11 basismaatregelen om je informatiebeveiliging te verhogen

Bescherm je school tegen cyberaanvallen en verhoog de informatiebeveiliging met deze 11 basismaatregelen. Met deze basismaatregelen zet je eerste concrete stappen om jouw school digitaal veiliger te maken. Elk van deze maatregelen vermindert hoge veiligheidsrisico’s en digitale incidenten. Ze gelden zowel voor je eigen systemen als voor systemen van leveranciersAanbieders van ict- of leermiddelen. More. Het zijn geen quick wins; je moet er tijd in steken en ze zorgvuldig implementeren.  

Om je hierbij te helpen, vind je bij iedere basismaatregel informatie en, indien beschikbaar, handreikingen en praktische ondersteuning. Soms verwijzen we naar voorbeelddocumenten en bronnen uit andere sectoren die je ter inspiratie kunt gebruiken voor het primair en voortgezet onderwijs.

Als je deze basismaatregelen treft, werk je gedeeltelijk aan een aantal normen uit het Normenkader IBP FO. Welke normen dit zijn, zie je bij elke maatregel terug. Je voldoet nog niet meteen aan de hele norm die erbij staat.

De basismaatregelen zijn geïnspireerd door publicaties van het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center. De maatregelen worden aangeraden door het programma Digitaal Veilig Onderwijs.

Wie doet wat?

De basismaatregelen zijn voor IBP’ers en medewerkers in het po en vo die verantwoordelijk zijn voor de informatiebeveiliging binnen hun school. Soms werkt je school met een externe (ict-)leverancier die deze maatregelen moet treffen. Controleer altijd of dit is gebeurd.

Ga met je schoolbestuurder, schoolleider en collega’s in gesprek over de basismaatregelen om het bewustzijn binnen de school te vergroten.

Aan de slag

1. Breng je applicaties en omgevingen in kaart (zeker die waar persoonsgegevens in staan), wijs intern en extern verantwoordelijke personen aan en richt een proces in voor ‘als het fout gaat’.

• Inzicht in het applicatielandschap (Kennisnet): dit geeft je een beeld van de risico’s op het gebied van informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More.  
• Factsheet configuratiemanagement (IBD): configuratiemanagement is belangrijk om de digitale weerbaarheid van de organisatie te verhogen. Deze factsheet beschrijft in het kort hoe gemeenten een actueel inzicht kunnen krijgen in alle hardware en software en onderlinge verbindingen binnen de organisatie. De factsheet is goed te gebruiken voor schoolbesturen.  
• Bedrijfscontinuïteitsmanagement (Aanpak IBP): welke maatregelen kun je nemen tegen bedreigingen als ransomware, DDoS-aanvallen en phishing? Met bedrijfscontinuïteitsmanagement sorteer je voor op dit soort ongewenste gebeurtenissen en zorg je dat kritische processen binnen je school zo snel mogelijk weer doorgaan.
• Ketenbeheer (Aanpak IBP): dit verdient met name aandacht als je school de verwerking van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More uitbesteedt aan een derdeEen natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken. More partij. Denk ook aan veilige inkoop van clouddiensten.

Deze maatregel heeft een relatie met de normen: 2.1 | 5.2 | 9.1 | 14.1 | 14.2 | 15.3

2. Maak afspraken met leveranciers.

• Verwerkersovereenkomsten (Aanpak IBP): als je school de verwerking van persoonsgegevens uitbesteedt, moet je een verwerkersovereenkomst afsluiten om de privacy van leerlingen, medewerkers en oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More te waarborgen.  
• Factsheet met 5 adviezen voor veilig inkopen van clouddiensten (NCSC): houd voor een veilige inkoop van clouddiensten rekening met deze 5 adviezen.
• Dienst Verwerkersovereenkomsten (Kennisnet): de Dienst Verwerkersovereenkomsten is een beveiligde omgeving voor schoolbesturen waar leveranciers en schoolbesturen verwerkersovereenkomsten met elkaar afsluiten en beheren.

Deze maatregel heeft een relatie met de normen: 15.1 | 15.2 | 15.3 |15.4

3. Richt risicomanagement in.

• Risicoanalyse (Aanpak IBP): de Algemene Verordening Gegevensbescherming (AVG) eist dat je de juiste maatregelen neemt om persoonsgegevens te beschermen. Dat kan alleen als je weet over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Al deze zaken breng je in kaart met een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. More.
• Handreiking risicomanagement door lijnmanagers (IBD): deze handreiking beschrijft de verantwoordelijkheden van de lijnmanager bij informatiebeveiliging en gaat in op risicomanagement. Het is een hulpmiddel voor de CISO om lijnmanagers te adviseren in hun rol bij IBP.
• Factsheet Risico’s beheersen (NCSC): wil je zicht en grip krijgen op de beheersing van risico’s rond het werken met informatie? In deze factsheet vind je meer informatie over dit soort zaken.

Deze maatregel heeft een relatie met de normen: 3.1 | 3.2 | 3.3

4. Bepaal wie toegang heeft tot je data en diensten en leg uit waarom personen toegang moeten hebben.

• Bepaal wie toegang heeft tot je data en diensten (NCSC): geef medewerkers alleen toegang tot informatie, systemen en locaties die nodig zijn voor het uitvoeren van hun taak.    
• Beleid logisch toegangsbeveiliging (IBD): deze handreiking voor gemeenten beschrijft beleid voor logische toegangsbeveiligingen en biedt voorbeelddocumenten voor hoe je dit beleid uitvoert.
• Toegangsbeleid (IBD): deze handreiking voor gemeenten benoemt aandachtspunten voor toegangsbeleid, gebaseerd op praktijkvoorbeelden.
• Beleid voor Identity Access Management (IAM) (Aanpak IBP): een goed proces rondom IAM is essentieel om zicht te houden op uitgegeven rollen en rechten, maar ook op de inrichting van systemen.  

