Peergang Cybersecurity 2024

Peergang Cybersecurity 2024

Introductie

Wil je aan de slag met cybersecurity in jouw team, college, instelling? In deze Peergang ga je op strategische wijze aan de slag om jouw instelling weerbaarder te maken tegen cybercriminaliteit.

Samen kennis en ervaringen uitdelen staat centraal in deze Peergang.

Na deze Peergang kun je als deelnemer:

  • Systematisch beoordelen en inschatten in welke mate informatieveiligheid wordt nageleefd binnen het team/de schoolinstelling, met het oog op het identificeren van risico's en het formuleren van verbetermaatregelen (NIST)
  • Actief en effectief gebruik maken van de kennis en expertise van collega's en bestaande netwerken binnen de onderwijssector om professionele groei en verbetering te bevorderen.  
  • Analyseren en beoordelen in welke mate het team/de schoolinstelling voldoet aan de vereisten van informatieveiligheid, met het oog op het identificeren van zwakke punten en het formuleren van verbeteringen.
  • Implementeren van specifieke maatregelen om de cyberveiligheid van het team/de schoolinstelling te verbeteren door middel van het vergroten van de bekwaamheid, motivatie en faciliteiten van de deelnemers om veilig met informatie te werken.
  • Verbinding realiseren tussen het staande informatie/privacybeleid (IBP) en de onderwiijspraktijk.

Geschikt voor deelnemers die een functie/rol hebben als verbinder tussen onderwijs en IT en beter willen worden in het voeren van (effectieve-) gesprekken. Deelnemers zijn meestal i-coach, projectleider, LD-docent, informatiemanager, applicatiebeheerder.

Na afloop ken je de basisbeginselen van adviesvaardigheden en heb je geoefend met een aantal gesprekken. Je weet beter de weg in ‘onderwijsvernieuwing’ in Nederland.

 

De peergang adviesvaardigheden start 19 november 2024.

 

Lees meer en inschrijven

 

Deze peergang is onderdeel van het programma Cyberveiligheid

Het programma Cyberveiligheid heeft als doel om de cyberweerbaarheid van de mbo-sector te vergroten. Binnen dit programma werken de mbo-scholen samen om kennis te delen, kwetsbaarheden te identificeren en best practices uit te werken. Samen staan we sterker tegen cybercriminaliteit. (Bron: Programma Cyberveiligheid MBO)

COM-B model

Voor de indeling halen we de inspiratie uit het COM-B model.

In het model worden drie factoren genoemd die bij elk gedrag een rol spelen: omgeving, motivatie en capaciteit (in deze peergang bekwaamheid genoemd).

Deze drie factoren interacteren voortdurend met elkaar en bepalen of je een bepaald gedrag wel of niet uitvoert (Bron: Sectorrapportage 2022 blz.5 ) Door middel van deze opbouw in de peergang streven we naar een gedragsverandering van de deelnemers zodat zij informatieveiliger kunnen werken.

 

Workshop 1

Privacy

Privacy verwijst naar jouw recht om controle te hebben over je persoonlijke gegevens en informatie. Het omvat het recht om te bepalen welke gegevens van jou worden verzameld, hoe deze worden gebruikt, wie er toegang toe heeft en het recht om deze gegevens te beschermen tegen ongeautoriseerde toegang of misbruik.

De VN-Verklaring over massamedia en de rechten van de mens formuleert het recht op privacy als het recht je eigen leven te leiden met zo min mogelijk inmenging van buitenaf. (Bron: Amnesty)

"Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. Een zinnige discussie over privacy, en dus over de zin en onzin van het argument ‘ik heb niks te verbergen,’ zou daarom altijd moeten beginnen bij de constatering dat privacy, boven alles, een menselijke eigenschap is" (Bron: De Correspondent)

 

Privacy is een fundamenteel mensenrecht en speelt een cruciale rol in het beschermen van de persoonlijke vrijheid, waardigheid en autonomie van mensen.

In het onderwijs is privacy uitermate belangrijk, zowel voor studenten als voor medewerkers.  In deze peergang ligt de nadruk op informationele privacy. Dit gaat over de bescherming van persoonsgegevens en de rechten die je hebt om deze te beschermen.

Voor medewerkers in het onderwijs is het zorgvuldig omgaan met privacygevoelige gegevens om verschillende redenen van groot belang:

  1. Vertrouwensrelatie: Medewerkers in het onderwijs hebben een vertrouwensrelatie met studenten en hun ouders/verzorgers. Ze hebben toegang tot gevoelige informatie, zoals persoonlijke en gezinssituatiegegevens, leerproblemen en medische gegevens. Het respecteren van de privacy helpt bij het behouden van dit vertrouwen.
  2. Bescherming van de student: Het waarborgen van de privacy van studenten beschermt hen tegen potentieel misbruik of pesterijen op basis van gevoelige informatie. Hierdoor kunnen studenten zich veiliger voelen en zich beter concentreren op hun ontwikkeling.
  3. Wettelijke verplichtingen: In veel landen zijn er wetten en regels die de bescherming van persoonlijke gegevens regelen, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. Het niet naleven van deze wetten kan leiden tot juridische en financiële gevolgen voor de onderwijsinstelling en de medewerkers.
  4. Datalekken voorkomen: Door zorgvuldig om te gaan met privacygevoelige gegevens kunnen medewerkers datalekken voorkomen. Een datalek kan leiden tot verlies van vertrouwen in de onderwijsinstelling en schade toebrengen aan de betrokkenen.
  5. Professionele ethiek: Het waarborgen van privacy maakt deel uit van de professionele ethiek van medewerkers in het onderwijs. Het getuigt van respect voor de privacyrechten van anderen en bevordert een positieve en verantwoordelijke werkcultuur.
  6. Voorbeeld voor studenten: Medewerkers in het onderwijs fungeren als rolmodellen voor studenten. Door het belang van privacy te benadrukken en zorgvuldig om te gaan met gevoelige gegevens, leren ze studenten het belang van respect voor privacy.

Al met al is het waarborgen van privacy niet alleen een wettelijke verplichting voor onderwijsinstellingen, maar ook een morele en ethische verantwoordelijkheid. Het zorgvuldig omgaan met privacygevoelige gegevens draagt bij aan een veilige en vertrouwde leeromgeving, waarin studenten en medewerkers zich kunnen ontwikkelen en gedijen.

 

 

Omgeving

Het rampscenario

Een grote hoeveelheid gegevens van studenten wordt gestolen. Kopieën van paspoorten, verblijfsvergunningen, cijferlijsten, informatie over betalingsachterstanden en nog veel meer, gelekt doordat de informatie stond op een laptop die niet goed beveiligd was.
(Bron: Tweakers.net)

Uit het mbo komt het voorbeeld van ROC Mondriaan: Vragen en antwoorden hack ROC Mondriaan | ROC Mondriaan. Ook hier wordt gesproken over identiteitsbewijzen die in de handen van de hackers zijn gekomen en op het darkweb zijn gepubliceerd.

