Benchmark mbo sector IBPDOC11

Transcriptie

1 IBPDOC

2 Verantwoording Benchmark mbo sector Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het Hoger Onderwijs (SURF SCIPR) maakt ook gebruik van deze tool. Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (sambo-ict, ROC Leeuwenborgh) Paulo Moekotte (ROC van Twente) December 05 Met dank aan Aeres Groep Albeda Arcus College Citaverde Deltion Graafschap College Grafisch Lyceum Rotterdam Hoornbeeck MBO Utrecht Nimeto Noorderpoort Nordwin College Nova College Onderwijsgroep Tilburg ROC TOP ROC Twente ROC van Amsterdam Summa College Zadkine Martin Deiman Rienk de Vries Joep Lemmens Martijn van Hoorn Rene Dol Donny Toebos Don van der Linden Willem Flink Marjolein Rombouts Esther van der Hei Martijn Broekhuizen Rob Smit Rob Smit Brom Bogers Theo Kuilboer Kim Kuipers Co Klerkx Martien van Beekveld Wim Arendse Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding.0 Nederland (CC BY.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC, versie.0 Pagina van 8

3 Inhoudsopgave Benchmark mbo sector Verantwoording.... Conclusies benchmark.... Terugblik.... Representativiteit.... Bevindingen Aanbevelingen Hoe nu verder? Resultaten IBP benchmark Toelichting op de tabellen Wat gaat goed en wat gaat minder goed? Beleid en organisatie Personeel, studenten en gasten Ruimtes en apparatuur Continuïteit Vertrouwelijkheid en integriteit....8 Controle en Logging.... Informatieveiligheid in perspectief.... Bestuurlijke verantwoordelijkheid en verantwoording.... Kwaliteitszorg Organisatorische inbedding... 6 Bijlage : Framework Informatiebeveiliging en Privacy voor het MBO... 8 IBPDOC, versie.0 Pagina van 8

4 . Conclusies benchmark Benchmark mbo sector. Terugblik Medio 0 is de Taskforce Informatiebeveiliging en privacy van start gegaan met een duidelijke opdracht die verwoord is in het Verantwoordingsdocument. De eerste paragraaf spreekt boekdelen: Het zal duidelijk zijn dat het thema Informatiebeveiliging en zeker ook privacy de laatste tijd met een sneltreinvaart in het onderwijs in de belangstelling is komen te staan. Dat heeft zo zijn redenen. Afgelopen jaren zijn in alle sectoren van het onderwijs incidenten rondom examinering in de publiciteit gekomen. In sommige gevallen ging dit ook om ernstige incidenten die breed in de media zijn uitgemeten. Dat levert voor het onderwijs veel schade op, waarbij imagoschade voorop staat. Het onderwijs wordt geacht op betrouwbare wijze diploma s uit te reiken en het kan niet zo zijn dat daar twijfels over bestaan omdat examens op straat liggen dan wel op het internet te koop zijn. Een ander voorbeeld is de vraag of het onderwijs met de toenemende registratie van gegevens van leerlingen de bescherming van de privacy nog kan waarborgen. Steeds vaker zijn hier ook externe partijen en leveranciers bij betrokken en zonder goede afspraken hierover kan de privacybescherming zomaar in het geding zijn. Zeker bij jonge kinderen wordt dit door de maatschappij onacceptabel gevonden. Daar komt bij dat een vraag naar hoe het in de onderwijs sector gesteld is met de informatiebeveiliging en de bescherming van de privacy nauwelijks kan worden beantwoord. Dat beeld is op zijn minst zeer gebrekkig en onhelder te noemen. En om aan te geven of je iets op orde hebt moet je daarover ook eerste afspraken gemaakt hebben over wat dan op orde is. Die afspraken ontbreken vooralsnog. Daarom is het in het belang van zowel het onderwijs zelf als van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) dat er gemeenschappelijke afsprakenkaders komen, dat die met alle onderwijsinstellingen en ook met de relevante externe partijen worden gedeeld en geïmplementeerd. Pas dan kan er een beeld ontstaan van hoe scholen het doen op deze terreinen en kunnen er verbeteringstrajecten worden ingezet en doelen gesteld worden om een bepaalde graad van beveiliging en bescherming te creëren. In het hoger onderwijs is dit traject al eerder ingezet. Dit alles heeft er toe geleid dat OCW de vraag bij de mbo sector heeft neergelegd om een beeld van de stand van zaken in het mbo met betrekking tot informatiebeveiliging en privacy te schetsen en er voor te zorgen dat er naar een gewenste situatie kan worden toegewerkt. De sector heeft deze uitdaging opgepakt en wil met dit programma de stappen zetten om in het mbo op een volwassen wijze met deze problematiek om te gaan en een acceptabel van beveiliging en bescherming te bieden aan al haar studenten en medewerkers. Als sector hebben we het afgelopen jaar hard gewerkt om Informatiebeveiliging en privacy in onze sector op de strategische agenda te zetten. Op tactisch hebben we een groot aantal documenten opgeleverd (zie bijlage ) en is er volop geschoold in de masterclasses InformatieBeveiliging en Privacy (IBP) waar een vijftigtal mbo instellingen aan hebben deelgenomen. Op operationeel is deze kennis binnen de mbo instellingen vertaald in een actief IBP beleid. Weliswaar staan we als sector aan het begin van een lange weg maar toch hebben we het gevoel dat we een vliegende start hebben gemaakt. We willen nu graag weten waar de mbo sector staat. Daarvoor hebben we een benchmark uitgevoerd om de bepalen op welk volwassenheids, de nulmeting, we ons nu bevinden.. Representativiteit Aan de eerste IBP benchmark hebben 9 mbo instellingen deel genomen waaronder AOC s, ROC s en vakscholen. De regionale spreiding was afdoende. Zowel grote (ROC Amsterdam) als kleine (Nimeto) mbo instellingen hebben deelgenomen. Het is dan ook statistisch verdedigbaar dat deze deelwaarneming een getrouw beeld schetst van de 5 mbo instellingen die actief betrokken zijn bij het informatie en privacy beleid in onze sector. Van instellingen is niet duidelijk of zij stappen genomen hebben op dit gebied. Zie IBPDOC: Verantwoordingsdocument Informatiebeveiliging en privacy (IBP) in het mbo. IBPDOC, versie.0 Pagina van 8