Deze maatregel heeft een relatie met de normen: 4.4 | 10.1 | 10.2 | 10.5

5. Beperk het aanvalsoppervlak.

De meeste software, computer- en netwerkapparatuur bevatten meer functionaliteiten dan een organisatie nodig heeft. Dit maakt je onnodig kwetsbaar. Om het aanvalsoppervlak te beperken kun je een maatregelen nemen zoals hardening en segmentering.

• Hardening beleid voor gemeenten (IBD): hardening is treffen van maatregelen om de aanvalsmogelijkheden op een systeem te verkleinen. Bijvoorbeeld door overbodige software, services en gebruikersaccounts uit te schakelen en/of te verwijderen. Deze handreiking voor gemeenten gaat hierop in en geeft handvatten voor het maken van beleid.
• Netwerksegmentering (IBD): dit is het opknippen van het totale netwerk in kleinere segmenten, met tussen de segmenten een beveiligd koppelvlak. Hackers die zich in een netwerksegment bevinden hebben dan niet ongehinderd toegang tot andere delen van het netwerk.

Deze maatregel heeft een relatie met de normen: 11.1 | 11.11 | 11.12

6. Versleutel opslagmedia met gevoelige bedrijfsinformatie van belangrijke bedrijfsgegevens en privacygevoelige gegevens.  

• Mobiele gegevensdragers (IBD): mobiele gegevensdragers worden gebruikt voor het transport van informatie. De vormen van mobiele gegevensdragers nemen toe en daarmee ook de kans op verlies van gegevens. Daarnaast kunnen mobiele media ook een bron zijn van ongewenste software zoals virussen. Deze handreiking voor gemeenten gaat hierop in.
• Gebruik versleuteling (NCSC): het versleutelen van informatie maakt data onbruikbaar als deze in handen van aanvallers valt. Door de versleuteling is de data alleen in te zien wanneer je de sleutel hebt.

Deze maatregel heeft een relatie met de normen: 9.3 | 9.4 | 11.3

7. Bescherm je organisatie tegen het verlies van gegevens door regelmatig back-ups te maken en te testen.

• Back-up- en herstelplan (Aanpak IBP): wat doe je als een belangrijk systeem uitvalt of als je school het doelwit is van een ransomware-aanval? Een goed back-up- en herstelplan zijn in dat soort situaties noodzakelijk.
• Test back-ups en beperk toegang (NCSC): maak regelmatig back-ups en test deze. Denk aan de toegangsrechten, maar ook aan het versleutelen van je back-­ups.
• Back-up en recovery voor gemeenten (IBD): deze handreiking beschrijft het proces rond back-up en recovery voor gemeenten.

Deze maatregel heeft een relatie met de normen: 13.1 | 13.2 | 14.3

8. Gebruik antivirus-software.

• Voorkom virussen en andere malware (Digital Trust Center): stimuleer veilig gedrag bij leerlingen en medewerkers; gebruik een antivirusprogramma; installeer apps bewust en beperk de installatiemogelijkheden van software.

Deze maatregel heeft een relatie met de norm: 11.12

9. Pas multifactorauthenticatie toe op de kritieke systemen.

• Pas sterke authenticatie toe (NCSC): authenticatieAuthenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt. More is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Hiermee krijgt een gebruiker toegang tot gegevens of systemen. Het is tegenwoordig mogelijk om op applicaties en systemen in te loggen met bijvoorbeeld een stukje hardware (token of telefoon) en een biometrisch kenmerk.   
• Tweefactorauthenticatie (2FA) voor gemeenten (IBD): 2FA is een identiteits- en toegangsbeveiligingsmethode die twee vormen van identificatie vereist om toegang te krijgen tot bronnen en gegevens. 2FA wordt vaak gebruikt als een extra beveiliging voor online accounts om onbevoegde toegang te voorkomen. 
• Wachtwoordbeleid (Aanpak IBP): een wachtwoordbeleid schrijft voor aan welke eisen een wachtwoord moet voldoen, zodat de kans dat buitenstaanders toegang krijgen tot jouw netwerk of persoonsgegevens zo klein mogelijk is. 

Deze maatregel heeft een relatie met de norm: 11.12

10. Centraliseer en analyseer loginformatie.

• Centraliseer en analyseer loginformatie (NCSC): logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door te zorgen dat applicaties en systemen voldoende loginformatie genereren, voorzie je jezelf van voldoende informatie.

Deze maatregel heeft een relatie met de normen: 10.1 | 11.4

11. Installeer tijdig en op een gestructureerde manier updates.

• Richt patchmanagement in (NCSC): door een patchmanagementproces in te richten, zorg je dat er een proces is om updates voor je software te identificeren, te testen en te installeren.
• Factsheet Patchmanagement (IBD): deze factsheet beschrijft op hoofdlijnen waarom patchmanagement essentieel is. Wat het doel ervan is. Hoe de CERT van de IBD hierbij kan helpen. Maar ook hoe je er zelf mee aan de slag kunt.
• Patchmanagement voor gemeenten (IBD): deze handreiking beschrijft het proces rond patchmanagement.

Deze maatregel heeft een relatie met de norm: 5.2

Veelgestelde vragen