 

Je eigen omgeving

Ben jij actief op social media? Facebook, Twitter, LinkedIn, Whatsapp, TikTok. Of maak je gebruik van slimme apparaten in je huis zoals een Google Home, een Apple HomePod, een slimme deurbel of een slimme thermostaat? Heb je daar de privacy statement wel eens van gelezen? Of heb je de privacy settings wel eens doorlopen?

"Het is onmogelijk om met het blote oog te zien, op welke manier wij bespioneerd worden, wat er met die data gebeurd en welke gevolgen dat heeft voor ons leven."
(Maurits Martijn, van het boek Je hebt wel iets te verbergen) Een ander interessant boek dat duidelijk maakt hoe belangrijk privacy is, is: Mijn gestolen leven van Kevin Goes.

 

De schoolomgeving

Binnen de  onderwijsinstelling zijn er veel zaken geregeld rondom de privacy van de medewerkers en de studenten. Het is bijvoorbeeld verplicht een privacy statement toe te voegen aan de website. Heb je deze wel eens doorgelezen? Tip: meestal vind je deze helemaal onderaan de site.

In de onderwijsoverkeenkomst tekenen studenten voor het beschikbaar stellen van bepaalde gegevens. Binnen een onderwijsinstelling zijn mensen die het als taak hebben om de privacy van studenten en medewerkers te beschermen.

 

De organisatie

Begrippen in de (onderwijs)omgeving

FG/DPO Functionaris voor gegevensbescherming - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

DPIA DPIA - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

Privacyreglement en -verklaring Privacyreglement en -verklaring - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

Bewaartermijn Bewaartermijnen - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

Verwerkersovereenkomst Verwerkersovereenkomsten - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

Verwerkingsregister Register van verwerkingsactiviteiten - Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)

Verwerken
Alles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming.

Verwerker
Degene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het studentadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt.

Verwerkingsverantwoordelijke
Degene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur.

 

 

 

 

Motivatie

Het belang inzien van het beschermen van de privacy en de motivatie om er serieus aandacht aan te besteden, begint met het inzicht wat de gevolgen kunnen zijn wanneer de privacy wordt geschonden. Onderstaand filmpje laat duidelijk zien wat de gevolgen zijn van de inbreuk op de privacy van een leerling.

Eerste Indruk Freek

Het recht op privacy is in de wet vastgelegd. Maar hoe vertaalt zich dit dan naar de praktijk? Hoe kan jij een goede inschatting maken of de privacy geschonden wordt en waarom is dat belangrijk?

Daniel J. Solove heeft een poging gedaan met zijn taxonomie van privacy om het speelveld van privacy te duiden. In deze peergang hebben we de verschillende onderdelen beschreven en aangevuld met concrete voorbeelden.

Taxonomie van Privacy ontwikkeld door Daniel J. Solove hier vertaald en aangevuld met voorbeelden uit de PDF

  1. Informatieverzameling
    • Surveillance (Toezicht): Monitoren van activiteiten van een persoon. Bijvoorbeeld het registreren van de bewegingen van de cursor wanneer een internetpagina wordt bezocht.
    • Interrogatie (Ondervraging): Onder dwang verkrijgen van informatie. Bijvoorbeeld vragen of iemand zwanger is tijdens een sollicitatiegesprek.
  2. Informatieverwerking
    • Aggregatie (Samenvoeging): Het verzamelen van gegevens uit verschillende bronnen om een alomvattend beeld van een persoon te vormen. Bijvoorbeeld de data van gezinssituatie van een student combineren met het verzuim van de student om te komen tot een risicoanalyse voor VSV.
    • Identificatie: Het koppelen van informatie aan een echt persoon, waardoor anonimiteit en privacy verminderen.
    • Onveiligheid: het niet veilig opslaan van informatie. Bijvoorbeeld een e-commerce site die de bestelgeschiedenis van andere gebruikers toont.
    • Secundair Gebruik (Doelbinding): Gegevens gebruiken voor doeleinden die niet gerelateerd zijn aan de oorspronkelijke toestemming. Bijvoorbeeld wanneer een site een leeftijdscontrole moet doen voor de verkoop van alcohol maar de geboortedatum ook gebruikt om aanbiedingen te sturen op de verjaardag.
    • Uitsluiting: Het niet informeren van individuen over het gebruik van hun persoonlijke gegevens. Bijvoorbeeld het niet in aanmerking komen voor een verzekering zonder geinformeerd te worden wat de reden van uitsluiting is.
  3. Informatieverspreiding
    • Schending van Vertrouwelijkheid: Vertrouwen schenden door vertrouwelijke informatie openbaar te maken. Bijvoorbeeld een arts die patientgegevens deelt op zijn website.
    • Openbaarmaking: Het opzettelijk publiceren van persoonlijke informatie, waardoor reputatieschade ontstaat. Bijvoorbeeld het publiceren van het privé adres van politici.
    • Blootstelling: Het blootstellen van bepaalde fysieke en emotionele kenmerken van een persoon, wat leidt tot schaamte en vernedering. Bijvoorbeeld het publiceren van een privė video
    • Verhoogde Toegankelijkheid: Bijvoorbeeld een rechtbank die procedures doorzoekbaar maakt op internet zonder persoonlijke informatie te redigeren.
    • Toeëigening: Het gebruik van iemands identiteit of persoonlijkheid voor de doeleinden en doelen van een ander. Bijvoorbeeld een Social Media site die foto's van gebruikers gebruikt in reclame uitingen.
    • Verdraaiing: Het verspreiden van valse of misleidende informatie over een persoon. Bijvoorbeeld het plaatsen van uitspraken van een persoon terwijl hij/zij deze uitspraken nooit gedaan heeft.
  4. Invasie
    • Inbraak: inbaar in de privesfeer van een persoon. Bijvoorbeeld een digitale speurtocht die een opdracht laat uitvoeren op priveterrein.
    • Inmenging in besluitvorming: Ongewenste inmenging door een autoriteit in persoonlijke beslissingen. Bijvoorbeeld een betaaldienst die bepaalde transacties weigert op basis van sexuele voorkeur of geloof.

Solove's taxonomie biedt een uitgebreid kader voor het begrijpen van de verschillende manieren waarop privacy kan worden geschonden en benadrukt de complexiteit en veelzijdigheid van privacyproblemen in het moderne informatietijdperk. Deze taxonomie dient als een nuttig hulpmiddel voor het analyseren en bespreken van privacygerelateerde kwesties in verschillende contexten.

 

Bekwaamheid

Een persoonsgegeven

Flowchart persoonsgegevens

Soorten van privacy

Informationele privacy
Dit gaat over de bescherming van persoonsgegevens en de rechten die je hebt om deze te beschermen. Denk bijvoorbeeld aan het zwart maken van bepaalde onderdelen van je ID-bewijs voordat je dit geeft aan een hotel. Tip: KopieID-app

Het gaat over het recht om te bepalen welke persoonlijke informatie over jou wordt verzameld, gebruikt, bewaard en gedeeld door anderen. Dit omvat het recht op toegang tot je persoonlijke gegevens, het recht om onjuiste informatie te corrigeren en het recht om te weten hoe jouw gegevens worden gebruikt.

