Veilige IT? Kwestie van goede afspraken

Beveiliging-heartbldAfgelopen periode was het weer zover. Een groot beveiligingsrisico was opgedoken. Dit keer betrof het een ‘foutje’ in de software die verbindingen tussen computers juist zo moeten beveiligen door deze te versleutelen. Ernstig? Zeker, het betreft immers een zeer veel toegepast protocol en de kans is groot dat ook IT infrastructuren waar uw organisatie mee te maken heeft er door zijn geraakt. Liggen nu direct al uw privacygevoelige gegevens op straat? Welnee, maar actie is natuurlijk wel vereist.

Het lastige aan deze ‘bug’ is dat het software betreft die door heel veel verschillende leveranciers wordt gebruikt in heel veel verschillende apparaten. Van computers tot routers en mogelijk zelfs die slimme thermostaat die bij u thuis aan de muur hangt. En het is maar de vraag of al die leveranciers snel een update zullen uitbrengen. Het is complexe technologie die vraagt om expertise die veel onderwijsorganisaties simpelweg niet in huis hebben. Veel onderwijsorganisaties maken echter al gebruik van externe dienstverleners die deze expertise wel in huis zouden moeten hebben. Maar stel dat u de IT al geheel heeft uitbesteed, moet u dan nog steeds uw IT dienstverlener op dit (mogelijke) lek attenderen?

Ik mag hopen van niet. Het kan natuurlijk niet zo zijn dat uw IT dienstverlener pas in actie komt op het moment dat hij van u te horen krijgt dat er zich mogelijk een beveiligingsprobleem voordoet. Toch wordt dit wel vaak vergeten bij de selectie van IT dienstverleners. Teveel wordt er de nadruk gelegd op het ‘wat’ (hoe ziet de desktop eruit die de dienstverlener gaat leveren’). Maar minstens zo belangrijk zijn de beheerprocessen die dat ‘wat’ mogelijk maken. Die hoeft u overigens niet voor te schrijven, maar goed uitvragen hoe de IT dienstverlener deze processen op orde heeft is wel essentieel. Juist hier wordt het onderscheid gemaakt tussen de goede en minder goede dienstverleners. Want het leveren van het ‘wat’ dat kunnen ze allemaal wel. Is dan met de selectie van een goede partij de kous verder af? We hebben het geregeld?

Niet echt. Het veilig toepassen van IT blijft voor een belangrijk deel gewoon mensenwerk. U dient goede afspraken te maken met uw medewerkers en leerlingen over verantwoord en veilig gebruik van IT. Wat doen we wel en wat doen we vooral niet. Vijf jaar lang hetzelfde wachtwoord gebruiken is natuurlijk vragen om problemen. Maar iedereen op van alles en nog wat controleren is onbegonnen werk en ook ongewenst. De digitale wereld is in die zin weinig anders dan de analoge wereld. Inbreken mag niet, maar er zullen altijd inbrekers zijn. Als u er nu maar voor zorgt dat het slot op de deur stevig genoeg is en regelmatig een politieauto langs laat rijden dan beperkt u in ieder geval het risico.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *