Gepubliceerd: 03-05-2024, laatst gewijzigd:
03-06-2024
Informatiebeveiliging, cybersecurity, ICT-beveiliging; het zijn allemaal begrippen die in bijna elke organisatie wel weerklinken. Het onderwijs is hierin geen uitzondering. Maar weet u eigenlijk wel hoe veilig uw informatie nu en in de toekomst is?
Onderwijsinstellingen opereren heel transparant. Er gaat veel geld in om en wat er met dat geld gebeurt, wordt veelal in openbare jaarverslagen gepubliceerd. Iedereen die dat wil, kan zien hoe uw organisatie eruit ziet. Ook hackers, voor wie losgeld vragen een businessmodel is, kunnen zien hoe de vlag er in uw organisatie bij hangt en wat het rendement kan zijn als zij besluiten uw informatiebeveiliging op de proef te stellen.
Daarnaast zijn er voorbeelden van onderwijsinstellingen die na een aanval van cybercriminelen losgeld hebben betaald en dat vervolgens konden terugbetalen aan de Onderwijsinspectie, omdat dat geld “onrechtmatig” was uitgegeven. U kunt wel stellen dat onderwijsinstellingen dus kwetsbaar zijn.
Bewustwording is de eerste stap
Ondanks dat er geen discussie is over belang van informatiebeveiliging, is het aanzwengelen van het onderwerp niet altijd even vanzelfsprekend. Bewustzijn creëren van de risico’s van een informatiebeveiliging die niet op orde is, is stap één in het proces om niet alleen uw voordeur te sluiten voor internetcriminelen, maar ook uw deuren binnenshuis. De medewerkers binnen uw organisatie kunnen ten aanzien van cybersecurity de zwakste schakel vormen. Want het is geen kwestie van óf uw onderwijsinstelling gehackt wordt, maar wanneer.
Hoe is de informatiebeveiliging nu geregeld?
Vraag u om te beginnen af hoe de informatiebeveiliging binnen uw instelling nu geregeld is en waarom dat zo is. Waar hecht u belang aan? Welke systemen zijn er, hoe werken ze en wat kan er eventueel beter? Zet u bijvoorbeeld wel alle middelen die u aan kunt wenden effectief in? Als u niet weet hoe je ICT-applicatie landschap eruitziet, weet u immers ook niet wat u moet beveiligen. Om maar in de huismetafoor te blijven: als je voordeur op slot zit, maar je garage niet, heeft dat voordeurslot weinig zin.
Wendbaar en weerbaar
Als u de informatiebeveiliging van uw onderwijsinstelling verder wil verhogen, dient u eerst risico’s te inventariseren en een risicoanalyse te maken. Aan de hand daarvan kunt u bepalen welke keuzes u kunt maken om uw ICT helemaal op orde te krijgen. Het ICT-landschap van een onderwijsinstelling is immers de primaire informatiebron en een integraal onderdeel van het primaire proces. Als alle inventarisaties en analyses gedaan zijn, kunt u een testplan opzetten, evenals een scenario-analyse. Daaruit blijkt of uw organisatie weerbaar en wendbaar is in het geval van een cyberaanval. Ethical hackers die op verzoek proberen in te breken in het ICT-landschap van uw instelling zijn kunnen vervolgens dan een volgende stap zijn.
Rol van de accountant
De informatiesystemen van een onderwijsinstelling, waarop ook de jaarrekening gebaseerd is, moeten goed beveiligd zijn. Het is dan ook logisch dat een accountant mee kan denken over vraagstukken die gerelateerd zijn aan informatiebeveiliging. Accountants die gespecialiseerd zijn in IT Audit, kijken in hoofdlijnen mee met hoe de informatiebeveiliging van een onderwijsinstelling geregeld is. Als er stappen zijn ondernomen en het geheel naar een nog hoger niveau moet worden getild, zijn er externe dienstverleners die de informatiebeveiliging jaarlijks beoordelen. Zo houdt u de sloten van al uw deuren stevig op slot.