Laden...
Laden...
Draag jij ook bij aan onze missie om het onderwijs nog veiliger te maken?
We hebben 10 vragen om te meten hoe goed uw organisatie op weg
is met cybersecurity en het IBP-normenkader.
Het hebben van goede backups is essentieel! Bij een incident of ransomware
(gijzel) aanval kan je met een goede backup snel werkzaamheden herstellen en
eventuele verloren data terughalen. Het hebben van backups is echter pas de
eerste stap, het is slim om je backups te testen en te controleren of ze
daadwerkelijk werken. Daarnaast moeten je backups goed beveiligd zijn,
dus zonder SSO, maar met unieke MFA of volledig offline, zodat hackers
er niet bij kunnen.
Rood - Er worden, buiten standaard backups van M365/Google geen backups gemaakt.
Geel - Er worden automatisch periodiek backups gemaakt van belangrijke informatie.
Groen - Backups zijn afdoende beveiligd en worden periodiek gecontroleerd.
MFA, kort voor Multi Factor Authenticatie, is een manier van inloggen waarbij
mederwerkers met een tweede methode, zoals een smsje, zich authenticeren.
MFA is een absolute basismaatregel en moet ingericht zijn op alle systemen
waar gevoelige data in voorkomt, daarnaast moet het gelden voor alle mede-
werkers die toegang hebben tot deze data. Sessies moeten daarnaast niet
niet te lang duren en MFA moet niet zelf resetbaar zijn via bijvoorbeeld
een servicedesk.
Rood - MFA wordt niet of slechts voor een select groepje medewerkers toegepast.
Geel - MFA wordt toegepast voor de meeste kritieke applicaties/gebruikers.
Groen - MFA geldt voor alle personen en systemen gekoppeld aan gevoelige data.
Logging van dingen die gebeuren binnen cloud omgevingen en op computers
is erg belangrijk, zo kan je op het moment en achteraf zien wat waar gebeurt.
Hiernaast kan je monitoren op basis van vreemde dingen die er gebeuren.
Probeert iemand al 20 keer met het verkeerde wachtwoord in te loggen?
Dat zou dan best een hacker kunnen zijn. Slim is om gebruik te maken van een
SIEM om automatisch logs te analyseren op dreigingen. Hier kunnen IT medewerkers
dan gericht actie op uitvoeren.
Rood - Logging is niet volledig, aanwezig of slechts op enkele plekken ingezet.
Geel - Overal wordt gelogged en bewaard, maar er is geen analyse met een SIEM.
Groen - Logging wordt bijgehouden en automatisch geanalyseerd op dreigingen.
Er is een visie op informatiebeveiliging en hoe de de organisatie hiermee
wil omgaan. Daarnaast is er een uitgebreid informatiebeveiligingbeleid opgesteld
Dit beleid is publiek toegankelijk (vaak op de website) en wordt regelmatig
gecontroleerd en geupdate. Hiernaast wordt het meegenomen in het onboarding
proces van nieuwe medewerkers. Beleid wordt actief gecommuniceerd naar en
vereist bij leveranciers en partners.
Rood - Er is geen informatiebeveiligingsbeleid opgesteld door de organisatie.
Geel - Er is wel een beleid opgesteld, maar deze is oud of niet vereist.
Groen - Het beleid is up to date en aan alle eisen hierboven is voldaan.
Er zijn procedures voor het automatisch tijdig patchen van systemen en
applicaties. Er wordt periodiek gepatcht, besturingssystemen en applicaties
worden automatisch geupdate. Er is inzicht in en controle op de patchstatus.
Hiernaast worden bronnen zoals het NCSC actief in de gaten gehouden om
te kijken of er kritieke patches zijn die direct geïnstalleerd moeten worden.
Rood - Er wordt amper of niet actief gepatched binnen de organisatie.
Geel - Er worden patches uitgerold, maar niet op applicatieniveau en niet instantaan
Groen - Aan alle hierboven beschreven patcheisen wordt volledig voldaan.
