19-07-2024
Checklijst investeringen voor Informatiebeveiliging en Privacy (IBP)
Het onderwijs loopt niet alleen een groot risico op financiële schade maar ook de continuïteit van lesgeven loopt gevaar. In het andere blogartikel staan naast de risico's ook de bestuurlijke verantwoording genoemd voor het nemen van maatregelen.
In dit artikel staan de onderwerpen genoemd die een bepalen welke jaarlijkse investeringen nodig zijn.
- Anti-DDOS internet (bv 1k/school)
- SIVON lidmaatschap (2k5;bv voor verplichte DPIA’s en anti-DDOS internet)
- Dubbel internet (bv 5k/school)
- AVG-leermodule/risicoanalyse
- Risico mgmt tool (bv Risk Changer 5k/1000lln)
- Lesmodule Digitale Geletterdheid, bv phishing, MFA, ww uniek & ww-manager
- Unmutable backup (bv 8k/300mdw)
- Netwerksegmentering (lln gescheiden van mdw, BYOD en gasten)
- NAC: (Clientless) honeypots per segment en automatische isolatie van besmette/scannende apparaten (bv 5k/1000lln)
- WiFi eduroam-certificaten ipv inlognaam/ww (zodat namen en wachtwoorden niet via een man-in-the-middle-aanval gestolen kunnen worden)
- Optionele Cybersecurityverzekering (bv 10-20k)
- Microsoft A5-licenties (+ ong 5k/100 mdw) incl anti-malware (Defender)
- Pen-test inclusief A5-inrichtingscheck (bv 4k), bv CSAT met adviesrapport voor de security specialist
- IT-security specialist (bv 15k)
Wat kan de periodieke Microsoft security specialist doen?
Eén van de gevolgen van het invoeren van de Microsoft A5-licenties is bijvoorbeeld het inzetten van een security specialist op het gebied van Microsoft 365 of het netwerk. Wat zijn de implementatiepunten als gevolg van het normenkader van de specialist:
- Blokkering Azure servers (bv tegen de 2 miljoen bitcoin mining schade OSG Hengelo)
- Email-headerwaarschuwing voor externe mail + bijlage en verdachte woorden
- Einde van wachtwoorden en MFA (multifactor-authenticatie) door invoering van toegangssleutels
- Phishingtrainingssimulatie en rapportage
- Intune: updates; LAPS (beperkte local admins); evt USB-drives blokkeren; veilige software repository
- Mailbeveiliging DMARC naar reject status
- Microsoft logon op internet-apps met SSO (Single Sign On) via controle en centrale toestemming
- PIM (Priviliged Identity Management): Beheertaken op aanvraag (max 8 uren)
- DLP-policies voor mailblokkering of waarschuwing (Data Loss Prevention), zodra bijvoorbeeld BSN-nummers gemaild worden
- DLP-policies voor dataclassificatie (information protection)
- DRP (Disaster Recovery Plan - bv een reserve server)
- IRP (Incident Response Plan vergelijkbaar met BHV bij brand)
- WiFi: eduroam-certificaten om wachtwoordkapen te voorkomen die via SSO naam/wachtwoord toegang geven tot Magister/Somtoday, M365, Google, etc
- Firewall: VPN’s blokkeren; lln niet streamen, en bv geen TikTok
- Bezoekrapporten (periodieke gezondheidsrapportage, overleg met de FG)
- De adviezen van de periodiek verplichte cybersecurity tool (bv CSAT) uitvoeren.
Hoe kunnen we elkaar helpen?
CIOforum.nl moet het voor bijna 100% hebben van referenties. U kunt CIOforum helpen door te kijken in uw netwerk naar directeuren, eigenaars en bestuurders van organisaties vanaf ongeveer 100 personen met AVG-vraagstukken of IT-audits.
U wordt van harte uitgenodigd om dit artikel met hen te delen.
Robert Zondervan
Gecertificeerde Functionaris voor de Gegevensbescherming
met diensten voor de kinderopvang en scholen
rzondervan@cioforum.nl
CIOforum
Onafhankelijk IT-advies
ICT Quick Scans - Beoordelen van IT-investeringen
Plaats bericht