Lichamelijke privacy
Dit gaat over de zeggenschap over je eigen lichaam. Denk aan het weigeren van een drugstest of je rechten wanneer je wordt gevraagd naar je medische verleden.

Het heeft betrekking op het recht om vrij te zijn van inmenging, observatie of inbreuk in je fysieke ruimte en persoonlijke lichaam. Dit omvat het recht om niet ongevraagd aangeraakt te worden, om niet te worden gefouilleerd zonder toestemming, en om je persoonlijke bezittingen te beschermen tegen ongeoorloofde inmenging.

Territoriale privacy
Het huisrecht, oftewel de rechten die je hebt in je omgeving. Dit kan zijn in je eigen huis, maar ook gaan over rechten die je hebt in de openbare ruinmte of in je werkruimte.

Communicatieprivacy
Het recht om te bepalen wie toegang heeft tot communicatiemiddelen die jij gebruikt.

Het heeft te maken met het beschermen van je gedachten, ideeën, communicatie en persoonlijke informatie. Dit omvat het recht op vrijheid van meningsuiting zonder angst voor vervolging, het recht op privécommunicatie zonder afluisteren of bespioneren, en het recht om je persoonlijke informatie te beschermen tegen ongeoorloofd verzamelen, opslaan of delen.

(Bron: Justitia)

 

5 vuistregels voor verwerking van persoonsgegevens

1. Doel en doelbinding

Is vooraf een doel voor de verwerking van persoonsgegevens vastgesteld? Worden de persoonsgegevens alleen gebruikt voor dat doel dat ik vooraf heb vastgelegd?

2. Grondslag

Is er minimaal een wettelijke grond voor de verwerking?

  • Ik heb toestemming van studenten of ouders
  • De gegevens zijn nodig voor de uitvoering van een overeenkomst
  • Het verwerken van deze gegevens is wettelijk verplicht
  • De verwerking van gegevens is nodig voor het uitvoeren van onze publiekrechtelijke taak
  • Er is een gerechtvaardigd belang dat ik kan uitleggen aan (de ouders van) de studenten.

3. Dataminimalisatie

Gebruik ik alleen die gegevens die noodzakelijk zijn om het vastgestelde doel te verwezenlijken? Kan ik met minder of bijvoorbeeld anonieme gegevens werken? Bewaar ik de gegevens niet langer dan nodig?

4. Transparantie en verantwoording

Heb ik de student of zijn ouders vooraf helder geïnformeerd over het doel van de gegevensverwerking? Heb ik uitgelegd welke gegevens worden gebruikt en met wie deze worden gedeeld?

5. Data-integriteit

Kloppen de persoonsgegevens die ik gebruik nog steeds? Zijn de gegevens op het juiste moment, op de juiste plaats en voor de juiste mensen beschikbaar? Heb ik onjuiste gegevens gecorrigeerd of verwijderd?

(Bron: Aanpak IBP - Aanpak informatiebeveiliging en privacy in het onderwijs)

 

 

 

Workshop 2

Informatiebeveiliging richt zich op de volgende aspecten:

  • Beschikbaarheid: Zorgen dat gegevens en functionaliteiten beschikbaar zijn wanneer dat nodig is.
  • Integriteit: Ervoor zorgen dat gegevens en functionaliteiten accuraat en actueel zijn.
  • Vertrouwelijkheid: Beperken van toegang tot gegevens en functionaliteiten tot geautoriseerde personen.

Onvoldoende informatiebeveiliging kan nadelige effecten hebben op het onderwijsproces en de bedrijfsvoering. Incidenten kunnen de kwaliteit van het onderwijs en bijbehorende taken aantasten, en zelfs leiden tot financiële schade en reputatieverlies.

Kortom, het beschermen van informatie en privacy is van groot belang om een veilige en effectieve onderwijsomgeving te creëren en de risico's tot een aanvaardbaar niveau te beperken.

Studentendossiers: In MBO-instellingen worden uitgebreide studentendossiers bijgehouden met gegevens zoals cijfers, aanwezigheid en voortgangsrapporten. Het is cruciaal om deze gegevens te beveiligen, omdat ongeautoriseerde toegang tot deze informatie kan leiden tot vervalsing van cijfers of academische fraude. Een voorbeeld kan zijn dat een student probeert zijn cijfers te vervalsen door toegang te krijgen tot het systeem.

Toegangscontrole tot Klassenlokalen en Laboratoria: In een MBO-omgeving moeten bepaalde klaslokalen, laboratoria en opslagruimtes alleen toegankelijk zijn voor geautoriseerd personeel. Het niet naleven van toegangscontroles kan leiden tot diefstal van apparatuur of materialen. Bijvoorbeeld, als er geen beveiligde toegangscontrole is voor een computerlaboratorium, kan dit leiden tot diefstal van computers of ander waardevol materiaal.

Gebruik van Persoonlijke Apparaten: Studenten en medewerkers brengen vaak hun persoonlijke apparaten mee naar school, zoals laptops en smartphones. Het is van belang om regels en beveiligingsmaatregelen te hebben voor het gebruik van deze apparaten op schoolnetwerken om te voorkomen dat malware of virussen zich verspreiden. Een voorbeeld kan zijn dat een student een geïnfecteerde USB-stick in een computersysteem steekt, wat tot dataverlies kan leiden.

Online Examens en Toetsing: In MBO-instellingen worden steeds vaker online examens afgenomen. Het is belangrijk om ervoor te zorgen dat deze online toetsen veilig en fraudebestendig zijn. Een voorbeeld van een beveiligingsmaatregel zou zijn het gebruik van proctoringsoftware om studenten tijdens online examens te surveilleren en mogelijke valsspelerij te detecteren.

Samenwerking met Externe Partijen: MBO-instellingen werken vaak samen met externe partners, zoals bedrijven voor stageplaatsen. Het is van belang om ervoor te zorgen dat de informatie die wordt gedeeld met externe partijen, zoals studentengegevens, veilig wordt gedeeld en niet wordt misbruikt. Een voorbeeld kan zijn dat een bedrijf per ongeluk persoonlijke gegevens van studenten lekt.

Deze voorbeelden benadrukken het belang van informatiebeveiliging en privacy voor het MBO en illustreren de specifieke uitdagingen en risico's die relevant zijn voor MBO-instellingen. Het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens is van vitaal belang om een veilige en effectieve onderwijsomgeving te handhaven.

