Beveiligingsdag: veel belangstelling voor security

Het afgelopen jaar krijgen we alsmaar meer vragen van scholen over security-gerelateerde onderwerpen. Wat is de impact van nieuwe wetgeving? In hoeverre heeft beveiliging te maken met technologie, en in hoeverre met gedrag? Op 26 juni besteedden we tijdens onze Beveiligingsdag een volle dag aan het onderwerp. In dit blog een verslag.

Vrijdag 26 juni kwamen meer dan 100 mensen van tal van scholen bij elkaar, om de hele dag vanuit diverse invalshoeken bijgepraat te worden over security. Tijdens diverse keynotes, waaronder van scholen, en 6 verschillende break-outsessies waren we in staat om een goed overzicht te geven. Er werd ingezoomd op wet- en regelgeving en er was voor elk wat wils als het ging om beschikbare oplossingen.

‘Als ICT niet meer werkt, dan pakken we toch gewoon weer een krijtje…..’

Als het over ICT en onderwijs ging hoorde ik nog niet zo lang geleden deze reacties, net als de variant ‘onderwijs is de enige sector waar het primaire proces gewoon doorgaat als ICT niet meer werkt’…. We hebben geleerd dat dit al lang niet meer zomaar waar is. Bij een grotere ICT-afhankelijkheid wordt beveiliging ook steeds belangrijker. We krijgen steeds meer vragen over dit onderwerp; ook het bijbehorende jargon is inmiddels stevig uitgebreid. Om maar wat kretologie op je los te laten: DDoS-aanvallen, Penetration testing, content control, malware, data loss protection, ransomware, encyptie. Ben je er nog? 

Security: technologie en gedrag

Op zo’n dag is er genoeg stof voor discussie. Zo gaat security zoals bekend niet alleen over technologie, maar ook over gedrag. Het bekende voorbeeld van de post-its met wachtwoorden op het bureaublad kennen we allemaal. Ook kwam aan de orde dat het grootste gevaar komt van binnenuit: leerlingen die gaten zoeken (en vinden) in de ICT van de instelling. En wat doe je met een leerling als je hem (of haar uiteraard) weet te betrappen of achterhalen? De meningen liepen uiteen van aangifte doen, schorsen en de schade verhalen tot een goed gesprek voeren en de leerling ‘omkeren’ en inzetten om de beveiliging verder te verbeteren… Wat is jouw aanpak?

Bestuurders nog onvoldoende bewust

Met enige regelmaat komen scholen in het nieuws met ICT-beveiligingsgerelateerde incidenten. Steeds vaker ook met zeer vervelende consequenties. Collega Pieter schreef al eerder over de DDoS-aanval op ROCA12. Zij vertelden tijdens de Beveiligingsdag over hun ervaringen: dapper en verhelderend. Als de lessen niet door kunnen gaan als gevolg van security-incidenten zoals DDoS-aanvallen (‘altijd handig als je niet geleerd hebt voor die digitale toets’) weten we een paar dingen:

  • ICT is inmiddels echt doorgedrongen in het primaire proces
  • Schoolbestuurders hebben een verantwoordelijkheid op gebied van security die binnen veel instellingen nog niet ‘geland’ is
  • Wet- en regelgeving is nog onvoldoende bekend.

  Is dit een poging om je bang te maken? Nee. Wel een poging om je bewust te maken van het feit dat er werk aan de winkel is. Wij zullen als SLBdiensten de komende periode nog diverse activiteiten ontplooien om ICT-verantwoordelijken en schoolbestuurders te helpen om hun werk goed / nog beter te doen. Via onze nieuwsbrieven, websites en andere uitingen zullen we je op de hoogte houden van deze initiatieven zodat je de volgende keer niet hoeft te zeggen dat je er niet bij was. Mocht je overigens vragen hebben naar aanleiding van de terminologie: Wikipedia is je graag van dienst, maar mijn collega’s uiteraard ook. Blijf  ons dus vooral vragen stellen. Wij helpen je graag op weg om te voorkomen dat je op zoek moet naar krijtjes….

Pieter Oosterhof

Pieter Oosterhof

Security, marathon, contracten, Amsterdam Oost, koffie, krant (papier), restaurant, new business, kleine letters, Italië.