11 basismaatregelen om je informatiebeveiliging te verhogen

gepubliceerd op 29 januari 2024

Bescherm je school tegen cyberaanvallen en verhoog de informatiebeveiliging met deze 11 basismaatregelen. Met deze basismaatregelen zet je eerste concrete stappen om jouw school digitaal veiliger te maken. Elk van deze maatregelen vermindert hoge veiligheidsrisico’s en digitale incidenten. Ze gelden zowel voor je eigen systemen als voor systemen van leveranciers. Het zijn geen quick wins; je moet er tijd in steken en ze zorgvuldig implementeren.  

Om je hierbij te helpen, vind je bij iedere basismaatregel informatie en, indien beschikbaar, handreikingen en praktische ondersteuning. Soms verwijzen we naar voorbeelddocumenten en bronnen uit andere sectoren die je ter inspiratie kunt gebruiken voor het primair en voortgezet onderwijs.

Als je deze basismaatregelen treft, werk je gedeeltelijk aan een aantal normen uit het Normenkader IBP FO. Welke normen dit zijn, zie je bij elke maatregel terug. Je voldoet nog niet meteen aan de hele norm die erbij staat.

De basismaatregelen zijn geïnspireerd door publicaties van het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center. De maatregelen worden aangeraden door het programma Digitaal Veilig Onderwijs.

Wie doet wat?

De basismaatregelen zijn voor IBP’ers en medewerkers in het po en vo die verantwoordelijk zijn voor de informatiebeveiliging binnen hun school. Soms werkt je school met een externe (ict-)leverancier die deze maatregelen moet treffen. Controleer altijd of dit is gebeurd.

Ga met je schoolbestuurder, schoolleider en collega’s in gesprek over de basismaatregelen om het bewustzijn binnen de school te vergroten.

Aan de slag

1. Breng je applicaties en omgevingen in kaart (zeker die waar persoonsgegevens in staan), wijs intern en extern verantwoordelijke personen aan en richt een proces in voor ‘als het fout gaat’.

  • Inzicht in het applicatielandschap (Kennisnet): dit geeft je een beeld van de risico’s op het gebied van informatiebeveiliging en privacy.  
  • Factsheet configuratiemanagement (IBD): configuratiemanagement is belangrijk om de digitale weerbaarheid van de organisatie te verhogen. Deze factsheet beschrijft in het kort hoe gemeenten een actueel inzicht kunnen krijgen in alle hardware en software en onderlinge verbindingen binnen de organisatie. De factsheet is goed te gebruiken voor schoolbesturen.  
  • Starterkit Business Continuity Management (SURF): welke maatregelen kun je nemen tegen bedreigingen als ransomware, DDoS-aanvallen en phishing?  
  • Ketenbeheer (Aanpak IBP): dit verdient met name aandacht als je school de verwerking van persoonsgegevens uitbesteedt aan een derde partij. Denk ook aan veilige inkoop van clouddiensten.

Deze maatregel heeft een relatie met de normen: 2.1 | 5.2 | 9.1 | 14.1 | 14.2 | 15.3

2. Maak afspraken met leveranciers.

  • Verwerkersovereenkomsten (Aanpak IBP): als je school de verwerking van persoonsgegevens uitbesteedt, moet je een verwerkersovereenkomst afsluiten om de privacy van leerlingen, medewerkers en ouders te waarborgen.  
  • Factsheet met 5 adviezen voor veilig inkopen van clouddiensten (NCSC): houd voor een veilige inkoop van clouddiensten rekening met deze 5 adviezen.
  • Dienst Verwerkersovereenkomsten (Kennisnet): de Dienst Verwerkersovereenkomsten is een beveiligde omgeving voor schoolbesturen waar leveranciers en schoolbesturen verwerkersovereenkomsten met elkaar afsluiten en beheren.

