Informatiebeveiliging is een (IT) drama

Deze week werden we weer eens getrakteerd op een onvervalst IT drama. De Rotterdamse Rekenkamer kwam met een vernietigend rapport over de informatiebeveiliging bij de gemeente Rotterdam. Een kleine bloemlezing. De fysieke beveiliging faalt aan alle kanten, het hacken van het systeem om bruggen en verkeerslichten te bedienen is kinderlijk eenvoudig en het is een fluitje van een cent om de digitale agenda van burgemeester Aboutaleb in te zien. En het ergste van alles: de persoonsgegevens van de burgers van Rotterdam zijn zelfs via internet (geïndexeerd door Google!) toegankelijk geweest. Met namen en rugnummers. Hoe kan het zo erg uit de hand lopen?

Informatiebeveiliging

Als we spreken over informatiebeveiliging dan wordt door menig bestuurder en manager gedacht dat dit alles met IT te maken heeft. En dat is volslagen nonsens. Informatiebeveiliging is helemaal geen ‘IT ding’. De meeste problemen bij de gemeente Rotterdam zijn terug te voeren op een gebrekkige organisatie, te weinig daadkracht en een gebrek aan kennis. En juist dat laatste is desastreus. Uit het rapport van de Rekenkamer kwam naar voren dat de leiding binnen de gemeente digitalisering vooral als een bezuiniging ziet. Dat is vooral verklaarbaar door een stuitend gebrek aan kennis over IT in het algemeen en informatiebeveiliging in het bijzonder. Als men de complexiteit en de risico’s goed voor ogen had gehad dan had men er waarschijnlijk ook anders op gestuurd.

Informatiebeveiliging in het onderwijs

Hetzelfde zien wij nu ook in het onderwijs. De focus ligt vooral op het leren met IT. En dat is prima want daar doen we het natuurlijk allemaal voor. Maar om leren met IT mogelijk te maken is er wel veel meer nodig dan laptops, tablets, smartboards en een beetje leuk ingerichte ELO. Het aanbrengen van samenhang in de IT omgeving, het op orde brengen van informatiebeveiliging en een zo belangrijk aspect als privacy: allemaal cruciale onderdelen van informatiemanagement. En daar gaat het fout. Bestuurders in het onderwijs hebben nauwelijks kennis van informatiemanagement en daarmee weinig of geen inzicht in de risico’s. Als we kijken naar het model inzake volwassenheid van informatiebeveiliging zitten veel onderwijsinstellingen nog in fase 0 of hoogstens fase 1.

 

 

Geen IT feestje

Vanzelfsprekend zullen bestuurders in het onderwijs geen specialisten op het vlak van informatiemanagement worden. Dat hoeft ook helemaal niet. Men moet zich echter wel bewust worden van de complexiteit van IT en daarmee de noodzaak van onder andere informatiebeveiliging. En zich vooral realiseren dat dit geen IT feestje is. Het is vooral een organisatorisch vraagstuk. Oppakken die handschoen dus en aan de slag. Want anders is het wachten op de grote digitale ongelukken in het onderwijs.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *