Dagelijks zijn er nieuwsberichten over organisaties die het slachtoffer zijn geworden van hacking, randsomeware-aanvallen of andere vormen van cybercrime. Dat ook onderwijsinstellingen niet ontkomen aan het gevaar van cybercrime hebben onder andere de aanvallen op ROC Mondriaan en de Universiteit Maastricht wel bewezen. Maar hoe wapen je je als onderwijsinstelling tegen deze vorm van criminaliteit? En hoe ga je te werk rekening houdend met alle persoonsgegevens van zowel studenten, docenten als medewerkers die je veilig moet stellen?
In dit kader en met het oog op de doelstelling van de onderwijssector om in 2024 CMM-niveau 3 (Capability Maturity Model) te behalen, spraken wij met Paula Duijnhoven, Information Security Officer, en Miriam Shaffer, Adviseur Procesmanagement bij Hogeschool Leiden en met Greet Volders, Managing Consultant bij Voquals.
Paula: “Wij zorgen binnen Hogeschool Leiden dat informatiebeveiliging steeds een beetje op een hoger niveau komt, zodat gegevens beter zijn beveiligd. Incidenten die bij andere onderwijsinstellingen hebben plaatsgevonden helpen enorm bij het creëren van bewustwording. Dat zorgt ervoor dat de noodzaak duidelijk wordt en dat je draagvlak en budget krijgt om dingen te doen. Dan komen zaken in beweging en dat is leuk.”
Ondervind je ook problemen van technologische ontwikkelingen? Wat je gisteren dacht te hebben afgedekt, kan morgen misschien niet helemaal goed meer werken op het gebied van beveiliging.
“We moeten ons inderdaad voortdurend afvragen of de maatregelen die je als organisatie hebt genomen op dit moment nog efficiënt zijn.
Maar ook de bewustwording. We weten al langer wat er gebeurt op het gebied van phishing en hacking, maar het wordt nu steeds concreter. Zo zijn er al nieuwsberichten over mensen die worden gebeld met de (gekloonde) stem van een familielid (voice cloning), waarbij uiteraard het doel is om de persoon in kwestie geld af te troggelen.
Deze ontwikkelingen betekenen echt wel iets voor de gehele maatschappij, dus ook voor Hogeschool Leiden. Wat gaan ze dan doen om ons te kunnen hacken? Eigenlijk moeten we bij alles wat digitaal tot ons komt een kritische blik en ‘gezond wantrouwen’ gaan ontwikkelen.”
Hebben jullie zelf al echt concrete dingen aan de hand gehad bij Hogeschool Leiden in het kader van informatiebeveiliging?
“Natuurlijk ontvangen we ook de phishing berichten en zien we dat cybercriminelen proberen binnen te komen, maar vooralsnog zijn we geen slachtoffer geweest van een succesvolle hackaanval. In deze sector delen we onderling onze ervaringen en kunnen we daar dus ook van leren. Dat moeten we ook, denk ik, want samen sta je sterker tegen cybercriminelen, die ook steeds slimmer worden met technologieën en met kennis die zij voorhanden hebben.”
Voor het bereiken van CMM-niveau 3 is onder andere een uitgebreide vastlegging van alle processen een vereiste. Voor het in kaart brengen van alle processen is Miriam Shaffer ruim twee jaar geleden aangesteld. Hoe heb je dit omvangrijke project aangevlogen?
Miriam: “Voor de procesvastlegging werd binnen Hogeschool Leiden gebruik gemaakt van het Mavim platform. Veel van wat al was vastgelegd, was een beetje out datet, dus ben ik bij verschillende afdelingen de status gaan inventariseren en kwam ik al snel bij Paula terecht die vanuit informatiebeveiliging aan de slag wilde met het vastleggen van processen.
Omdat IT-processen voor mij nog onbekend terrein waren, hebben we Greet Volders van Voquals bij het project betrokken. Doordat Greet al een vaste set aan IT-processen kon bieden, die wij op onze eigen organisatie konden toespitsen, konden we al snel aan de slag. Het is fijn als er al een basis ligt waar vanuit je verder kunt werken”
Hoe zijn jullie bij Greet van Voquals terechtgekomen?