 

Omgeving

In 2019 werd de Universiteit van Maastricht onverwachts getroffen door een aanval van ransomware. Dit leidde tot veel discussie over de veiligheid van digitale systemen in het onderwijs. De gebeurtenis in Maastricht was eigenlijk het begin van een reeks vergelijkbare cyberaanvallen bij andere onderwijsinstellingen, zoals de Hogeschool Arnhem-Nijmegen (HAN), de Hogeschool van Amsterdam (HvA) en de Universiteit van Amsterdam (UvA). Deze incidenten hebben het gesprek over cyberveiligheid in het onderwijs flink aangewakkerd.

In het schooljaar 2021-2022 werd het ROC Mondriaan getroffen door een grootschalige ransomware-aanval, waardoor voor het eerst ook een mbo-instelling werd geraakt.

Deze verschillende cyberincidenten en de analyses die daarop volgden, hebben aanzienlijke aandacht getrokken van onderwijsinstellingen, het Ministerie van Onderwijs, Cultuur en Wetenschap, en zelfs in de politieke arena van de Tweede Kamer. Er werden Kamervragen gesteld en als reactie daarop heeft de minister van Onderwijs, Cultuur en Wetenschap een aantal maatregelen voorgesteld in een brief aan de Tweede Kamer. Het is afgesproken dat onderwijskoepels in het eerste kwartaal van 2022 met een plan van aanpak zouden komen om de digitale weerbaarheid van onderwijsinstellingen te versterken.

De MBO Raad en MBO Digitaal zijn betrokken bij deze inspanningen en zien dit als een kans om gericht te werken aan uitdagingen en oplossingen op het gebied van cyberveiligheid, waar al langer over gesproken wordt binnen het mbo-onderwijs.

Deze inspanningen richten zich op veiligheid binnen alle aspecten van ICT-gebruik in het onderwijs, waaronder:

  • Digitale leermaterialen en examens
  • De technologie en processen voor het beheer van leermiddelen
  • ICT-hulpmiddelen tijdens lessen, zoals software voor plagiaatdetectie, online proctoring en videoconferenties, en het elektronische leeromgevingssysteem
  • ICT voor schooladministratie en -beheer, inclusief administratieve systemen
  • ICT voor interne en externe rapportage en beleidsinformatie

Binnen zonder kloppen

IBP Benchmark 2022

Het is belangrijk om te weten waar een organisatie of instelling staat op het gebied van cyberveiligheid en welke maatregelen er gedaan zijn rondom informatiebeveiliging. MBO Digitaal, Kennisnet en Surf zijn al geruime tijd bezig om op landelijk niveau materiaal, plannen en netwerken te ontwikkelen om het onderwijs te ondersteunen bij het vraagstuk en de implementatie van informatiebeveiliging binnen onderwijs instellingen.

Onderstaande filmpjes zijn onderdeel van een negental filmpjes rondom Informatieveiligheid en privacy. In de ondersteunende wikipagina van workshop 1 was reeds een van de negen opgenomen.

Thema is: "Hoe kom je informatieveilig werken tegen in de praktijk en wat kun je doen om dit beter in jouw instelling een plek te geven".

 

 

Hoe voorkom je een datalek?

Hoe ga je om met werken in de cloud?

Hoe houd je je werkplek veilig?

Hoe blijf je veilig online?

Motivatie

Motivatie wordt verdeeld in twee categorieën, bewuste en onbewust motivaties. Het informatie veilig werken komt mede voort uit het hebben van de juiste motivatie.

Naast het streven om aan de Nederlandse wet te voldoen (compliancy) is in het "Plan van aanpak van MBO Digitaal". beschreven dat er gestreefd wordt naar het behalen van niveau 3 van de "NBA Handreiking bij Volwassenheidsmodel Informatiebeveiliging".

Waar het volwassenheidsmodel veel zegt over hoe informatiebeveiliging op organistorisch niveau is ingericht gaat het ook om het gedrag en de adoptie van informatiebeveiliging op de werkvloer. Hiervoor is het noodzakelijk om de gehele organisatie te motiveren om actief aan de slag te gaan met informatiebeveiliging.

Het toetsingskader informatiebeveiliging MBO en het SURF Audit toetsingskader zijn termen voor het zelfde instrument.

 

Voor medewerkers gelden bewuste en onbewuste motieven.

Bewuste motivaties om betrokken te zijn bij informatiebeveiliging kunnen variëren, afhankelijk van de individuele waarden, doelen en perspectieven van medewerkers. Enkele veelvoorkomende bewuste motivaties zijn:

  1. Verantwoordelijkheid: Medewerkers kunnen zich bewust verantwoordelijk voelen om gevoelige informatie te beschermen. Ze begrijpen dat hun acties directe invloed kunnen hebben op de veiligheid van gegevens en willen hun verplichtingen nakomen.

  2. Ethiek en Integriteit: Medewerkers kunnen waarde hechten aan ethisch gedrag en integriteit. Ze willen geen inbreuk maken op de privacy van anderen en geloven in het naleven van beveiligingsrichtlijnen om het juiste te doen.

  3. Professionele Ontwikkeling: Informatiebeveiliging is een waardevolle vaardigheid in veel professionele domeinen. Medewerkers kunnen gemotiveerd zijn om hun vaardigheden uit te breiden en hun carrièrekansen te vergroten door zich te specialiseren in beveiliging.

  4. Bescherming van Klanten en Partners: Als medewerkers begrijpen dat de gegevens van klanten en partners moeten worden beschermd, kunnen ze gemotiveerd zijn om bij te dragen aan een veilige werkomgeving en het opbouwen van vertrouwen met stakeholders.

  5. Bedrijfscontinuïteit: Medewerkers kunnen begrijpen dat een beveiligingsincident de normale bedrijfsvoering kan verstoren. Door informatiebeveiliging te ondersteunen, dragen ze bij aan het waarborgen van de stabiliteit en continuïteit van de organisatie.

  6. Persoonlijke Privacy: Medewerkers willen vaak hun eigen persoonlijke gegevens beschermen. Door informatiebeveiliging te ondersteunen, kunnen ze het belang van privacy begrijpen en hetzelfde respect verwachten voor hun eigen gegevens.

  7. Organisatorische Normen: Als informatiebeveiliging een belangrijke waarde is binnen de organisatie, kunnen medewerkers worden gemotiveerd om deze normen te volgen en te handhaven om de bedrijfscultuur te ondersteunen.

  8. Mogelijke Gevolgen: Medewerkers kunnen zich bewust zijn van de mogelijke gevolgen van een inbreuk op de informatiebeveiliging, zoals reputatieschade, juridische problemen en financiële verliezen. Deze kennis kan hen motiveren om voorzichtig te zijn.

  9. Teamwerk en Samenwerking: Medewerkers begrijpen dat informatiebeveiliging een collectieve inspanning is. Door de juiste beveiligingspraktijken te volgen, kunnen ze bijdragen aan een veilige omgeving voor het hele team.

  10. Leren en Ontwikkelen: Medewerkers kunnen geïnteresseerd zijn in het begrijpen van cybersecurity en informatiebeveiliging als onderdeel van hun persoonlijke groei en levenslang leren.