Deze maatregel heeft een relatie met de normen: 15.1 | 15.2 | 15.3 |15.4

3. Richt risicomanagement in.

  • Risicoanalyse (Aanpak IBP): de Algemene Verordening Gegevensbescherming (AVG) eist dat je de juiste maatregelen neemt om persoonsgegevens te beschermen. Dat kan alleen als je weet over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Al deze zaken breng je in kaart met een risicoanalyse.
  • Handreiking risicomanagement door lijnmanagers (IBD): deze handreiking beschrijft de verantwoordelijkheden van de lijnmanager bij informatiebeveiliging en gaat in op risicomanagement. Het is een hulpmiddel voor de CISO om lijnmanagers te adviseren in hun rol bij IBP.
  • Factsheet Risico’s beheersen (NCSC): wil je zicht en grip krijgen op de beheersing van risico’s rond het werken met informatie? In deze factsheet vind je meer informatie over dit soort zaken.

Deze maatregel heeft een relatie met de normen: 3.1 | 3.2 | 3.3

4. Bepaal wie toegang heeft tot je data en diensten en leg uit waarom personen toegang moeten hebben.

  • Bepaal wie toegang heeft tot je data en diensten (NCSC): geef medewerkers alleen toegang tot informatie, systemen en locaties die nodig zijn voor het uitvoeren van hun taak.    
  • Beleid logisch toegangsbeveiliging (IBD): deze handreiking voor gemeenten beschrijft beleid voor logische toegangsbeveiligingen en biedt voorbeelddocumenten voor hoe je dit beleid uitvoert.
  • Toegangsbeleid (IBD): deze handreiking voor gemeenten benoemt aandachtspunten voor toegangsbeleid, gebaseerd op praktijkvoorbeelden.
  • Beleid voor Identity Access Management (IAM) (Aanpak IBP): een goed proces rondom IAM is essentieel om zicht te houden op uitgegeven rollen en rechten, maar ook op de inrichting van systemen.  

Deze maatregel heeft een relatie met de normen: 4.4 | 10.1 | 10.2 | 10.5

5. Beperk het aanvalsoppervlak.

De meeste software, computer- en netwerkapparatuur bevatten meer functionaliteiten dan een organisatie nodig heeft. Dit maakt je onnodig kwetsbaar. Om het aanvalsoppervlak te beperken kun je een maatregelen nemen zoals hardening en segmentering.

  • Hardening beleid voor gemeenten (IBD): hardening is treffen van maatregelen om de aanvalsmogelijkheden op een systeem te verkleinen. Bijvoorbeeld door overbodige software, services en gebruikersaccounts uit te schakelen en/of te verwijderen. Deze handreiking voor gemeenten gaat hierop in en geeft handvatten voor het maken van beleid.
  • Netwerksegmentering (IBD): dit is het opknippen van het totale netwerk in kleinere segmenten, met tussen de segmenten een beveiligd koppelvlak. Hackers die zich in een netwerksegment bevinden hebben dan niet ongehinderd toegang tot andere delen van het netwerk.

Deze maatregel heeft een relatie met de normen: 11.1 | 11.11 | 11.12

6. Versleutel opslagmedia met gevoelige bedrijfsinformatie van belangrijke bedrijfsgegevens en privacygevoelige gegevens.  

  • Mobiele gegevensdragers (IBD): mobiele gegevensdragers worden gebruikt voor het transport van informatie. De vormen van mobiele gegevensdragers nemen toe en daarmee ook de kans op verlies van gegevens. Daarnaast kunnen mobiele media ook een bron zijn van ongewenste software zoals virussen. Deze handreiking voor gemeenten gaat hierop in.
  • Gebruik versleuteling (NCSC): het versleutelen van informatie maakt data onbruikbaar als deze in handen van aanvallers valt. Door de versleuteling is de data alleen in te zien wanneer je de sleutel hebt.

Deze maatregel heeft een relatie met de normen: 9.3 | 9.4 | 11.3

7. Bescherm je organisatie tegen het verlies van gegevens door regelmatig back-ups te maken en te testen.

  • Back-up- en herstelplan (Aanpak IBP): wat doe je als een belangrijk systeem uitvalt of als je school het doelwit is van een ransomware-aanval? Een goed back-up- en herstelplan zijn in dat soort situaties noodzakelijk.
  • Test back-ups en beperk toegang (NCSC): maak regelmatig back-ups en test deze. Denk aan de toegangsrechten, maar ook aan het versleutelen van je back-­ups.
  • Back-up en recovery voor gemeenten (IBD): deze handreiking beschrijft het proces rond back-up en recovery voor gemeenten.

