Security Baseline: fundament voor digitale weerbaarheid 

De Security Baseline vormt de basis voor een veilige en betrouwbare digitale leer- en werkomgeving. Het is een set minimumeisen voor informatiebeveiliging die onderwijs- en onderzoeksinstellingen helpt bij het selecteren en implementeren van maatregelen. Zo versterk je de cyberweerbaarheid van je instelling en realiseer je groei in volwassenheid.

In dit artikel lees je wat de Security Baseline inhoudt, hoe je deze inzet in je eigen instelling, en welke hulpmiddelen SURF biedt.

Wat is de Security Baseline?

De Security Baseline is een set minimumeisen voor informatiebeveiliging. Deze eisen zijn gebaseerd op wet- en regelgeving, internationale normen (zoals ISO 27001 en NEN 7510) en best practices binnen onderwijs en onderzoek. 

Het doel van een baseline is: 

• Uniformiteit creëren
  Instellingen werken vanuit dezelfde basismaatregelen. Dit maakt samenwerking en vergelijking binnen de sector eenvoudiger, bijvoorbeeld bij audits, assessments of benchmarking. En instellingen kunnen leren van elkaars best practices.
• Continuïteit waarborgen
  Dit minimaliseert risico’s op incidenten, zorgt voor een stabiele digitale leer- en werkomgeving en biedt een betrouwbaar fundament voor verdere beveiligingsmaatregelen.
• Transparantie en toetsbaarheid versterken
  Instellingen kunnen aantoonbaar ‘in control’ zijn richting bestuur en (externe) partijen, en prioriteiten voor verbetering effectief bepalen.
• Stimuleren van groei in volwassenheid
  Instellingen zien waar ze kunnen verbeteren en hoe ze stap voor stap een hoger niveau van cyberweerbaarheid bereiken, bijvoorbeeld door aanvullende maatregelen te implementeren.

De Security Baseline fungeert als ondergrens: instellingen die voldoen aan de baseline tonen aan dat ze beschikken over een solide fundament voor hun beveiligingsmaatregelen. 

Waarom is een Security Baseline belangrijk? 

Voor instellingen in onderwijs en onderzoek zijn er meerdere redenen om met een Security Baseline te werken: 

• Toetsbare afspraken 
  Een baseline maakt het mogelijk om objectief vast te stellen of instellingen voldoen aan de afgesproken maatregelen. 
• Vergelijkbaarheid en samenwerking 
  Door gezamenlijk dezelfde uitgangspunten te gebruiken, ontstaat er een gemeenschappelijk kader. Dat versterkt samenwerking tussen instellingen en maakt resultaten van audits en assessments beter vergelijkbaar. 
• Ondersteuning bij audits en compliance 
  De Security Baseline sluit aan op de eisen vanuit SURFaudit, ISO-normen en de Cyberbeveiligingswet (Cbw). Daarmee helpt de baseline instellingen om aantoonbaar ‘in control’ te zijn. 
• Praktische toepasbaarheid 
  Een baseline biedt houvast bij het vertalen van beleid naar de praktijk. Zo weet iedere instelling wat minimaal nodig is om digitale weerbaarheid te borgen.

De rol van de Security Baseline binnen SURFaudit 

 De Security Baseline is een kernonderdeel van SURFaudit. De baseline ondersteunt instellingen bij het selecteren, implementeren en toetsen van maatregelen waarmee de cyberweerbaarheid wordt versterkt en de volwassenheid groeit.

De baseline is zowel een meetinstrument als een praktische leidraad dat instellingen helpt om gericht te werken aan een hoger beveiligingsniveau, de huidige situatie te bepalen en prioriteiten voor verbetering te stellen.

Hoe gebruik je de Security Baseline in jouw instelling? 

Het toepassen van de Security Baseline kan in enkele stappen: 

De Security Baseline is een hulpmiddel in het continu verbeteren van informatiebeveiliging volgens de Plan-Do-Check-Act (PDCA)-cyclus: 

• Plan (Inventariseren en selecteren)
  Bepaal welke maatregelen al zijn geïmplementeerd en welke aanvullend nodig zijn om de baseline te halen.
• Do (Implementeren)
  Voer de geselecteerde maatregelen uit binnen beleid en beheerprocessen.
• Check (Toetsen en monitoren)
  Gebruik de baseline om audits of self-assessments uit te voeren en prestaties te meten.
• Act (Verbeteren en borgen)
  Stel een verbeterplan op voor maatregelen die nog niet voldoen en borg naleving in beleid en evaluaties.

Met deze cyclus wordt de Security Baseline een blijvend hulpmiddel om het beveiligingsniveau structureel te verhogen.

Hulpmiddelen en ondersteuning 

SURF ondersteunt instellingen bij het gebruik van de Security Baseline met: 

• Templates en formats
  Concrete vastlegging van maatregelen.
• Handreikingen en richtlijnen
  Voorbeelden van praktische implementatie.
• Trainingen en masterclasses
  Medewerkers leren werken met de baseline en SURFaudit.
• Community’s en kennisdeling
  Via SCIRT, SCIPR en andere netwerken

Daarnaast sluit de Security Baseline aan bij andere SURFaudit-instrumenten, zoals de Benchmark en de GRC-applicatie.

Samenwerken aan een veilige sector 

 Het hanteren van een gezamenlijke Security Baseline versterkt de digitale weerbaarheid van de hele sector. Instellingen werken zo vanuit een gemeenschappelijk fundament, waarmee verdere beveiligingsmaatregelen effectief kunnen worden geïmplementeerd en geborgd.