Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
ID.03 Monitoring en toegang superusers
Het schoolbestuur heeft maatregelen ingevoerd die ervoor zorgen dat superusertoegang beperkt is tot de juiste (beperkte) groep individuen en dat activiteiten die worden uitgevoerd met superuseraccounts worden gemonitord. Superuseraccounts moeten worden goedgekeurd door het verantwoordelijk management.
Volwassenheidsniveau 3 met betrekking tot norm ID.03
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm ID.03 Monitoring en toegang superusers beschrijft volwassenheidsniveau 3 als volgt:
- Er is een formele procedure voor superuserrechten gedefinieerd, gedocumenteerd en gecommuniceerd.
- De personen met superuserrechten en de bijbehorende superuserrechten zijn vastgelegd en toekenning is goedgekeurd door het schoolbestuur.
- Gebruik van de superuserrechten wordt gelogd en geëvalueerd.
Hoe ga je aan de slag met Norm ID.03?
Wat doet Cloudwise?
Deze norm beschrijft dat organisaties extra aandacht moeten besteden aan accounts met uitgebreide beheerrechten (superusers), zoals systeembeheerders of globale beheerders. Deze accounts hebben vaak brede toegang tot systemen en gegevens en brengen daardoor een verhoogd risico met zich mee. Daarom moet duidelijk zijn wie deze rechten heeft, hoe deze worden toegekend en hoe het gebruik van deze accounts wordt gemonitord en gecontroleerd.
Cloudwise biedt ondersteuning bij het beheer van de IT-omgeving, maar de omgeving is en blijft eigendom van de onderwijsorganisatie. De klant blijft daarom verantwoordelijk voor het beheer en de controle van beheeraccounts. Medewerkers van Cloudwise werken met een persoonlijk account waarmee zij, indien nodig, toegang kunnen krijgen tot de omgevingen van klanten. Dit wordt ten alle tijden gelogd. In sommige situaties kan gebruik worden gemaakt van een global admin account om beheerhandelingen uit te voeren binnen de omgeving van de klant. Het aanvragen van dergelijke rechten verloopt via een beheerproces waarbij een global admin een global admin kan aanvragen volgens de interne procedures, logging en controles van Cloudwise zoals deze staat beschreven in onze DAP (link naar de DAP).
Cloudwise voert geen structurele monitoring uit op het gebruik van superuseraccounts binnen de omgeving van de klant en er gaan geen automatische signalen af bij afwijkende activiteiten. Wel worden activiteiten op de bij Cloudwise in gebruik zijnde “superuser” accounts gelogd en activiteiten daaromtrend gemonitord en geevalueerd. Het vaststellen van beleid en controlemechanismen rondom het gebruik van superuseraccounts is een verantwoordelijkheid van de onderwijsorganisatie.
De onderwijsinstelling is zelf verantwoordelijk voor:
- het vaststellen van beleid rondom het gebruik van beheeraccounts en superusers;
- het bepalen wie binnen de organisatie beheerrechten krijgt;
- het controleren van activiteiten van accounts met uitgebreide rechten;
- het periodiek evalueren en beperken van het aantal superuseraccounts;
- het controleren van externe partijen (zoals Cloudwise) die beheerrechten hebben binnen de eigen IT-omgeving.
Het landschap is breder dan Cloudwise
Binnen onderwijsorganisaties bevinden beheeraccounts zich vaak in meerdere systemen, zoals Microsoft 365, Google Workspace, leerlingadministratiesystemen (LAS), HRM-systemen en educatieve applicaties. Voor al deze systemen moet inzicht bestaan in wie beheerrechten heeft en hoe deze worden gecontroleerd. Cloudwise kan beheerrechten hebben binnen onderdelen van de IT-omgeving die wij ondersteunen, maar de onderwijsorganisatie blijft verantwoordelijk voor het totale overzicht en toezicht op superuseraccounts binnen het volledige IT-landschap.
Fasering
- Fase 3 - Uitbreiden
Domein
- IB Domein 10 - Identity & Access Management
Dienst
- Informatiebeveiliging
Normfocus's
- Visie, beleid en organisatie
- De techniek op orde
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