Je best doen om veilig te zijn en werken is erg belangrijkheid. Nog beter
is om dit ook af en toe onafhankelijk te laten testen door hackers. Kan
iemand in je systemen komen? Kan je zomaar binnenlopen bij een school?
Volgens het normenkader moet je dit minimaal 1 keer per 2 jaar laten testen
door het uitvoeren van een audit.
Rood - Er is nog nooit een ICT kwetsbaarhedenscan of pentest uitgevoerd bij je organisatie.
Geel - Er is langer dan 2 jaar geleden voor het laatst getest op je security. Dit is te lang.
Groen - Elke 2 jaar of vaker wordt er een penetratietest uitgevoerd op een systeem, goed bezig!.
Medewerkers zijn je laatste lijn van verdediging tegen hackers. Vooral met
phishing en social engineering is het belangrijk dat medewerkers weten wat
ze moeten doen. Het normenkader schrijft voor om jaarlijks iets met cyber-
security awareness te doen. Hiernaast moeten er jaarlijks social engineering
testen worden uitgevoerd om te kijken of medewerkers erin trappen. Medewerkers
moeten ook weten wat ze moeten doen als ze een incident vermoeden.
Rood - Er worden geen cybersecurity awareness acties uitgevoerd bij medewerkers.
Geel - Of phishing simulatie of awareness vindt niet elk jaar terugkerend plaats.
Groen - Zowel phishing simulatie als awareness vindt elk jaar of vaker plaats.
Het vinden van kwetsbaarheden door externen komt al vaker voor binnen het onderwijs
Het nadeel hiervanis echter dat je zo twee jaar kan wachten voor een update. Daarom
vereist het normenkader dat je gedurende het jaar zelf met specialistische scanners
je netwerken en apparaten scant op kwetsbaarheden. Deze moeten dan ook tijdig worden
opgelost. Dit soort scanners, zoals Nessus of Acunetix, waar we bij Edufort mee werken.
Zijn vaak prijzige en specialistische oplossingen.
Rood - Er wordt niet zelf gescand naar kwetsbaarheden binnen de organisatie.
Geel - Scanning vindt niet plaats op zowel netwerken als applicaties als websites..
Groen - De volledige ICT infrastructuur wordt elk jaar veelvoudig gescant.
Het hebben van hoge rechten op systemen is een risico. Daarom is het belangrijk
om te zorgen dat medewerkers alleen de rechten hebben die ze nodig hebben.
Hiernaast is het belangrijk om te zorgen dat er geen accounts zijn die niet
meer gebruikt worden. Deze kunnen namelijk misbruikt worden door hackers.
Hiervoor dien je een rol- en rechtenbeleid te hebben en dit regelmatig te
controleren en updaten. Ook een matrix met welke rechten bij welke rol horen
Rood - Rollen en rechten zijn niet expliciet bepaald en/of worden niet bijgehouden.
Geel - Rollen en rechten zijn gedefinieerd, maar niet up to date of zonder matrix.
Groen - Aan alle hierboven beschreven eisen wordt voldoaan, er wordt periodiek geupdate.
Het is belangrijk om (school) netwerken afdoende te beveiligen. Dit kan door
verschillende stappen te nemen. Het gebruiken van een firewall, het segmenteren
van het netwerk. Het scheiden van gasten, leerlingen en medewerkers internet
verkeer. Hiernaast is het belangrijk om netwerkapparatuur up to date te houden
en te zorgen dat standaard wachtwoorden zijn aangepast. Ook is het belangrijk
om te zorgen dat er geen ongeautoriseerde apparaten op het netwerk kunnen komen.
Rood - Er is geen netwerksegmentatie op wifi of bekabeld internet niveau aanwezig.
Geel - Er is segmentatie, maar geen firewall of checks op updates en standaardwachtwoorden..
Groen - Segmentatie, firewalling, updates en veranderde wachtwoorden zijn allemaal uitgevoerd..