5 . Bevindingen Benchmark mbo sector De benchmark is uitgevoerd op basis van het vastgestelde toetsingskader IBP. De toets is dan ook uitgevoerd op de 6 clusters die afgeleid zijn van het ISO 700/ normenkader. De opzet van de benchmark is gelijk aan die van het Hoger Onderwijs. Een samenvatting van de resultaten, de gemiddelde scores van alle mbo instellingen van alle statements (onderzochte onderwerpen) per cluster: Cluster : Beleid en organisatie.7 Cluster : Personeel, studenten en gasten.7 Cluster : Ruimtes en apparatuur. Cluster : Continuïteit.0 Cluster 5: Vertrouwelijkheid en integriteit.0 Cluster 6: Controle en Logging.6 De gemiddelde score van de mbo sector is:,9 Ter vergelijking de score van het Hoger Onderwijs in 0 was,. In hoofdstuk worden de resultaten verder toegelicht.. Aanbevelingen Volwassenheids (ad hoc) betekent dat de mbo instelling het IBP probleem onderkent maar nog geen actie heeft ondernomen. Niveau houdt in dat er goedgekeurd beleid is dat echter nog niet bij de hele mbo instelling bekend is, laat staan gedragen wordt. Alleen een kleine groep (managers, functioneel en technisch beheerders, etc.) weet van de hoed en de rand. Stel dat we als baseline (gewenst in 06/07) hanteren dan leiden de resultaten tot de volgende aanbevelingen binnen onze sector: Aanbeveling : Aanbeveling : Aanbeveling : Onderzoek waarom mbo instellingen niet deelnemen aan de initiatieven (conferenties, masterclasses, benchmark, etc.) van de Taskforce IBP. Wellicht dat de MBO-Raad hier een inspirerende rol in kan spelen. Cluster (Personeel, studenten en gasten) scoort onder de maat. Awareness sessies en trainingen van personeel kunnen leiden tot een betere acceptatie van het IBP beleid binnen de mbo sector. Het is zinvol om best practices en tools vanuit Kennisnet aan te bieden. Cluster 6 is onder de maat. Ondersteuning vanuit Kennisnet en SURF is gewenst. De 5 mbo instellingen moeten in staat zijn om de overige clusters op te brengen. Cluster scoort onder de maat maar kan snel op een hoger komen als de instellingen de IBP beleidsstukken binnen de instellingen geïmplementeerd hebben..5 Hoe nu verder? De mbo sector is voornemens om in 06 een peer review uit te voeren. Wellicht dat in 07 peer audits mogelijk worden uitgevoerd. Een en ander moet er toe leiden dat we in de toekomst binnen onze sector middels zelf regulatie kunnen aantonen dat IBP in control is. In hoofdstuk wordt een en ander uitvoerig beschreven. IBPDOC: Toetsingskader informatiebeveiliging cluster t/m 6 IBPDOC, versie.0 Pagina 5 van 8

