Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SM.02 Authenticatiemechanismes
Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek en identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties. Dit is nodig om te bepalen of unieke gebruiker-ID’s zijn doorgevoerd, zodat activiteiten traceerbaar zijn. Daarnaast moet het management ervoor zorgen dat algemene- en systeemaccounts geblokkeerd zijn of op andere wijze beschermd zijn. Alle onjuiste of inactieve gebruiker-ID’s die tijdens het controleproces worden opgemerkt, worden direct gedeactiveerd.
Volwassenheidsniveau 3 met betrekking tot norm SM.02
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SM.02 Authenticatiemechanismes beschrijft volwassenheidsniveau 3 als volgt:
- Formeel beleid en procedures voor gebruikersauthenticatie en identity- en accessmanagement zijn gedefinieerd, gedocumenteerd, geformaliseerd en gecommuniceerd. Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
- Voor logische toegang tot alle systemen en bronnen wordt gebruikgemaakt van toegangsbepaling en authenticatiebeheer voor alle gebruikers.
- Er is een strikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
- Gebruiker-ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
- Ongepaste of inactieve gebruikersrechten worden tijdig uitgeschakeld.
- Het gebruik van tweefactorauthenticatie wordt afgedwongen voor toegang vanaf niet-vertrouwde omgevingen en kritieke systemen. Een bedrijfskritische applicatie waar (jonge) leerlingen op inloggen kan hierop een uitzondering zijn, omdat dit simpelweg te veel vraagt van de gebruiker. Voer in dat geval een risicoanalyse uit voor benodigde mitigerende maatregelen.
Hoe ga je aan de slag met Norm SM.02?
Wat doet Cloudwise?
Deze norm beschrijft dat organisaties betrouwbare authenticatiemechanismen moeten gebruiken om de identiteit van gebruikers vast te stellen voordat toegang wordt verleend tot systemen en gegevens. Denk hierbij aan het gebruik van sterke wachtwoorden, multi-factor authenticatie (MFA) en andere beveiligingsmaatregelen. Het doel is te voorkomen dat onbevoegde personen toegang krijgen tot systemen of gevoelige informatie.
Het vaststellen van beleid rondom authenticatie en het bepalen welke authenticatiemechanismen binnen de organisatie worden toegepast, is een verantwoordelijkheid van de onderwijsorganisatie.
Binnen Cloudwise beschikken alle medewerkers over persoonsgebonden accounts, ook wanneer zij werken in klantomgevingen. Medewerkers zijn ingedeeld in functiegroepen, waarbij rechten afhankelijk zijn van hun rol en certificeringen. Zo kan een meer gecertificeerde medewerker over uitgebreidere rechten beschikken dan een medewerker met een andere rol. Alle accounts die door Cloudwise worden beheerd zijn voorzien van multi-factor authenticatie (MFA). Werkzaamheden die door Cloudwise worden uitgevoerd binnen klantomgevingen worden gelogd, zodat acties herleidbaar zijn.
COOL Sync kan worden gekoppeld aan bronsystemen zoals HRM-systemen of leerlingadministratiesystemen (LAS). Op basis van de gegevens uit deze systemen worden gebruikersaccounts en rollen automatisch gesynchroniseerd. Hier kan automatisch rechten toegewezen worden op basis van een rol of functie (bijvoorbeeld een ICT-rol). Wanneer een account in het bronsysteem wordt uitgeschakeld (bijvoorbeeld in het HRM- of LAS-systeem), wordt deze wijziging via de synchronisatie overgenomen.
Daarnaast biedt de COOL-applicatie de mogelijkheid om complexiteit, geldigheidsduur en aanverwante opties van wachtwoorden te configureren.
Cloudwise adviseert organisaties om multi-factor authenticatie (2FA/MFA) toe te passen voor gebruikersaccounts. In de praktijk is dit echter een keuze van de onderwijsorganisatie en niet overal standaard ingevoerd.
De onderwijsinstelling is zelf verantwoordelijk voor:
- het vaststellen van beleid rondom authenticatie en toegangsbeveiliging;
- het bepalen welke authenticatiemechanismen worden toegepast (zoals MFA);
- het correct beheren van gebruikersgegevens in de bronsystemen (zoals HRM of LAS);
- het inrichten en beheren van rollen en rechten binnen de organisatie;
- het controleren van authenticatie-instellingen en toegangsbeheer binnen de IT-omgeving.
Cloudwise faciliteert technische mogelijkheden voor authenticatie en gebruikersbeheer binnen de door ons ondersteunde omgeving, maar de onderwijsorganisatie blijft verantwoordelijk voor het beleid en de inrichting van authenticatie binnen haar IT-omgeving.
Alle normen van Domein 11: Securitymanagement
- SM.01 Beveiligingsbaselines
- SM.02 Authenticatiemechanismes
- SM.03 Mobiele apparaten en telewerken
- SM.04 Logging systeemactiviteiten
- SM.05 Testen, inspectie en toezicht beveiliging
- SM.06 Patchmanagement
- SM.07 Threat- en vulnerabilitymanagement
- SM.08 Beschikbaarheid en bescherming infrastructuur
- SM.09 Onderhoud van de infrastructuur
- SM.10 Cryptografisch sleutelmanagement
- SM.11 Netwerkbeveiliging
- SM.12 Beheersing van malware-aanvallen
- SM.13 Bescherming van beveiligingstechnologie
Faseringen
- Fase 3 - Uitbreiden
- Fase 5 - Optimaliseren
Domein
- IB Domein 11 - Security Management
Dienst
- Informatiebeveiliging
Normfocus
- De techniek op orde
Verantwoordelijkheid
- Leverancier & onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