Het is belangrijk voor organisaties om de diverse bewuste motivaties van medewerkers te begrijpen en te benadrukken bij het bevorderen van informatiebeveiliging. Dit kan leiden tot een bredere acceptatie en betrokkenheid bij het handhaven van de beveiligingsrichtlijnen en -normen.

Er kunnen verschillende onbewuste motivaties zijn om zich in te zetten voor informatiebeveiliging, zonder zich volledig bewust te zijn van deze drijfveren. Enkele van deze onbewuste motivaties kunnen zijn:

  1. Sociale Acceptatie en Erkenning: Mensen streven vaak naar sociale goedkeuring en willen gewaardeerd worden door hun collega's en leidinggevenden. Door zich in te zetten voor informatiebeveiliging kunnen ze worden gezien als betrouwbare en verantwoordelijke teamleden.

  2. Angst voor Afwijzing of Straf: Onbewust kunnen mensen bang zijn voor negatieve consequenties als ze niet voldoen aan informatiebeveiligingsrichtlijnen. Dit kan variëren van vrees voor reprimandes van leidinggevenden tot angst voor sociale uitsluiting als ze verantwoordelijk worden gehouden voor een beveiligingsincident.

  3. Bescherming van Eigen Identiteit: Mensen identificeren zich vaak met hun beroep en willen hun professionele identiteit beschermen. Het handhaven van informatiebeveiligingsnormen kan een manier zijn om een positief zelfbeeld te behouden en het idee van een verantwoordelijke professional te versterken.

  4. Zorg voor Collega's: Onbewust kunnen medewerkers zich zorgen maken over de impact van hun acties op hun collega's. Ze willen voorkomen dat hun onvoorzichtige gedrag anderen in gevaar brengt, wat kan leiden tot een intrinsieke motivatie om informatiebeveiliging serieus te nemen.

  5. Intrinsieke Beloningen: Mensen voelen zich vaak voldaan en tevreden wanneer ze een taak goed uitvoeren. Door informatiebeveiliging serieus te nemen en te voldoen aan beveiligingsrichtlijnen, kunnen medewerkers intrinsieke beloningen ervaren, zoals een gevoel van prestatie en zelfvertrouwen.

  6. Verlangen naar Structuur: Onbewust kan het verlangen naar orde en structuur in het werk mensen motiveren om zich aan informatiebeveiligingsregels te houden. Het volgen van beveiligingsprotocollen kan helpen om een gevoel van controle en voorspelbaarheid te behouden.

  7. Psychologisch Welzijn: Het bewust of onbewust vermijden van schuldgevoelens, angst of stress die kunnen ontstaan door nalatigheid op het gebied van informatiebeveiliging, kan medewerkers motiveren om de juiste beveiligingspraktijken te volgen.

  8. Identificatie met de Organisatie: Medewerkers die sterk verbonden zijn met de missie en waarden van hun organisatie kunnen onbewust worden gemotiveerd om bij te dragen aan informatiebeveiliging als onderdeel van hun toewijding aan de organisatie.

Het is belangrijk op te merken dat deze onbewuste motivaties van persoon tot persoon kunnen variëren en vaak samengaan met bewuste motivaties. Een dieper begrip van deze onbewuste drijfveren kan helpen bij het ontwikkelen van effectieve strategieën om medewerkers te betrekken bij informatiebeveiliging en hen te motiveren om best practices te volgen.

Bekwaamheid

Bekwaamheid gaat om de fysieke en psychologische capaciteiten die nodig zijn om een bepaald gedrag uit te voeren. Bij de fysieke capaciteit gaat het om de lichamelijke vaardigheden van een doelgroep. Hiermee hou je voornamelijk rekening met mogelijke handicaps die het doelgedrag in de weg staan. Denk hier bijvoorbeeld aan het wel of niet kunnen lezen van klein geschreven tekst. Bij de psychologische capaciteit gaat het om kennis en vaardigheden van je doelgroep. Denk hierbij aan de kennis over de procedures en het beleid of ervaring met het gebruik van specifieke programma’s. In het kort: alles wat je kunt leren of oefenen.

Informatieveiligheid in de mbo-sector

Het beveiligen van informatie is van essentieel belang om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige gegevens te waarborgen. Hier zijn enkele redenen waarom informatiebeveiliging belangrijk is:

  1. Bescherming tegen Datalekken: Gevoelige informatie, zoals persoonlijke gegevens van klanten, financiële gegevens en bedrijfsstrategieën, moet worden beschermd tegen ongeautoriseerde toegang en lekken. Datalekken kunnen leiden tot financiële verliezen, reputatieschade en juridische consequenties.
  2. Vertrouwelijkheid: Organisaties hebben vaak vertrouwelijke informatie die niet voor iedereen toegankelijk mag zijn. Door informatiebeveiliging kunnen alleen geautoriseerde personen toegang krijgen tot specifieke gegevens, waardoor de vertrouwelijkheid wordt behouden.
  3. Integriteit: Het is belangrijk om ervoor te zorgen dat de informatie niet ongeoorloofd wordt gewijzigd. Door informatie te beveiligen, kunnen alleen geautoriseerde personen gegevens wijzigen of bijwerken, waardoor de integriteit van de informatie behouden blijft.
  4. Beschikbaarheid: Bedrijfskritieke informatie moet beschikbaar zijn wanneer dat nodig is. Informatiebeveiliging helpt ervoor te zorgen dat systemen en gegevens beschikbaar blijven voor geautoriseerde gebruikers, terwijl ongeautoriseerde toegang wordt voorkomen.
  5. Compliance: Veel industrieën hebben te maken met regelgeving en wettelijke vereisten met betrekking tot gegevensbeveiliging en privacy, zoals de Algemene Verordening Gegevensbescherming (AVG). Het niet naleven van deze voorschriften kan leiden tot boetes en juridische problemen.
  6. Bescherming van Intellectueel Eigendom: Bedrijfsgeheimen, intellectueel eigendom en innovaties moeten worden beschermd tegen diefstal en ongeoorloofd gebruik. Informatiebeveiliging helpt bij het voorkomen van diefstal van waardevolle informatie.
  7. Reputatiebehoud: Een inbreuk op de beveiliging kan leiden tot verlies van vertrouwen bij klanten, partners en stakeholders. Het handhaven van een goede informatiebeveiliging draagt bij aan het behoud van een positieve reputatie.
  8. Interne Bedreigingen: Niet alleen externe dreigingen zijn een risico, maar ook interne bedreigingen zoals onopzettelijke fouten of opzettelijke schadelijke acties van werknemers. Informatiebeveiliging helpt deze risico's te minimaliseren.
  9. Bedrijfscontinuïteit: In geval van cyberaanvallen, natuurrampen of andere noodsituaties is het belangrijk dat organisaties snel kunnen herstellen en hun bedrijfsactiviteiten kunnen voortzetten. Goede informatiebeveiliging draagt bij aan de veerkracht van een organisatie.