6 . Resultaten IBP benchmark Benchmark mbo sector. Toelichting op de tabellen Alle tabellen zijn op dezelfde manier opgebouwd. Een korte toelichting: ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Kolom, Kolom. ISO700 Geeft het nummer van het statement weer. Deze nummering is gelijk aan de nummering van het Hoger Onderwijs / MBO normenkader. Het eerste cijfer staat voor het cluster, het tweede cijfer voor het statement nummer. Geeft het nummer van de norm uit ISO700. Een zestal normen zijn gesplitst in in statements. Dus 79 normen uit het ISO normenkader zijn gekoppeld aan 85 statements uit het HO/MBO normenkader. Clusterindeling Hoger Onderwijs Hoofdstukken ISO-700 ISO-700 : Beleid : personeel : Ruimten : Continuïteit 5: Toegang 6: Controle Niet gebruikt 5. Informatiebeveiligingsbeleid 6. Organiseren van informatiebeveiliging Veilig personeel 6 8. Beheer van bedrijfsmiddelen Toegangsbeveiliging 9 0. Cryptografie. Fysieke beveiliging en beveiliging van de omgeving 5. Beveiliging bedrijfsvoering 7. Communicatiebeveiliging 7. Acquisitie, ontwikkeling en onderhoud van informatiesystemen 7 5. Leveranciersrelaties 5 6. Beheer van informatiebeveiligingsincidenten 7 7. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer 8. Naleving Clustertotaal inclusief splitsing (85) IBPDOC, versie.0 Pagina 6 van 8

7 ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Niveau,,, en 5 verwijzen naar de volwassenheidss (maturity levels). Het Normenkader Informatiebeveiliging MBO wordt gebruikt om de volwassenheid van informatiebeveiliging te meten bij de MBO instellingen. Hiervoor wordt een 5-punts schaal gehanteerd gebaseerd op het Capability Maturity Model (CMM). Het CMM model is gebaseerd op procesvolwassenheid, de 5 s zijn in de onderstaande tabel weergegeven. CMM 5 Omschrijving Initieel, ad hoc: De processen zijn ad hoc georganiseerd, erg afhankelijk van individuele personen Ad hoc Herhaalbaar, maar intuïtief: Er wordt op een vaste manier gewerkt Beleid is gemaakt en goedgekeurd en bij een kleine groep bekend. Gedefinieerd proces: De processen zijn gedocumenteerd en bekend bij betrokkenen Beleid is bij alle medewerkers, studenten en externen bekend (awareness campagnes, trainingen, etc.). Beheerd en meetbaar: De processen worden beheerd, zitten in een verbetercyclus en zijn meetbaar. (PDCA) IBP is onderdeel geworden van de PDCA cyclus. Geoptimaliseerd: Er wordt als vanzelfsprekend verbeterd en volgens best practices gewerkt. IBP is toekomstbestendig, effectief en efficiënt. Bij ieder volwassenheids is de score weergegeven van de deelnemende mbo instellingen aan de benchmark. Niveau is rood omkaderd als een mogelijke baseline voor de sector. De modale klasse (klasse met de hoogste frequentie dichtheid) is weergegeven in geel. Indien klassen dezelfde dichtheid hebben is de hoogste klasse geel gearceerd. Het gemiddelde cijfer is het rekenkundige gemiddelde van de individuele waarnemingen.. Wat gaat goed en wat gaat minder goed? Best scorende statements. ISO700 Statement.5... Back-up van informatie 7 9,6.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9, Software installeren op operationele systemen 7 9, Beperkingen voor het installeren van software. 9 8, Beheersmaatregelen voor netwerken 7 9,5.... Beheersmaatregelen tegen malware (beheersmaatregelen) 8, Registratie en afmelden van gebruikers 6, IBPDOC, versie.0 Pagina 7 van 8

8 Opvallend is dat de top 8 van de goed scorende statements allemaal in de cluster, en 5 zitten. Technisch lijkt het dus in orde te zijn. Slechts scorende statements. ISO700 Statement IBPDOC, versie.0 Pagina 8 van Classificatie van informatie 6, Informatie labelen 6, Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 6, Sleutelbeheer 6, Sleutelbeheer 5, Testen van systeembeveiliging 6, Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 5, 7, 8,. 7.. Informatiebeveiligingscontinuïteit implementeren 7, Verzamelen van bewijsmateriaal, Cluster kent geen statement dat zeer slecht scoort. Cluster en, beleid en personeel, zijn oververtegenwoordigd.. Beleid en organisatie ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) Beleidsregels voor informatiebeveiliging (gecommuniceerd met medewerkers en externen) 7 8,9 0 8, Beoordeling van het Informatiebeveiligingsbeleid 0 6, Taken en verantwoordelijkheden informatiebeveiliging, Informatiebeveiliging in projectbeheer, Beleid voor mobiele apparatuur (beleid vastgesteld) 6, Classificatie van informatie 6, Informatie labelen 6, Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid vastgesteld) Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 5,5 6,...5 Verwijdering van bedrijfsmiddelen 9 7,7

