Hoe werkt de SURF security baseline voor onderwijs en onderzoek?

De SURF security baseline helpt je bij het samenstellen van informatiebeveiligingsmaatregelen, voor zowel je interne organisatie als voor je leveranciers. Zo zorg je dat je systemen en toepassingen voldoen aan een minimum beveiligingsniveau. Maar hoe pas je de SURF security baseline toe?

Maak een bewuste keuze

De SURF security baseline bestaat uit een groot aantal maatregelen, die maatregelen worden genoemd. De maatregelen hebben een BIV-classificatie, waarbij een hoger niveau meer bescherming biedt. De baseline beschrijft ook wie de maatregel zou moeten implementeren, zodat je makkelijk alleen de maatregelen kunt zien die voor jou relevant zijn. De baseline omschrijft wat we als sector minimaal belangrijk vinden en op welke manier je ze zou moeten implementeren.

Mogelijk heeft je instelling ook al keuzes gemaakt welke maatregelen wel of niet relevant zijn op basis van de risico’s voor jouw instelling. Het beleid van je organisatie kan ook strenger zijn dan de baseline. Je instelling zorgt ervoor dat de afweging (de inschatting van het risico) bewust gebeurt en dat dit op een later moment aantoonbaar is.

Aan de slag

De SURF Security Baseline is geschreven om voor verschillende doelgroepen nuttig te zijn. Voor je begint is het belangrijk om te bepalen wat je wilt beschermen. We onderscheiden grofweg 3 dingen waar je maatregelen voor kunt nemen: een organisatie (bijvoorbeeld jouw instelling of een leverancier), een proces (bijvoorbeeld inschrijven voor een vak of werven van personeel) en een systeem (bijvoorbeeld een cloud-applicatie of een meetapparaat).

Je kunt op de pagina met de maatregelen via de filters aan de linker kant selecteren wie verantwoordelijk is voor een maatregel, en welk BIV-classificatie gewenst is voor wat je wilt beschermen. Als je kiest voor een hoog BIV-classificatie, moet je ook de lage en medium beveiligingsniveaus implementeren, let op dat deze niet standaard ook geselecteerd zijn. Is het beveiligingsniveau Medium, kies dan zowel Low als Medium.

Lees hieronder meer over de verschillende filters.

Je kunt op een maatregel klikken voor meer details over hoe de maatregel te implementeren, met soms ook al eventuele hulpmiddelen zoals sjablonenof voorbeelden. Disclaimer: deze hulpmiddelen zijn door de community aangeleverd en niet door de commissie beoordeeld op volledigheid, ze worden dus as-is aangeboden als mogelijk vertrekpunt, maar gebruik ook je eigen oordeel.

Heb je alle filters ingevuld dan verschijnt er een selectie van maatregelen die je kunt gaan toepassen. Je kunt de volledige set aan maatregelen of de gefilterde set exporteren naar zowel PDF-formaat als Excel-indeling door op “exporteren” te klikken rechtsboven in het scherm.

Filter BIV-classificatie (Beschikbaarheid, Integriteit, Vertrouwelijkheid)

We gebruiken in de SURF security baseline een de BIV-classificatie.Voor de maatregelen hanteren we drie classificaties: beschikbaarheid, integriteit en vertrouwelijkheid . Jouw organisatie bepaalt zelf wanneer welk beveiligingsniveau gepast is om toe te passen. Meestal heeft je organisatie daarvoor zelf een manier van classificeren.

Hiermee is de baseline door jouw instelling aan te passen aan de eigen risicobereidheid. Wat voor de ene instelling beveiligingsniveau Midden is kan voor de andere op Hoog uitkomen. We adviseren instellingen om in hun classificatie 4 niveaus te gebruiken, laag, midden, hoog en kritiek. Komt een proces of systeem uit op de allerhoogste categorie (Kritiek)? Dan is het altijd een goed idee om met de beveiligingsexperts van jouw instelling te kijken naar welke maatregelen gepast zijn en je niet te beperken tot deze baseline.

Als er een BIV-classificatie beschikbaar is van een systeem, proces of organisatie dan adviseren we om die leidend te laten zijn i.h.k.v. de baseline.

Filter Responsibility (verantwoordelijke)

Met dit filter geef je aan wie verantwoordelijk is voor de implementatie van de maatregelen.

  • Organisation: bepaalde maatregelen kunnen het best organisatiebreed worden uitgevoerd in plaats van op afdelings- of teamniveau. Wanneer deze maatregelen op afdelingsniveau worden geïmplementeerd, kan dit in strijd zijn met het beleid van de organisatie. We beschouwen deze maatregelen als een baseline; ze zouden moeten worden geïmplementeerd voor de meeste, zo niet alle, systemen en processen. Ook kun je als systeem- of proceseigenaar meestal deze maatregelen niet zelfstandig nemen.
  • Process Owner: een proceseigenaar is verantwoordelijk voor het beheer van een specifiek bedrijfsproces binnen een organisatie. De proceseigenaar waarborgt dat het proces effectief en efficiënt werkt, en dat de verwachte resultaten geleverd worden.
  • System Owner: een systeemeigenaar is verantwoordelijk voor het beheer van een bepaald IT-systeem binnen een organisatie. Deze moet zorgen voor de juiste configuratie, het onderhoud en het gebruik van het systeem, in overeenstemming met het beleid en de procedures van de organisatie.

De proceseigenaar is meer gericht op de bedrijfsresultaten, terwijl de systeemeigenaar meer gericht is op de technische aspecten van het IT-systeem.

Denk aan het wervingsproces in een organisatie (als voorbeeld): de HR-manager is daarvan de proceseigenaar. Deze zorgt er onder andere voor dat de functiebeschrijvingen nauwkeurig zijn en dat sollicitatiegesprekken eerlijk en consistent verlopen. De IT-manager is de systeemeigenaar. Deze zorgt ervoor dat het de HR-applicatie voor het wervingsproces correct is geconfigureerd, dat de beveiligingspatches up-to-date zijn enzovoort.

In sommige organisaties kunnen de rollen van proceseigenaar en systeemeigenaar elkaar overlappen of gecombineerd zijn. Het kan bijvoorbeeld zo zijn dat de proceseigenaar ook verantwoordelijk is voor het IT-systeem dat het proces ondersteunt. Dit is vaak het geval als een afdeling het system extern inkoopt. Diegene die dan de afspraken met de leverancier maakt over de technische beveiliging is voor de eigen organisatie de systeemeigenaar.

Doorontwikkeling: jij kunt ons helpen

Wij zijn voortdurend bezig met het verbeteren en optimaliseren van de maatregelen set en onze tool. We zijn ons ervan bewust dat de sector voortdurend verandert en we willen ervoor zorgen dat onze baseline up-to-date blijft met de laatste ontwikkelingen.  We nodigen je daarom uit om feedback te geven over de baseline en hoe deze beter kan aansluiten bij jouw behoeften. Als je suggesties hebt of problemen ondervindt bij het gebruik van deze tool, neem dan content op met Abdul Altawekji, productmanager van SURFaudit via abdul.altawekji@surf.nl.