Deze maatregel heeft een relatie met de normen: 13.1 | 13.2 | 14.3

8. Gebruik antivirus-software.

  • Voorkom virussen en andere malware (Digital Trust Center): stimuleer veilig gedrag bij leerlingen en medewerkers; gebruik een antivirusprogramma; installeer apps bewust en beperk de installatiemogelijkheden van software.

Deze maatregel heeft een relatie met de norm: 11.12

9. Pas multifactorauthenticatie toe op de kritieke systemen.

  • Pas sterke authenticatie toe (NCSC): authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Hiermee krijgt een gebruiker toegang tot gegevens of systemen. Het is tegenwoordig mogelijk om op applicaties en systemen in te loggen met bijvoorbeeld een stukje hardware (token of telefoon) en een biometrisch kenmerk.   
  • Tweefactorauthenticatie (2FA) voor gemeenten (IBD): 2FA is een identiteits- en toegangsbeveiligingsmethode die twee vormen van identificatie vereist om toegang te krijgen tot bronnen en gegevens. 2FA wordt vaak gebruikt als een extra beveiliging voor online accounts om onbevoegde toegang te voorkomen. 
  • Wachtwoordbeleid (Aanpak IBP): een wachtwoordbeleid schrijft voor aan welke eisen een wachtwoord moet voldoen, zodat de kans dat buitenstaanders toegang krijgen tot jouw netwerk of persoonsgegevens zo klein mogelijk is. 

Deze maatregel heeft een relatie met de norm: 11.12

10. Centraliseer en analyseer loginformatie.

  • Centraliseer en analyseer loginformatie (NCSC): logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door te zorgen dat applicaties en systemen voldoende loginformatie genereren, voorzie je jezelf van voldoende informatie.

Deze maatregel heeft een relatie met de normen: 10.1 | 11.4

11. Installeer tijdig en op een gestructureerde manier updates.

  • Richt patchmanagement in (NCSC): door een patchmanagementproces in te richten, zorg je dat er een proces is om updates voor je software te identificeren, te testen en te installeren.
  • Factsheet Patchmanagement (IBD): deze factsheet beschrijft op hoofdlijnen waarom patchmanagement essentieel is. Wat het doel ervan is. Hoe de CERT van de IBD hierbij kan helpen. Maar ook hoe je er zelf mee aan de slag kunt.
  • Patchmanagement voor gemeenten (IBD): deze handreiking beschrijft het proces rond patchmanagement.

Deze maatregel heeft een relatie met de norm: 5.2

Veelgestelde vragen

Hoe verhouden deze basismaatregelen zich tot het Normenkader IBP FO?

Het Normenkader IBP FO is voor jou en je schoolbestuur de leidraad voor een veilig digitaal onderwijs. Iedere basismaatregel is vereist binnen een of meerdere normen uit het Normenkader IBP FO. Zo helpen deze basismaatregelen om gedeeltelijk te voldoen aan de normen. Bij de basismaatregelen zijn de normen vermeld waarmee een relatie is.

Hoe verhouden deze basismaatregelen zich tot het Groeipad in het Normenkader IBP FO?

De basismaatregelen lopen vooruit op het Groeipad. Vanaf de tweede helft van 2024 word je met een logisch en volledig Groeipad, inclusief een daarbij passend ondersteuningsaanbod, stap voor stap meegenomen door het Normenkader IBP FO.

Hoe verhouden de basismaatregelen zich tot de hulpmiddelen op de Aanpak IBP?

Kennisnet, een van de samenwerkingspartners binnen het programma Digitaal Veilig Onderwijs, ontwikkelt nieuw ondersteuningsaanbod en publiceert dit op de Aanpak IBP. Daarom vind je voor sommige van deze basismaatregelen nu al verwijzingen naar handreikingen of hulpmiddelen op de Aanpak IBP. Kennisnet vult deze aan zodra er nieuw ondersteuningsaanbod gereed is.

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave