We zijn ons dus bewust van ons onvermogen op het gebied van cybersecurity. Tegelijkertijd zien we dat de grens tussen privé en werk steeds meer vervaagt. Kijk naar onze ministers die per ongeluk hun privé e-mailaccount hebben gebruikt voor werkgerelateerde zaken, omdat privé- en werkaccount, heel handig, op dezelfde mobiele telefoon te gebruiken zijn. Een foutje is dan snel gemaakt, maar de gevolgen kunnen groot zijn. Denk aan een beveiligingslek met als gevolg een hack- of malware aanval.
Hoe kan je je als onderwijsorganisatie wapenen tegen online risico's?
De cybersecurity van een organisatie vraagt om expertise. Veel onderwijsorganisaties hebben deze expertise simpelweg niet in huis. Daarom maken de meesten al gebruik van externe dienstverleners die deze expertise wel in huis zouden moeten hebben. Stel, je hebt de IT al geheel uitbesteed, moet je dan nog steeds je IT-dienstverlener op een (mogelijk) lek attenderen?
Ik mag hopen van niet. Het kan natuurlijk niet zo zijn dat je IT-dienstverlener pas in actie komt op het moment dat hij van jou te horen krijgt dat er zich mogelijk een beveiligingsprobleem voordoet. Toch wordt dit wel vaak vergeten bij de selectie van IT-dienstverleners. Teveel wordt er de nadruk gelegd op het ‘wat’ (hoe ziet de desktop eruit die de dienstverlener gaat leveren’). Maar minstens zo belangrijk zijn de beheerprocessen die dat ‘wat’ mogelijk maken. Die hoef je overigens niet voor te schrijven, maar goed uitvragen hoe de IT-dienstverlener deze processen op orde heeft, is wel essentieel. Juist hier wordt het onderscheid gemaakt tussen de goede en minder goede dienstverleners. Want het leveren van het ‘wat’ dat kunnen ze allemaal wel. Is dan met de selectie van een goede partij de kous verder af? We hebben het geregeld?
Niet echt. Het veilig toepassen van IT blijft voor een belangrijk deel gewoon mensenwerk. Je dient goede afspraken te maken met je medewerkers en leerlingen over verantwoord en veilig gebruik van IT. Wat doen we wel en wat doen we vooral niet. Vijf jaar lang hetzelfde wachtwoord gebruiken is natuurlijk vragen om problemen. Maar iedereen op van alles en nog wat controleren, is onbegonnen werk en ook ongewenst. De digitale wereld is in die zin weinig anders dan de analoge wereld. Inbreken mag niet, maar er zullen altijd inbrekers zijn. Als je er nu maar voor zorgt dat het slot op de deur stevig genoeg is en regelmatig een politieauto langs laat rijden, dan beperk je in ieder geval het risico.
Laat hier je vraag achter