Applicatiebeveiliging
Gynzy. Magister. ParnasSys. Elke school is voor het geven van onderwijs en het organiseren van onderwijs afhankelijk van tal van ict-applicaties en -systemen. Vaak bevatten deze applicaties de persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More en andere gevoelige informatie van leerlingen en leerkrachten. Gegevens waarvan niemand wil dat ze in de verkeerde handen vallen. Zorg er daarom voor dat je je applicatiebeveiliging op orde hebt.
Met een goede applicatiebeveiliging verklein je de kans op ongelukken met en misbruik van data. Het betekent onder andere dat:
- Iedereen binnen en buiten de school alleen toegang heeft tot de systemen die nodig zijn voor zijn of haar werkzaamheden.
- Niemand langer toegang krijgt dan strikt noodzakelijk.
- Er voorzichtig wordt omgegaan met het geven van uitgebreide toegangsrechten. Denk aan rechten die de mogelijkheid bieden om wijzigingen aan te brengen aan instellingen van applicaties of toegang geven tot een grote hoeveelheid data.
- Waar mogelijk en noodzakelijk tweefactorauthenticatie wordt ingesteld.
Wie doet wat?
Bij het beveiligen van applicaties zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More is verantwoordelijk voor applicatiebeveiliging.
- De ict-verantwoordelijke zorgt voor beleid, bewaking van activiteiten en communicatie.
- De ict-beheerder zorgt voor de technische uitvoering en eventuele aansturing van externe partijen die verantwoordelijk zijn voor de technische uitvoering.
Aan de slag
Hieronder beschrijven we in een aantal stappen hoe je zorgt voor een goede applicatiebeveiliging. Het kan zijn dat je een van de stappen al hebt uitgevoerd of aan sommige stappen een hogere prioriteit toekent dan aan andere. Dat geeft niet. Je hoeft onderstaande stappen niet in de voorgestelde volgorde uit te voeren, maar kan daar een eigen volgorde in kiezen.
Stap 1 | Inventariseer welke applicaties er zijn
Een goede applicatiebeveiliging begint met in beeld krijgen welke applicaties er zijn. Begin met een overzicht van de grote systemen, zoals die van de financiële administratie, HRM en leerlingadministratie. Bekijk daarna in welke andere systemen persoonsgegevens worden gebruikt of opgeslagen. Denk hierbij bijvoorbeeld aan de elektronische leeromgeving of een ouderportaal. Besteed ook aandacht aan de kleine applicaties waarvan je makkelijk vergeet dat ze gebruikt worden.
Stap 2 | Inventariseer wie toegang heeft tot wat
Wie heeft toegang tot al die applicaties? Zorg ervoor dat je dit in beeld hebt. Werk zoveel mogelijk met gebruikersrollen en voorkom dat aan medewerkers individueel rechten worden toegekend. Geef ook aan welk autorisatieniveau ze hebben. Vergeet niet dat soms ook externe partijen toegang hebben tot je applicaties. Neem die mee in je inventarisatie.
Stap 3 | Check of iedereen de juiste autorisatie heeft
Geef medewerkers en externen een persoonlijk account en alleen toegang tot die bestanden en applicaties die ze nodig hebben voor hun werk. Een autorisatiematrixEen schema waarin vast is gelegd wie toegang krijgt tot welke persoonsgegevens. Dat kan op basis van rollen, functies of een mix daarvan. More kan hier een handig hulpmiddel bij zijn. Schakel beheeraccounts van externe partijen uit, wijzig het standaardwachtwoord en activeer deze accounts alleen wanneer dat nodig is, bijvoorbeeld als onderhoud plaatsvindt.
Stap 4 | Pas tweefactorauthenticatie toe
Pas tweefactorauthenticatie toe waar dat mogelijk en noodzakelijk is. Tweefactorauthenticatie houdt in dat een gebruiker naast een wachtwoord nog iets extra’s nodig heeft om in te loggen. Bijvoorbeeld een eenmalige code die wordt toegezonden via e-mail of sms of het gebruik van een token. Dit zorgt ervoor dat iemand die het wachtwoord gehackt heeft toch het systeem niet in komt.
