Fontys-bestuurder over informatieveiligheid

Al voor de hack bij de Universiteit Maastricht stond het thema informatieveiligheid en privacybescherming bij Fontys hoog op de agenda. ‘De complexiteit van onze organisatie speelde hierin een belangrijke rol’, blikt bestuurder Hans Nederlof terug. Hij heeft onder meer ict in zijn portefeuille.

‘Vier à vijf jaar geleden hadden we als grote hogeschool nog te maken met een heel versnipperd IT-landschap. Met veel autonomie voor de verschillende opleidingen. We gebruikten bijvoorbeeld meerdere digitale leeromgevingen en ook verschillende systemen voor toetsen. Dat we door deze versnippering wel eens extra kwetsbaar konden zijn op het onderwerp cyberveiligheid, hadden we als bestuur al vrij snel door.’

Planmatige aanpak

Reden voor Fontys om rond informatiebeveiliging en privacy in 2017-2018 al een specialistische club op te richten, het Information Security & Privacy(ISP)-Office. ‘Het moet binnen je organisatie ergens samenkomen om te voorkomen dat je afhankelijk wordt van een groepje goedbedoelende eenlingen’, legt de bestuurder uit. 

Centrale facilitering dus, om zo te komen tot een planmatige benadering van cybersecurity. Een roadmap waarin je aangeeft waar je op welk moment wilt staan qua cybervolwassenheid en welke stappen je neemt om dit te bereiken’, gaat hij verder.

Volwassenheidsniveau bepalen

De basis voor deze roadmap vormde voor Fontys de SURFaudit-benchmark die de hogeschool destijds al deed. ‘Waardoor we wisten op welk volwassenheidsniveau we zaten qua informatiebeveiliging en privacybescherming. En niet onbelangrijk: op welke vlakken er voor ons nog serieus werk te doen was’, stelt Nederlof. Zaken die het bestuur volgens hem, ook toen al, in alle openheid besprak met de raad van toezicht. ‘Toen de hack in Maastricht naar buiten kwam, konden wij de raad van toezicht dan ook vrij snel enigszins geruststellen. Zo konden we bijvoorbeeld aangeven dat we met behulp van die roadmap een planmatige verbeteraanpak volgden en in het geval van zo’n ernstig incident konden terugvallen op een expertpartner die binnen vier uur met een heel team op de stoep zou staan.’

'Wanneer je nu als organisatie het gevoel hebt dat je achterloopt, is er heel veel kennis en kunde om uit te putten.’

Hans Nederlof

Verankering

Om aan te geven hoe serieus Fontys het thema neemt, legt Nederlof uit dat de onderwerpen informatiebeveiliging en privacybescherming prominent zijn verankerd in de managementrapportagecyclus van de hogeschool. Zo rapporteren alle (meer dan dertig) instituten en diensten drie keer per jaar over deze thema’s aan het bestuur. Terwijl daarbovenop het ISP-Office in een aparte managementrapportage drie keer per jaar direct aan Nederlof rapporteert over de voortgang van de roadmap. En als derde lijn rapporteert dan ook nog de wettelijk verplichte functionaris gegevensbescherming aan het college van bestuur op het vlak van privacy. Fontys heeft in dezen dus gekozen voor het three lines-modelvan risicomanagement.‘Informatieveiligheid en privacy begint bij jezelf’, benadrukt Nederlof. ‘Het is niet iets van een ander of van de dienst IT, zoals vaak wordt gezegd. Nee, de meeste datalekken ontstaan door menselijk falen. Door één individu die onbedoeld iets doms doet. Precies de reden voor ons om álle directeuren te vragen hierop te rapporteren en dit niet een zaak te laten zijn van IT alleen’, legt hij die keuze uit.

Advies voor collega’s

Fontys heeft ook een multidisciplinair team opgericht dat vooral focust op de gedragskant en op dat vlak awareness vergroot, workshops geeft en handreikingen doet. Een belangrijk advies dat Nederlof ook andere bestuurders wil meegeven in hun strijd voor informatieveiligheid. Tot slot benadrukt Nederlof dat het anno nu voor collega-instellingen eenvoudiger is geworden om met het thema aan de slag te gaan. ‘Wij moesten destijds nog veel zelf uitvogelen’, herinnert hij zich. ‘Je kunt dus relatief eenvoudig stappen zetten’, stelt de bestuurder. ‘Neem het voorbeeld van SURFsoc, waar in principe iedere instelling uit de onderwijs- en onderzoekssector bij kan aansluiten. Een beslissing die je als instelling vandaag nog kunt nemen.’