Samengevat is informatiebeveiliging van cruciaal belang om gevoelige gegevens te beschermen, wettelijke vereisten na te leven, reputatieschade te voorkomen, bedrijfscontinuïteit te waarborgen en het vertrouwen van stakeholders te behouden. Het draagt bij aan een gezonde en veilige digitale werkomgeving voor zowel de MBO scholen als individuele medewerkers.

 

 

Hoe kan de individuele medewerker bijdragen aan informatieveiligheid?

Informatiebeveiliging is niet alleen van toepassing op organisaties, maar ook op individuele medewerkers. Hier zijn enkele redenen waarom informatiebeveiliging belangrijk is voor medewerkers:

  1. Persoonlijke Verantwoordelijkheid: Medewerkers hebben de verantwoordelijkheid om zorgvuldig om te gaan met de informatie waarmee ze werken. Dit omvat het beschermen van gevoelige gegevens, het voorkomen van ongeautoriseerde toegang en het handhaven van de integriteit van de informatie.
  2. Bescherming van Persoonlijke Gegevens: Medewerkers hebben vaak toegang tot persoonlijke gegevens van collega's, klanten of partners. Het beschermen van deze gegevens is van cruciaal belang om de privacy van individuen te waarborgen.
  3. Voorkomen van Menselijke Fouten: Onbedoelde fouten van medewerkers kunnen leiden tot beveiligingslekken. Het volgen van best practices op het gebied van informatiebeveiliging kan helpen bij het voorkomen van dergelijke fouten.
  4. Professionele Ethiek: Het naleven van informatiebeveiligingsrichtlijnen en -regels is een belangrijk aspect van professionele ethiek. Het draagt bij aan het opbouwen van vertrouwen met collega's, klanten en partners.
  5. Bescherming tegen Sociale Techniek: Medewerkers kunnen het doelwit worden van sociale technieken, zoals phishing-aanvallen, waarbij aanvallers proberen toegang te krijgen tot systemen door misleiding. Medewerkers moeten bewust zijn van dergelijke bedreigingen en weten hoe ze ze kunnen herkennen en vermijden.
  6. Bedrijfsreputatie: Het gedrag van medewerkers met betrekking tot informatiebeveiliging weerspiegelt op de organisatie. Onzorgvuldig omgaan met informatie kan de reputatie van het bedrijf schaden.
  7. Bedrijfscontinuïteit: Medewerkers spelen een rol bij het waarborgen van de bedrijfscontinuïteit. Door informatie veilig te houden, kunnen ze helpen voorkomen dat er zich beveiligingsincidenten voordoen die de bedrijfsactiviteiten kunnen verstoren.
  8. Persoonlijke Ontwikkeling: Het begrijpen van informatiebeveiliging en het volgen van best practices op dit gebied kan een waardevolle vaardigheid zijn voor persoonlijke en professionele ontwikkeling.

Kortom, informatiebeveiliging is voor ons allemaal en van ons samen. Niet alleen een verantwoordelijkheid van de organisatie, maar ook van individuele medewerkers. Het naleven van informatiebeveiligingsrichtlijnen draagt bij aan het creëren van een veilige werkomgeving en het beschermen van zowel persoonlijke als organisatorische gegevens.

 

Workshop 3

Aan de slag met Informatieveilig werken in jullie instelling

Het belang van informatiebeveiliging gaat hand in hand samen met de borging van de privacy. Vandaar dat deze twee altijd in een adem genoemd worden maar toch zoals besproken in workshop 1 en 2 absoluut hun eigen karakter kennen. Bijvoorbeeld: hoe meer data je bewaart en dus moet beveiligen, hoe moeilijker het is om de privacy te waarborgen. Andersom: als je de privacy wilt waarborgen, is het verstandig om aan dataminimalisatie te doen. 

De informatie veiligheid om veiligheid binnen alle ict-domeinen binnen het onderwijs:

  • digitale leermiddelen en toetsen
  • de leermiddelenketen (voor het ontsluiten en gebruiken van leermiddelen en toetsen)
  • ict ter ondersteuning van de les, bv plagiaatsoftware, proctoring of videobellen en de elektronische leeromgeving.
  • ict voor de bedrijfsvoering van een instelling, bijvoorbeeld administratiesystemen o ict voor verantwoording en beleidsinformatie intern en extern

Om te groeien als MBO-sector in het volwassenheidsmodel van de NBA zijn er sterke ambities beschreven door de MBO Sector in het "Plan van aanpak cyberveiligheid".

Ambities op het gebied van cyberveiligheid in het mbo

De ambities op het gebied van cyberveiligheid in het mbo volgen de indeling van het NIST-Cybersecurity Framework: identify, protect, detect, respond en recover.

Vanwege de grote afhankelijkheid van SaaS-diensten is hier het onderwerp leveranciersmanagement aan toegevoegd.

  1. Identificeren van dreigingen en risico’s (identify)

    1. Dreigingen, risico’s en maatregelen

    2. Verantwoording van de volwassenheid

  2. Beschermen tegen cyberrisico’s (protect)

    1. De factor ‘mens’

    2. De factor ‘techniek’

  3. Detecteren van onregelmatigheden (detect)

  4. Reageren op incidenten (respond)

  5. Herstellen van incidenten (recover)

  6. Leveranciersmanagement

De organisatie

Om betrokkenheid bij informatiebeveiliging binnen een organisatie te bewerkstelligen, moeten leidinggevenden bepaalde gedrag vertonen die een cultuur van informatiebeveiliging bevorderen. Belangrijke gedrag wat kan helpen:

  1. Voorbeeldfunctie: Zelf het goede voorbeeld geven als het gaat om informatiebeveiliging. Beveiligingsrichtlijnen naleven en consequent best practices volgen.

  2. Communicatie: Duidelijk communiceren over het belang van informatiebeveiliging en de mogelijke impact van beveiligingsincidenten. Bewustwording vergroten en medewerkers informeren over relevante beveiligingsrichtlijnen.

  3. Opleiding en Training: Zorg voor regelmatige training en educatie op het gebied van informatiebeveiliging. Zorg dat medewerkers de kennis en vaardigheden hebben om beveiligingsrisico's te herkennen en te vermijden.

  4. Betrokkenheid: Betrokkenheid tonen bij informatiebeveiligingsinitiatieven en betrokken zijn bij het identificeren en aanpakken van beveiligingsrisico's.

  5. Ressourcen Toewijzen: Zorg voor de benodigde middelen, budget en technologie om effectieve informatiebeveiligingsmaatregelen te implementeren en te handhaven.

  6. Incentives: Stel positieve stimuli in, zoals erkenning en beloningen, voor medewerkers die actief bijdragen aan informatiebeveiliging en best practices volgen.

  7. Open Deur Beleid: Creëer een cultuur waarin medewerkers zich comfortabel voelen om beveiligingszorgen te delen en incidenten te melden. Een open deur beleid hanteren voor beveiligingsgerelateerde kwesties.