9 ... Beleid en procedures voor informatietransport 7,6... Overeenkomsten over informatietransport, Analyse en specificatie van informatiebeveiligingseisen Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie,9 6,5 7, Verantwoordelijkheden en procedures 6, Rapportage van informatiebeveiligingsgebeurtenissen 6 0, Beschermen van registraties 9 8, Privacy en bescherming van persoonsgegevens, Scheiding van taken 5,9 In dit cluster valt veel winst te behalen. Een goedgekeurd IBP beleidsplan heeft invloed op de statements:.,.,.,.,.7,.8 en.0. Dit cluster is voor een gemiddelde instelling te behalen in een aantal maanden.. Personeel, studenten en gasten ISO700 Statement IBPDOC, versie.0 Pagina 9 van Arbeidsvoorwaarden 6 9, Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging 5, Toegangsrechten intrekken of aanpassen 5,...9 Clear desk - en clear screen -beleid 5, Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 7, 8, Screening 0, Dit is een moeilijk te realiseren cluster voor veel mbo instellingen. Met name de statements.. en. vragen veel tijd en energie van alle medewerkers en studenten..5 Ruimtes en apparatuur ISO700 Statement Beleid voor mobiele apparatuur 8 7,. 8.. Verwijderen van media,0... Fysieke beveiligingszone. 0 6,... Fysieke toegangsbeveiliging,9

10 .5.. Kantoren, ruimten en faciliteiten beveiligen,.6.. Beschermen tegen bedreigingen van buitenaf 7,.7..5 Werken in beveiligde gebieden. 8 9, Laad- en loslocatie. 7 9,9.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9,5... Beveiliging van bekabeling 8 6,... Onderhoud van apparatuur.,...6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein 5,8...7 Veilig verwijderen of hergebruiken van apparatuur.,.5.. Kloksynchronisatie. 0 5, Het best scorende statement van de mbo sector geeft weinig aanleiding voor kritische beschouwingen. Feit blijft dat een aantal instellingen niet realiseren. Nader onderzoek is dan ook gewenst om de oorzaak te kunnen achterhalen..6 Continuïteit ISO700 Statement IBPDOC, versie.0 Pagina 0 van 8... Wijzigingsbeheer 9 5, Scheiding van ontwikkel-, test- en productieomgevingen Beheersmaatregelen tegen malware (beheersmaatregelen) 5,9 8,.... Beheersmaatregelen tegen malware (bewustzijn) 7 8, Back-up van informatie 7 9, Back-up van informatie 5 0, Software installeren op operationele systemen 7 9, Beheer van technische kwetsbaarheden 6, Beperkingen voor het installeren van software. 9 8, Beveiligde ontwikkelomgeving 7 0, Beheer van veranderingen in dienstverlening van leveranciers Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen. 6,7 9 9, Respons op informatiebeveiligingsincidenten 8 9, Informatiebeveiligingscontinuïteit implementeren 7, Beschikbaarheid van informatie verwerkende faciliteiten 7 9,8

11 Cluster scoort goed. Opvallen is statement, dat uit de toon valt. Nota bene een belangrijk statement in het IBP veld (Informatiebeveiligingscontinuïteit implementeren)..7 Vertrouwelijkheid en integriteit ISO700 Statement IBPDOC, versie.0 Pagina van Beleid voor toegangsbeveiliging, Toegang tot netwerken en netwerkdiensten. 0 7, Registratie en afmelden van gebruikers 6, Gebruikers toegang verlenen, Beheren van speciale toegangsrechten 7, Beheer van geheime authenticatie-informatie van gebruikers 6 7, Geheime authenticatie-informatie gebruiken 6 8, Beperking toegang tot informatie 0 6, Beveiligde inlogprocedures 7, Sleutelbeheer 6, Sleutelbeheer 5, 5... Beschermen van informatie in logbestanden, Beheersmaatregelen voor netwerken 7 9, Beveiliging van netwerkdiensten 7 9, Scheiding in netwerken. 8 7, Elektronische berichten 6 0, Transacties van toepassingen beschermen 0 7,6 Dit cluster scoort gemiddeld. Opvallend is dat de (digitaal) sleutelbeheer onder de maat scoort..8 Controle en Logging ISO700 Statement Beoordeling van toegangsrechten van gebruikers. 7 0, Gebeurtenissen registreren 8 0, Logbestanden van beheerders en operators 9 9, Uitbestede softwareontwikkeling 7, Testen van systeembeveiliging 6, Systeemacceptatietests 6 9,0