“Dat is heel simpel: we hebben de vraag bij Mavim uitgezet voor iemand die kennis heeft van ITIL-processen (referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie, red.). Dat was namelijk de wens van de afdelingen, dat ze die standaard konden hanteren.
Vanuit mijn vorige baan had ik al ervaring met de mogelijkheid in Mavim om verschillende componenten, waaronder ook meerdere compliance factoren, eenvoudig aan elkaar te koppelen. Het is natuurlijk fijn dat die onderlinge verbanden inzichtelijk zijn, maar het helpt je ook bij de uitvoering van audits. Door de koppeling naar bepaalde normen hebben we een goed totaalbeeld dat we vanuit verschillende invalshoeken kunnen benaderen en die tegelijkertijd een eenduidige werkwijze voor de medewerkers biedt.”
Paula vult aan: “In de zoektocht naar een geschikte partner was de combinatie van processen, een security framework en specifiek de ITIL-processen een vereiste. Die combinatie hebben we bij Voquals en Mavim gevonden. Het Multi Compliance Framework (MCF) van Voquals is een mooie aanvulling om ook direct inzicht te krijgen in de status van controls. Dat gaf bij ons de doorslag”
Jullie hebben al flinke stappen gezet. Kunnen jullie aangeven in welke fase van het project jullie nu ongeveer zitten?
Greet antwoordt: “Eigenlijk zitten we nog in de fase van vastlegging van alle processen. Afgezien van het feit dat dit sowieso een hoop werk is, verloopt dit ook traag. De oorzaak daarvan is dat iedereen het er - naast hun dagelijkse werkzaamheden – bij moet doen. Het is niet zo dat betrokkenen hier drie maanden voor vrijgemaakt worden. Daarnaast gaan er veel review slagen overheen en dan vindt pas de goedkeuring plaats. De doorlooptijd is simpelweg omwille van de drukte van alle dag gewoon lang, maar dat is in mijn ervaring niet anders bij Hogeschool Leiden dan bijvoorbeeld op een ministerie of in een commercieel bedrijf.”
Een belangrijk uitgangspunt voor Hogeschool Leiden is dat CMM 3 geen doel op zich moet zijn. “We willen echt een verbeterslag maken met onze processen en informatiebeveiliging.”
Volgens Miriam is daarbij het kweken van eigenaarschap cruciaal. “Je kan een proces vastleggen en zeggen van ‘zo moet het’, maar als er geen eigenaarschap en bewustzijn is, dan gaat iedereen toch zijn eigen weg. Dan kan je mooie controles inplannen in zo'n proces, maar dan worden die nooit uitgevoerd of ze doen het alleen voor audits.”
“Je moet de organisatie onderwijzen in een kritisch blikveld en continu kijken waar de risico's liggen en vanuit dat oogpunt bedenken wat je moet doen om die risico's af te dekken. CMM-niveau 3 is namelijk geen doel op zich.”
In hoeverre heeft het framework van Greet/Voquals jullie geholpen om het project te versnellen, om dingen beter voor elkaar of inzichtelijker te krijgen? Of gemakkelijker te maken?
Miriam antwoordt: “Sowieso was het natuurlijk al fijn dat heel veel van die processen al uitgewerkt waren en dat de basis er dus al lag. Zo konden we meteen stappen zetten, met name ook dankzij de kennis en ervaring van Greet vanuit andere bedrijven. Zij heeft het palet aan variaties getoond en laten zien wat het beste bij ons paste. Omdat het framework niet statisch is, is het eenvoudig om eigen elementen in te brengen.”
“Dat wil overigens niet zeggen dat de voor gedefinieerde processen en controles ervoor zorgen dat je een dergelijk project binnen 3 maanden in orde hebt”, vult Greet aan. “Je kunt namelijk niet zomaar bedrijf X door bedrijf Y vervangen. Daar komt veel meer bij kijken. Wel is het over het algemeen zo dat hoe kleiner de organisatie is, hoe gemakkelijker het is om een standaard proces te implementeren. Een kleine organisatie die bijvoorbeeld nog niets heeft over incidentmanagement, is al gauw blij als ze een concreet voorstel heeft zoals in het framework is gedefinieerd en zal dit veelal volgen. Binnen de onderwijssector zijn er tal van kleinere organisaties die hier dankbaar gebruik van kunnen maken. Het documenteren is nu eenmaal een noodzakelijke stap als je CMM-niveau 3 wilt gaan bereiken.”