  8. Feedback en Verbetering: Constructieve feedback geven over beveiligingsgerelateerd gedrag en inspanningen van medewerkers. Openstaan voor suggesties voor verbetering.

  9. Beveiligingsbewustzijn Integreren: Integreer beveiligingsbewustzijn in de bredere bedrijfscultuur. Dit kan gebeuren via teamvergaderingen, interne communicatiekanalen en trainingssessies.

  10. Continue Evaluatie: Zorg voor regelmatige evaluatie van de beveiligingspraktijken en -protocollen om te zorgen dat ze effectief zijn en worden aangepast aan veranderende dreigingen.

  11. Reageren op Inbreuken: In het geval van een beveiligingsinbreuk, snel en effectief reageren, de situatie aanpakken en de nodige stappen ondernemen om herhaling te voorkomen.

Door dit gedrag te laten zien kunnen leidinggevenden een cultuur van informatiebeveiliging bevorderen waarin medewerkers zich bewust zijn van de risico's en gemotiveerd zijn om de juiste beveiligingspraktijken te volgen. Leiderschap dat informatiebeveiliging serieus neemt, creëert een omgeving waarin beveiliging integraal is aan de manier waarop de organisatie opereert.

Rollen in een organisatie

Rollen in de instelling:

De Functionaris voor de Gegevensbescherming (FG), ook bekend als de Data Protection Officer (DPO), is degene die binnen een organisatie verantwoordelijk is voor het monitoren en bewaken van de naleving van de Algemene verordening gegevensbescherming (AVG). De FG heeft een breed scala aan verantwoordelijkheden, waaronder het toezicht houden op het belang van het bewaken van de privacy binnen de organisatie en actieve betrokkenheid bij hoe de organisatie gegevens behandelt. De FG/DPO fungeert als het belangrijkste contactpunt voor de Autoriteit Persoonsgegevens (AP).

Kenmerkend is dat een FG/DPO een onafhankelijke rol heeft binnen de organisatie en direct rapporteert aan het CvB.

De Privacy Officer (PO) is de juridische expert op het gebied van privacy. De PO heeft de taak om het privacybeleid te formuleren en in praktijk te brengen. Bovendien biedt de PO ondersteuning aan de FG. Binnen de organisatie neemt de PO een belangrijke positie in, aangezien deze fungeert als contactpersoon voor vraagstukken rondom privacy. Dit kan variëren van het opstellen of onderhandelen van overeenkomsten met gegevensverwerkers tot het uitvoeren van beoordelingen van Data Protection Impact Assessments (DPIA's).

De hoofdverantwoordelijke voor informatieveiligheid, oftewel de (Chief) Information Security Officer (CISO), is belast met zowel het invoeren van beleid voor het beschermen van informatie als het toezicht op de naleving ervan. Degene die deze rol vervult, bezit expertise en ervaring op het gebied van informatieveiligheid, evaluatie van risico's en gespecialiseerde beveiligingstechnieken. Ook is er begrip van de relevante wettelijke voorschriften. De CISO adviseert vaak het leiderschapsteam en heeft eveneens intensief contact met diverse afdelingen binnen de organisatie.

Gedrag wat aangemoedigd moet worden

De samenwerking als mbo-school met de individuele werknemers is van groot belang voor het slagen van informatieveilig werken. Iedereen binnen de instelling zal zich bewust gedrag moeten aannemen om in volwassenheid van informatiebeveililging te groeien. De wisselwerking van informatiebeveiliging en privacy is als de wet van de communicerende vaten. Om de privacy te kunnen waarborgen moet de informatiebeveiliging op orde zijn en vice versa zal de informatiebeveiliging volwassen genoeg moeten zijn om de privacy te kunnen beschermen.  

Om betrokkenheid bij informatiebeveiliging bij medewerkers te bevorderen, die leidinggevenden en organisaties kunnen een aantal acties aanmoedigen. Belangrijke aspecten voor medewerkers:

  1. Training en Educatie: Medewerkers moeten regelmatig worden getraind en opgeleid over informatiebeveiliging. Dit omvat het begrijpen van beveiligingsrisico's, het herkennen van phishing-pogingen en het volgen van best practices.

  2. Bewustwording Vergroten: Organiseer bewustwordingscampagnes om medewerkers te informeren over de nieuwste beveiligingsdreigingen en -praktijken. Dit kan via e-mails, posters, presentaties en andere interne communicatiekanalen.

  3. Verantwoordelijkheid Nemen: Moedig medewerkers aan om verantwoordelijkheid te nemen voor het veilig omgaan met informatie. Ze moeten begrijpen dat beveiliging een gezamenlijke inspanning is.

  4. Melden van Incidenten: Moedig medewerkers aan om verdachte activiteiten of beveiligingsincidenten onmiddellijk te melden. Dit helpt bij het snel identificeren en aanpakken van potentiële bedreigingen.

  5. Scherp Kritisch Denken: Medewerkers moeten leren kritisch te denken over ontvangen e-mails, links en bijlagen. Het vermijden van klikken op verdachte links helpt om phishing-aanvallen te voorkomen.

  6. Gebruik van Sterke Wachtwoorden: Moedig medewerkers aan om sterke, unieke wachtwoorden te gebruiken voor verschillende accounts en systemen. Het gebruik van wachtwoordbeheertools kan ook helpen.

  7. Beveiligd Apparaatgebruik: Leer medewerkers om beveiligde apparaten te gebruiken voor werkgerelateerde activiteiten en om zich bewust te zijn van de risico's van onbeveiligde openbare Wi-Fi-netwerken.

  8. Fysieke Beveiliging: Medewerkers moeten zich bewust zijn van fysieke beveiliging, zoals het vergrendelen van hun computer als ze niet aan hun bureau zijn en het niet delen van gevoelige informatie in openbare ruimtes.

  9. Continue Verbetering: Moedig medewerkers aan om voortdurend te leren en zichzelf bij te scholen over informatiebeveiliging. Dit kan hen helpen om bij te blijven met nieuwe dreigingen en best practices.

  10. Feedback Delen: Sta open voor feedback van medewerkers over beveiligingsprocedures en -processen. Hun inzichten kunnen leiden tot verbeteringen in het beveiligingsbeleid.

  11. Positieve Stimulansen: Erken en beloon medewerkers die zich actief inzetten voor informatiebeveiliging. Dit kan variëren van kleine erkenningen tot grotere beloningen.

Door medewerkers aan te moedigen en te ondersteunen bij het aannemen van dit gedrag, kunnen organisaties een cultuur van informatiebeveiliging opbouwen waarin iedereen zich verantwoordelijk voelt voor het beschermen van gevoelige gegevens. Het is van belang dat medewerkers begrijpen dat informatiebeveiliging niet alleen een taak is, maar een gedeelde verantwoordelijkheid binnen de organisatie.