12 Monitoring en beoordeling van dienstverlening van leveranciers Benchmark mbo sector 5, Verzamelen van bewijsmateriaal, Naleving van beveiligingsbeleid en normen 0 9, Beoordeling van technische naleving 7,5 Dit cluster scoort ver onder de maat. Registratie van informatie zal sector breed aangepakt moeten worden. IBPDOC, versie.0 Pagina van 8

13 . Informatieveiligheid in perspectief Benchmark mbo sector. Bestuurlijke verantwoordelijkheid en verantwoording Informatieveiligheid reikt verder dan mogelijke aanspraken op bestuurlijke verantwoordelijkheid, imagoschade of boetes. Het gaat ook over het effectief en efficiënt gebruik kunnen maken van informatie. Digitalisering vergroot de invloedssfeer van derden (studenten, leveranciers, partners, agentschappen, etc.). Het slim koppelen van gegevens/slimmer werken in de keten biedt kansen en bedreigingen. De vernetwerking van gegevens heeft bijvoorbeeld studenten en ouders veel gemak in dienstverlening gebracht. Denk aan de informatieoverdracht bij doorstroom in de beroepskolom of aan de inkijkfunctie voor ouders van veel leerlingvolgsystemen. Het toenemend digitaliseren van bedrijfsinformatie en -documentatie creëert echter ook nieuwe bedrijfsrisco s. De maatschappelijke, politieke en organisatorische risico s die dat met zich meebrengt, vragen om een brede(re) oriëntatie. meer dan de helft van de scholen geen beleid en weet men niet hoe het nu staat met de informatieveiligheid. Verder valt op dat er scholen zijn die wel maatregelen hebben genomen, maar die geen risicoanalyse hebben gemaakt. Ruim 0 procent van de scholen heeft een beleidsplan voor privacy, en iets minder dan 5 procent heeft een privacy officer aangesteld. Om te zorgen dat de aandacht niet verslapt, is een systeembenadering belangrijk waardoor je continuïteit borgt: - informatieveiligheid moet geen bestuurlijke bananenschil worden; - blik naar binnen: onderwerp moet niet beperkt blijven tot de jongens van de ICT-afdeling ; - blik naar buiten: ook de tuin van de buurman is van belang. Het gebruik van normen en kaders betreft in het mbo vooral van de WBP-kaders (7%) de ISO 700 en ISO 700 (%) en SURF juridisch normenkader cloudservices (5%). Expliciete verantwoording heeft betrekking op enerzijds de kwaliteit van de informatiehuishouding en voorziening en anderzijds op de veiligheid van de informatiehuishouding en voorziening. Bestuurders/directeuren: - informatieveiligheid gedegen en structureel verankeren in de bedrijfsprocessen; - het belang van informatieveiligheid binnen alle organisatielagen benadrukken via de lijn van de verplichtende zelfregulering; - de kwaliteit van informatieveiligheid bespreken met studenten en ouders; - de dialoog in de sector aangaan over de baseline, maturity levels en wijze van samenwerken; - de dialoog aangaan met stakeholders (overheid en inspectie) over de vraag hoe ver we gaan in het aanvaarden van onveiligheid. Waar sprake is van toenemende digitalisering en het ontwerpen en optimaliseren met behulp van architectuurprincipes, is het resultaat een even fijnmazig en meeraderig als kwetsbaar informatielandschap. Risico s m.b.t. de kwaliteit van document gestuurde bedrijfsprocessen (IDC, 0) Stichting Kennisnet (05). ICT monitor mbo 0 Vergelijking van ICT organisatie, visie, infrastructuur, applicaties, projecten, personeel en financiën van mbo instellingen. Zoetermeer: Stichting Kennisnet. Onderwijs Innovatie Groep (05). Onderzoeksrapport Standaarden en beveiliging in het po, vo, mbo en ho. Uitgevoerd in opdracht van de directie Kennis van het Ministerie van Onderwijs Cultuur en Wetenschap. Utrecht: Onderwijs Innovatie Groep. IBPDOC, versie.0 Pagina van 8

