeveiligingsincident of datalek moet je te allen tijden voorkomen.’ Die ongeautoriseerde toegang kan volgens Floris overigens ook fysiek zijn. ‘Mensen die zomaar de school binnenkomen terwijl ze er niks te zoeken hebben. Op de locaties kan ook papieren informatie worden bewaard en ook dat is een risico. Je wil niet dat iedereen daar zo maar bij kan komen.’
Praktische tips
In het animatiefilmpje dat Floris samen met zijn BOOR-collega’s ontwikkelde, komen de belangrijkste risico’s aan de orde rond het omgaan met persoonsgegevens. ‘We hebben tien tips uitgelicht die we ook op posters hebben laten drukken voor op school. Zoals: vergrendel je computer als je wegloopt, voer geen vertrouwelijke gesprekken met de deur open. laat een laptop nooit onbeheerd achter of in de auto liggen. Zet je digibord op de freezestand als je je wachtwoord en gebruikersnaam intypt. Zorg ook dat er geen gegevens van leerlingen op het digibord te zien zijn. Daarnaast proberen we het gebruik van USB-stick zo veel mogelijk te ontmoedigen. Daar kan belangrijke en vertrouwelijke informatie op staan en je wil niet dat zo’n stick gaat rondslingeren. Voor de hand liggende tips misschien maar je wil niet weten hoe vaak het toch fout gaat. Van mailtjes waar alle ouders in het cc veld staan en leerlinggegevens die op het digibord staan in een volle klas tot complete ransomware-aanvallen.’
Stappenplan voor digitale aanval
Naar aanleiding van zo’n aanval in het recente verleden stelde Floris een incidentresponseplan op. Een soort stappenplan wat te doen in het geval van een digitale aanval.
‘Daarmee zijn we ook gaan oefenen in crisissimulaties. Dan bootsen we een cyberaanval na. Dat is zeer verhelderend en leerzaam.’ Natuurlijk kan het altijd beter, weet Floris. ‘Informatiebeveiliging is een containerbegrip. Wat betekent het concreet bij jou op school en wat kun je doen om het te verbeteren?’ Dankzij de inspanningen van Floris en het team van (ICT) collega’s zijn bewustzijn en volwassenheid op het gebied van digitale veiligheid gegroeid. ‘Daar toetsen en meten we gericht op. We hebben nulmetingen gedaan op de scholen en ze gevraagd in hoeverre ze bekend zijn met het beleid rondom cyber awareness en of ze weten waar ze bepaalde zaken kunnen melden. Op basis van die resultaten gaan we op gesprek bij schoolleiders om te kijken waar de behoefte ligt en hoe we ze kunnen ondersteunen. Die constante waakzaamheid groeit en steeds meer mensen zijn zich bewust van wat er kan gebeuren en waar ze op moeten letten.’ Op de award van Kennisnet is Pols dan ook behoorlijk trots. ‘Het laat toch zien dat we goed op weg zijn.’