Gedrag wat omarmt moet worden

Om informatieveiligheid effectief te waarborgen, moeten medewerkers bepaald gedrag aannemen die bijdragen aan een veilige werkomgeving. Belangrijke gedragingen van medewerkers om informatieveilig te werken:

  1. Gebruik van Sterke Wachtwoorden: Gebruik sterke, unieke wachtwoorden voor verschillende accounts en systemen. Vermijd het delen van wachtwoorden en gebruik waar mogelijk tweefactorauthenticatie.

  2. Voorzichtigheid met E-mails: Wees voorzichtig met e-mails, vooral bijlagen en links. Vermijd het openen van bijlagen van onbekende afzenders en klik niet op verdachte links.

  3. Bewustwording van Phishing: Herken de tekenen van phishing-pogingen, zoals ongevraagde e-mails die vragen om persoonlijke of financiële informatie. Meld verdachte e-mails onmiddellijk aan de IT-afdeling.

  4. Beveiligd Apparaatgebruik: Gebruik alleen beveiligde apparaten en netwerken voor werkgerelateerde activiteiten. Gebruik geen openbare Wi-Fi-netwerken voor het verzenden van gevoelige informatie.

  5. Fysieke Beveiliging: Houd fysieke apparaten, zoals laptops en telefoons, veilig en vergrendel ze wanneer ze niet in gebruik zijn. Voorkom het achterlaten van gevoelige documenten op openbare plaatsen.

  6. Veilige Bestandsdeling: Gebruik beveiligde methoden voor het delen van bestanden en informatie met collega's en externe partijen. Vermijd het delen van gevoelige gegevens via onbeveiligde kanalen.

  7. Regelmatige Software-updates: Houd software, besturingssystemen en applicaties up-to-date met de nieuwste beveiligingspatches en updates.

  8. Privacybescherming: Bescherm persoonlijke gegevens en de gegevens van anderen volgens de beveiligingsrichtlijnen. Deel geen vertrouwelijke informatie zonder de juiste toestemming.

  9. Veilige Verwijdering van Gegevens: Verwijder gevoelige informatie veilig wanneer deze niet langer nodig is. Dit geldt voor zowel digitale bestanden als fysieke documenten.

  10. Melden van Incidenten: Meld onmiddellijk verdachte activiteiten, beveiligingsinbreuken of verlies van apparaten aan de IT-afdeling of de juiste autoriteiten.

  11. Professioneel Gebruik van Sociale Media: Wees voorzichtig met het delen van werkgerelateerde informatie op sociale media en vermijd het delen van gevoelige informatie.

  12. Betrokkenheid bij Training: Neem actief deel aan beveiligingstrainingen en bewustwordingsprogramma's om op de hoogte te blijven van de nieuwste beveiligingspraktijken.

  13. Respect voor Beleid en Richtlijnen: Volg de organisatorische informatiebeveiligingsrichtlijnen en -beleidsregels nauwkeurig.

  14. Kritisch Denken: Wees kritisch en waakzaam bij het omgaan met informatie en technologie. Als iets verdacht lijkt, neem dan de tijd om het te onderzoeken voordat je actie onderneemt.

  15. Positieve Houding: Ontwikkel een positieve houding ten opzichte van informatiebeveiliging en zie het als een gedeelde verantwoordelijkheid om gevoelige gegevens te beschermen.

Door dit gedrag aan te nemen, kunnen medewerkers bijdragen aan een veilige werkomgeving en helpen ze de organisatie te beschermen tegen potentiële beveiligingsrisico's. Informatieveiligheid is een gedeelde inspanning en het gedrag van medewerkers speelt een cruciale rol in het handhaven ervan.

Bewustzijn van je omgeving, motivatie om informatieveilig te handelen en de bekwaamheid om dit ook daadwerkelijk te doen resulteren in een verandering van gedrag.

NIST bij onze instelling?!

NIST model vertaald naar de organisatie en gedrag.

Het National Institute of Standards and Technology (NIST) heeft een raamwerk ontwikkeld voor informatiebeveiliging, bekend als het NIST Cybersecurity Framework. Dit raamwerk bestaat uit vijf kernfuncties die elkaar aanvullen om een robuust beveiligingsprogramma te creëren. Laten we de eerder genoemde informatie en gedragingen koppelen aan het NIST-raamwerk:

1. Identificeren (Identify):

  • Het belang van informatiebeveiliging begint met het identificeren van gevoelige informatie en mogelijke bedreigingen (bijv. dataclassificatie). Bijvoorbeeld door binnen de instelling een awarenessmeting te organiseren.

2. Beschermen (Protect):

  • Medewerkers leren gebruik te maken van sterke wachtwoorden.
  • Fysieke beveiliging van apparaten en het vermijden van openbare Wi-Fi-netwerken zijn belangrijk om de vertrouwelijkheid en integriteit van informatie te behouden.
  • Leidinggevenden moeten duidelijk communiceren over het belang van informatiebeveiliging en de mogelijke impact van beveiligingsincidenten. Door dit herhaaldelijk terug te laten komen in bijvoorbeeld teamvergaderingen wordt het bewustzijn vergroot.
  • Medewerkers moeten verantwoordelijkheid nemen voor het veilig omgaan met informatie en de implicaties van niet-naleving begrijpen.

3. Detecteren (Detect):

  • Medewerkers moeten verdachte activiteiten en beveiligingsincidenten direct melden aan de IT-afdeling.
  • Het kritisch denken en het herkennen van tekenen van phishing of andere dreigingen dragen bij aan vroege detectie.

4. Reageren (Respond):

  • De organistatie leren om incidenten te melden en communiceren welke interne procedures er zijn voor een effectieve respons op beveiligingsincidenten.
  • Leidinggevenden moeten snel en effectief reageren op incidenten om verdere schade te voorkomen.
  • Oefenen hoort hier ook bij. Phisings campagnes!

5. Herstellen (Recover):

  • Na een beveiligingsincident moeten passende maatregelen worden genomen om te herstellen, zoals het veilig verwijderen van gevoelige informatie (veilige verwijdering van gegevens).
  • Door continu te verbeteren en feedback te delen, kan de organisatie herstellen en zich voorbereiden op toekomstige incidenten (continue verbetering).
  • VERBETERCULTUUR moet anders, open lerende cultuur, geen naming en shaming.

Het NIST Cybersecurity Framework en de gedragingen van leidinggevenden en medewerkers zijn nauw met elkaar verbonden. Het framework biedt een gestructureerde aanpak voor het opzetten van een solide informatiebeveiligingsprogramma, terwijl de gedragingen van leidinggevenden en medewerkers de praktische implementatie en naleving van beveiligingsrichtlijnen ondersteunen.

 

Bij beschermen Samen spel tussen mens en techniek wat meer de menselijk kant beschrijven.

MEER MENS EN TECHNIEK

 

Detecteren: neome bijvooorbeeld verkeerde mail, herkennen van!

hoe moet je handelen etc.

 

Meer richting menselijk gedrag schrijven, meer richting awerness | WAKKER ZIJN En KRITSch denken en handelen./