14 75,9% van de respondenten (n=56) ondervond tijdens de laatste vijf jaar ernstige bedrijfsrisico s en/of problemen met naleving als direct gevolg van inefficiënte document gestuurde bedrijfsprocessen. gevolgen: 6,% kon niet voldoen aan de vereisten voor naleving; 0,% verloor belangrijke werknemers;,9% verloor belangrijke klanten;,8% ondervond problemen met de IT-beveiliging; 0,% moest een grote bedrijfsaudit ondergaan; 9,% kreeg te maken met een ernstige PR-crisis. afhankelijk van het type proces meldden tussen 5,9% en 5,% van de deelnemers dat de document gestuurde processen waarvan ze persoonlijk kennis hadden niet efficiënt of effectief waren. Resultaten tellen, mensen doen ertoe. Het toenemend gebruik van informatie van derden (studenten) met derden (leveranciers, agentschappen) voor derden (agentschappen, gemeenten) vraagt om expliciete verantwoording. Zorg voor kinderen betekent dus ook zorgen voor de veiligheid van hun gegevens. (Erik Gerritsen, Bureau Jeugdzorg Agglomeratie Amsterdam) Als bestuurder vertegenwoordig je ook de belangen van ouders door werk te maken van de veiligheid van de gegevens van hun kinderen. Wat vinden ouders eigenlijk van het gebruik van informatie door scholen? Of wat willen ze zeker weten? De meerderheid van ouders (n=00) kent bezwaren t.a.v. veiligheid en privacy, en wel daar een elektronisch leerlingdossier (leeftijd kinderen van 0-7 jaar): - kan worden gehackt of gestolen (87%); - door de school of een medewerker kan worden gebruikt tegen het kind (68%) 5. 5 Future of Privacy Forum (05). Beyond The Fear Factor. Parental Support For Technology and Data Use in Schools. Washington DC: Future of Privacy Forum. IBPDOC, versie.0 Pagina van 8

15 Bijna 9 van de 0 ouders ondersteunen het verzamelen en gebruiken van elektronische leerling gegevens, wanneer ze weten dat een school/dienstverlener: - veiligheidsgaranties kan afgeven (85%) - elektronische leerling gegevens alleen gebruikt voor onderwijsdoeleinden (87%). Maak ouders (en studenten) bewust van de waarborgen die er al zijn en hoe deze werken.. Kwaliteitszorg Kwaliteitszorg helpt verantwoordelijkheden van instellingen te benadrukken, intensiveert kritische reviews van externen en stimuleert aandacht voor de onderwijsfunctie en didactische methoden binnen instellingen. Tevens versterkt kwaliteitszorg de organisatie, zo worden studenten empowered doordat naar ze wordt geluisterd en worden organisatieonderdelen gestimuleerd om transparant en open te zijn over hun keuzes en beslissingen. Ook kan het een bijdrage leveren aan groeiend vertrouwen van de maatschappij in instellingen 6. Systeembenadering Verantwoordelijkheid dragen voor informatieveiligheid vereist een goed functionerende PDCA cyclus. Centraal staat de aansluiting van informatieveiligheid op de reguliere Plan-Do-Check-Act cyclus, waardoor een systeem van zelfregulering op het gebied van informatieveiligheid wordt gerealiseerd. Een systeembenadering draagt er ook aan bij dat kwaliteit wordt verbeterd zonder de regeldruk te verhogen: - geen aparte datasets; - geen aparte cycli; - geen aparte controles. Benchmark informatieveiligheid Een benchmark wordt ingezet als instrument of methode om binnen een sector voortdurende verbetering na te streven. In de profit sector ligt daarbij het accent vooral op concurrentie en het vergroten van het onderscheidend vermogen. Binnen de non profit sector ligt het accent vooral op transparantie en het vergroten van het regulerend vermogen. Organisaties moeten informatieveiligheid leren te beschouwen als een vast onderdeel van de dagelijkse praktijk. Informatieveiligheid moet worden ingericht als een doorlopend proces van leren en verbeteren, dat onder de bestuurlijke verantwoordelijkheid valt. Hiertoe creëren we als sector gezamenlijk enkele handige en goede kaders die middels een benchmark worden ingezet als toetssteen. Met de opbrengsten van de taskforce in handen is ieder bestuur in staat om de gewenste zelfregulering verder vorm en inhoud te geven. Het is de verantwoordelijkheid van bestuurders om dit proces tot een succes te maken. Baseline (normen, grenswaarden en standaarden) Het is belangrijk om de informatiehuishouding goed op orde te hebben. Eén van de hulpmiddelen hierbij is de implementatie van een baseline informatiebeveiliging 7. Met een baseline hebben bestuur en management een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op gebied van informatieveiligheid. Een groeiende digitale onderwijskundige infrastructuur is gebaat bij passende regelgeving en onderlinge afspraken en garanties, zoals richtlijnen voor het gebruik van elektronische informatie, gedragscodes en voorschriften voor de beveiliging. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Volwassenheid De volwassenheid van de sector en de instellingen waaruit de sector bestaat, kan worden afgelezen aan de hand waarop met technologieën op een verantwoorde wijze wordt geëxperimenteerd. Het invullen van een 6 Leest, B.,Mommers, A., Sijstermans, E., & Verrijt, T. (05). Kwaliteitszorg en kwaliteitscultuur in het hoger onderwijs. Literatuurstudie. Nijmegen: ITS, Radboud Universiteit. 7 Baselines vormen een instrument om de informatieveiligheid van (overheids)organisaties te verbeteren en zijn gebaseerd op algemeen geaccepteerde kaders, zoals de NEN- ISO-700/. IBPDOC, versie.0 Pagina 5 van 8