“Net als binnen iedere organisatie ontstaan ook binnen Hogeschool Leiden discussies over de noodzaak van vastlegging”, vervolgt Paula. “Het grappige is dat er bij het vastleggen dan soms toch dingen boven tafel komen waarvan we allemaal denken, ‘oh, doe jij dat toch anders dan dat ik het doe?’. Dat geeft weer reden voor een gesprek en dat leidt uiteindelijk ook weer tot meer draagvlak. Als mensen het nut ervan inzien, dan is men veel meer bereid om medewerking te verlenen en te doen wat er gevraagd wordt.”
Wat zijn nu de vervolgstappen?
Greet antwoordt: “In september gaan we een eerste uitvraag doen om de status ten opzichte van de norm te toetsen. Natuurlijk hebben we daar al wel subjectief een idee van, maar we gaan dit nu ook formeel uitvragen bij de eigenaren van de processen of van de controles. Op basis van die inzichten kunnen we beter bepalen wat we allemaal gaan borgen in Mavim en wat niet.”
“Dat is overigens niet de eerste toets op de norm die wij uitvoeren”, vult Paula aan. “Elke twee jaar doen wij een benchmark met het NBA-toetsingskader, waar we dus een ‘3’ op zouden moeten scoren. Dat hebben we twee jaar geleden en vier jaar geleden ook gedaan en dat is dus nu eind van het jaar weer, maar dan gaan we toetsen op basis van een externe audit, waar we dit voorheen op een interne manier deden.”
Nu informatie inzichtelijk is in de portal die jullie hebben ingericht, ervaren jullie ook meer betrokkenheid van medewerkers?
Greet geeft aan bij de eerste publicatie van de processen heel erg aangenaam verrast te zijn door het aantal reacties dat ze kregen. “We hebben de publicatie – die trouwens nog in een reviewfase zit - gestuurd naar een aantal mensen van de betrokken afdelingen. Daarbij ontvingen we veel feedback en ook spontane reacties van veel verschillende mensen in verschillende functies.
Binnenkort zullen we de publicatie officieel formaliseren naar de afdelingen. Die lancering wordt een belangrijke mijlpaal.”
Het aantal reacties dat ze gekregen hebben, verbaast Paula eigenlijk niet, “Dat komt omdat we een hele betrokken organisatie zijn en zeker binnen IVT zijn mensen ontzettend betrokken bij wat ze doen”.
Miriam, Paula en Greet benadrukken dat het niet alleen een IT-aangelegenheid is. Al ligt de focus in eerste instantie bij IT, Miriam zorgt dat de proceshuishouding van alle andere afdelingen ook uniform en consistent in kaart wordt gebracht.
“Binnen Mavim vind ik de invalshoek voor de medewerkers heel belangrijk”, vertelt Miriam, “want de medewerker wil gewoon weten wat relevant voor zijn werk is, terwijl iemand uit het management of iemand die de compliance moet bewaken weer wil weten waar hij op inhaakt in zijn onderdeel in die processen. Het feit dat je al die verschillende invalshoeken vanuit Mavim kunt benaderen, is dan bijzonder prettig.”
Jullie hebben nog best wel wat werk voor de boeg, maar hebben jullie ook al plannen voor de langere termijn?
“Uiteindelijk willen we ernaartoe dat vanuit een intrinsieke motivatie in kleine iteraties procesverbeteringen worden doorgevoerd”, antwoordt Miriam. “Hopelijk kan Mavim iMprove daarin een essentiële bijdrage leveren. We zullen ook moeten kijken in hoeverre Mavim toereikend is om wijzigingen zelf door proceseigenaren te laten doorvoeren. Dan kunnen we Mavim ook gaan benutten, zoals het is bedoeld: als een ‘digital twin’ van je organisatie.”
Paula: “Het doel van Hogeschool Leiden is om een Plan-Do-Check-Act cyclus te gaan hanteren voor Informatiebeveiliging, zodat we het volwassenheidsniveau op orde kunnen houden.”
Benieuwd hoe Mavim kan helpen bij informatiebeveiliging in het (hoger) onderwijs? Lees er hier meer over…