16 experimenteerruimte vergt allereerst een kader voor de risicogebieden of clusters waarop kan worden geëxperimenteerd. Wanneer is vallen en opstaan acceptabel? Welke risico s kunnen worden geaccepteerd? Wie bepaalt dat en hoe wordt dat bepaald? In het algemeen kan worden gesteld dat de ernst van de risico s bepaalt in welke mate er ruimte kan worden gegeven om te experimenteren. Voor een beeld van de volwassenheid van de hele sector is een vorm van benchmarking noodzakelijk opdat kan worden vastgesteld of er sprake is van een normale distributie. Belangrijke vraag die op alle s beantwoord dient te worden: Hoe ver gaan we in het aanvaarden van onveiligheid? (Michel van Eeten, Hoogleraar Governance van Cybersecurity) Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risicogebied. Het optimale van onveiligheid bepalen we van geval tot geval. Zowel het gebruiken van nieuwe technologieën als het niet-gebruiken ervan leidt tot risico s onzekerheden en problemen rondom verantwoordelijkheden. Als sector kunnen we de verplichte zelfregulering oriënteren op een groeiperspectief waarbij sprake is van een genormeerde experimenteerruimte 8 : in bepaalde gevallen en onder bepaalde (proces)condities de mogelijkheid te krijgen om te experimenteren met nieuwe technologieën. De baseline voor ons denken en handelen m.b.t. informatieveiligheid is bepaald door wet- en regelgeving, noties omtrent maatschappelijk verantwoord ondernemen en regels van goed fatsoen. Daarnaast wordt een tijdelijke gedoogzone gecreëerd om nieuwe technologieën te ontwikkelen zonder dat een onderwijsinstelling zich direct overgeeft aan deze nieuwe technologieën. Peer review Een peer review heeft vooral tot doel met en van elkaar te leren. Door middel van een peer review kan meer de nadruk worden gelegd op waarderende en stimulerende vormen van verkenning en onderzoek. Door middel van een peer review wordt het lerend vermogen van de sector vergroot. Het is hierbij cruciaal dat externe experts geaccepteerd worden als onbevooroordeelde specialisten en dat deze specialisten naar gelang het doel van het bezoek variëren (bijvoorbeeld managementexperts als het gaat om instellingsaudits) 9.. Organisatorische inbedding Werkvloer (implementatie) Uitgangspunten voor implementatie - vanuit een baseline op een verantwoorde wijze stapsgewijs streven naar maximale volwassenheid 0 ; - gaat niet om de techniek maar om de structuur en de verantwoordelijkheidsverdeling binnen organisaties; - minstens zo belangrijk is het gedrag van de medewerkers, hoe gaan docenten/medewerkers met informatie en dossiers om en met nieuwe technologieën, zoals sociale media. Succesfactoren voor implementatie: - beschouw een dergelijk project als een ingrijpend veranderingstraject en niet als een technisch project; - begin niet zonder de nadrukkelijk commitment van de leiding; - zorg voor een transparant en zichtbaar project; - beleg project niet uitsluitend bij externe adviseurs; - benoem op sleutelposities in het project eigen medewerkers met voldoende kennis, tijd en mandaat; - voorkom als (te) star ervaren digitale werkprocesondersteuning; - start nooit een pilotimplementatie zonder dat door-en-door getest is; - Zorg voor voldoende financiële reserves. 8 Broeders, D., Cuijpers, M. K. C., & Prins, J. E. J. (Eds.). (0). De staat van informatie (Vol. 5). Wetenschappelijke Raad voor het Regeringsbeleid. Amsterdam: Amsterdam University Press. 9 Leest, B.,Mommers, A., Sijstermans, E., & Verrijt, T. (05). Kwaliteitszorg en kwaliteitscultuur in het hoger onderwijs. Literatuurstudie. Nijmegen: ITS, Radboud Universiteit. 0 Bollaert, L. (0). Quality Assurance (Qa) in Europe (005 05). From Internal and Institutional to External and International. Journal of the European Higher Education Area,, -. IBPDOC, versie.0 Pagina 6 van 8

17 Benchmark als activiteit/proces inbedden in de staande kwaliteitszorgorganisatie (single information single audit - SISA) en cultuur Werkvloer (houding) Cultuur: appelleert aan de intrinsieke motivatie van docenten en medewerkers om in- en extern hoogwaardige kennis en ervaring te ontwikkelen, in te zetten en te delen. Het is van het grootste belang dat de organisatiecultuur een positieve houding kent ten aanzien van informatieveiligheid in de gehele organisatie. Het is bovendien van belang dat activiteiten binnen de organisatie op een consistente wijze beantwoorden aan praktijken van een informatieveiligheidscultuur. Kwaliteitscultuur is een onderdeel van de organisatiecultuur. Ze wordt inmiddels erkend als een van de meest essentiële factoren van kwaliteit. Kwaliteitscultuur vormt een uitdrukking van onderhuidse individuele en collectieve waarden in het perspectief van effectief presteren als professional en onderwijsorganisatie. Categorieen als gedrevenheid, betrokkenheid en collectiviteit worden, hoewel niet altijd meetbaar, gezien als belangrijke graadmeters voor de identificatie van de kwaliteitscultuur. De informatieveiligheidscultuur is een onderdeel van die kwaliteitscultuur en dient voor een spillover te zorgen naar handelingsstrategieën en -repertoire als uitingen van organisatiebewustzijn en -gedrag. Figuur Model van Berings (00) Alnatheer, M., & Nelson, K. (009). Proposed framework for understanding information security culture and practices in the Saudi context. Bollaert, L. (0). Quality Assurance (Qa) in Europe (005 05). From Internal and Institutional to External and International. Journal of the European Higher Education Area,, -. IBPDOC, versie.0 Pagina 7 van 8

18 Bijlage : Framework Informatiebeveiliging en Privacy voor het MBO Verantwoordingsdocument informatiebeveiliging en privacy in het mbo onderwijs (IBPDOC) Mbo referentie architectuur (IBPDOC) Mbo roadmap informatiebeveiligingsbeleid en privacy beleid (IBPDOC5) Model Informatiebeveiligingsbeleid voor de mbo sector op basis van ISO700 en ISO700 (IBPDOC 6) Toetsingskader IB: clusters t/m 6 (IBPDOC) Toetsingskader Examinering Pluscluster 8 IBPDOC8 Handleiding BIV classificatie IBPDOC Starterkit Identity mngt mbo versie IBPDOC Toetsingskader Online leren Pluscluster 9 IBPDOC9 BIV classificatie Bekostiging IBPDOC5 Starterkit RBAC mbo versie IBPDOC Toetsingskader VMBO-MBO Pluscluster 0 IBPDOC0 BIV classificatie Indiensttreding IBPDOC6 Starterkit BCM mbo versie IBPDOC Benchmark mbo sector IBPDOC BIV classificatie Online leren IBPDOC7 Integriteit Code mbo versie IBPDOC5 Implementatievoorbeelden van kleine en grote instellingen Model Informatiebeveiligingsbeleid en Privacy voor de mbo sector (IBPDOC 8) Toetsingskader Privacy: cluster 7 (IBPDOC7) Functiewaardering IBP IBPDOC PIA Deelnemers Bekostiging IBPDOC9 Acceptable Use Policy mbo versie IBPDOC6 Positionering IBP IBPDOC PIA Personeel Indiensttreding IBPDOC0 Responsible Disclosure mbo versie IBPDOC7 Risico inventarisatie IBP IBPDOC9 PIA Onderwijs Online leren IBPDOC Leveranciers Overeenkomst mbo versie IBPDOC8 Technische quick scan (APK) IBPDOC0 Privacy Compliance kader mbo (IBPDOCB) Normenkader Informatiebeveiliging mbo (IBPDOCA) Hoe? Zo! Informatiebeveiligingsbeleid in het mbo en Hoe? Zo! Privacy in het mbo Taskforce IBP mbo Voorbeelden SCIPR IBPDOC, versie.0 Pagina 8 van 8