‘Word de beste versie van jezelf’ is de slogan van het Horizon College, de grootste aanbieder van ROC-onderwijs boven het IJ. Met ruim 13.000 studenten en zo’n 1300 medewerkers is het een samengestelde organisatie die het resultaat is van verschillende fusies in de afgelopen vijftien jaar. “Dat betekent voor onze ICT dat er soms grote verschillen zijn, niet zozeer in systemen maar wel als het gaat om organisatieculturen binnen verschillende locaties en onderwijstakken”, legt Wietse de Graaf uit. Als Informatiemanager en Security Officer werkt hij vanuit de hoofdlocatie in Alkmaar, waar de meeste ondersteunende diensten gevestigd zijn.
Een groot deel van de informatietechnologie is uitbesteed, met een relatief kleine regieafdeling die vanuit het Horizon College leveranciers aanstuurt. Daarnaast zijn er afdelingen voor het functioneel beheer en informatiemanagement, waar De Graaf met vier andere informatiemanagers werkt. “Door mijn rol als security officer, gericht op de operationele ICT, ben ik daarbij wat meer bij de regie betrokken dan mijn directe collega’s. Als informatiemanager ben ik bezig met het opstellen en bewaken van beleid op informatiegebied, als security officer controleer ik veranderingen binnen de IT-omgeving met het oog op zaken als beveiliging en governance.”
“Een grote ICT-omgeving als de onze is dusdanig divers en complex, dat je al snel onvoldoende inzicht hebt hoe deze is ingericht.”
Pilotproject
Met IT-Workz voerde het Horizon College in juni een ICT Security Scan uit als pilotproject. Hiervoor waren verschillende aanleidingen. “Naast onze kernsystemen en applicaties zijn binnen onze organisatie veel docenten die, meestal uit enthousiasme, andere toepassingen gebruiken die wij niet aanbieden en ondersteunen. De andere reden is dat een grote ICT-omgeving als de onze dusdanig divers en complex is, dat je al snel onvoldoende inzicht hebt hoe deze is ingericht. Wij vonden het logischerwijs prettig om dat inzicht wél te hebben om, samen met onze leveranciers, te kunnen werken aan een verbeterplan.”
De aanwezigheid van ‘schaduw-IT’, met niet-ondersteunde toepassingen en cloudplatformen waarmee geen verwerkersovereenkomst is, zoals Zoom, Kahoot en Google for Education, brengt risico’s met zich mee. “Soms is dit uit ‘onbewust onbekwaam gedrag’ van de gebruiker. Dat je niet weet wat niet goed staat en dat je dit daardoor ook niet kunt veranderen. Maar meer in bredere zin hebben wij geen inzicht en kunnen wij dus ook geen controle uitoefenen op de ICT-omgeving. Dus ook geen maatregelen nemen om datalekken te voorkomen.” Daarnaast was al wel duidelijk dat er sprake was van veel oude admin-accounts in ICT-systemen en wachtwoorden die niet konden verlopen.”
Octopus in ICT-landschap
Een onderwijsinstelling die oproept om de beste versie van jezelf te worden, kan natuurlijk niet blijven zitten met kwetsbaarheden waarvan het zich al (deels) bewust is. Intern werd de scan dan ook van harte toegejuicht. Hiervoor werd een dedicated server geïnstalleerd binnen het netwerk van het Horizon College, met rechten om netwerkverkeer te monitoren en bestanden te indexeren en categoriseren. “Het is als het ware een soort octopus die zijn tentakels door het ICT-landschap uitspreidt. Wat ons een prettig idee gaf was dat IT-Workz het technische beheer uitvoerde en hun partner daarbij meehielp, maar deze zelf geen toegang kreeg tot onze servers. Daardoor hielden wij ook de controle over gevoelige gebruikersinformatie zoals wachtwoorden. En de geanalyseerde data bleef gewoon op onze eigen Azure-cloudservers staan.”
De Graaf legt verder uit: “De scan is een veiligheidsscan, maar ook een gebruikersscan waarmee we kunnen nagaan hoe omgevingen worden gebruikt.” Dit geldt voor de beheeromgeving, maar ook voor toepassingen zoals Microsoft Teams. “Daarover hebben we bepaalde afspraken gemaakt met medewerkers. Als je vervolgens ziet dat er meer bestanden worden gedeeld met de buitenwereld dan de bedoeling is en er meer admin-accounts zijn dan strikt noodzakelijk, dan is dat een goede reden om hier eens verder naar te kijken.” Tevens is de scan een goede manier gebleken om schaduw-IT in kaart te brengen. “Door het detecteren van netwerkverkeer is goed te zien of collega’s toepassingen gebruiken, zoals Zoom of Dropbox, die wij niet aanbieden en ondersteunen.”
Resultaten in presentatie en rapport
Voor het uitvoeren van de scan werd een dag uitgetrokken. “We zijn begonnen met een presentatie door IT-Workz en vervolgens is de server live tijdens een videochat geïnstalleerd en geconfigureerd. Daarna is de scan gestart samen met leveranciers QS Solutions en IT-Workz. Onder hun begeleiding hebben we het zelf kunnen inregelen voor onze eigen omgevingen.” De data uit de scan werd door IT-Workz geanalyseerd en samengevat in een presentatie en een rapport. Deze resultaten werden vergeleken met eerder afgenomen interviews met medewerkers van het Horizon College over de gewenste staat van systemen en het security-beleid.
“Dit is een stappenplan om ons informatiebeleid naar een nog hoger niveau te brengen, met allerlei inhoudelijke voorstellen en acties die wij kunnen oppakken.”
Leverde de scan veel verrassingen op? “Voor mij persoonlijk niet, want ik weet hoe complex onze ICT-omgeving is. Voor onze bestuurders kwamen sommige resultaten wel als een schok, maar dat zie ik juist als iets positiefs, omdat dit draagvlak creëert voor verbetermaatregelen.” Wat De Graaf aanspreekt is dat hij “veel bruikbare tips” kreeg in de vorm van een security-roadmap. “Dit is een stappenplan om ons informatiebeleid naar een nog hoger niveau te brengen, met allerlei inhoudelijke voorstellen en acties die wij kunnen oppakken.”
Toprisico’s in beeld
De presentatie liet het Horizon College onder meer een top-10 van risico’s zien, alsmede een top-5 voor schaduw-IT. Bovenaan de eerste lijst stonden problemen met accounts en gebruikersrechten, maar ook het ontbreken van multifactor-authenticatie bleek een risico. “Dat wisten we natuurlijk al wel, maar in de vorm van een prioriteitenlijst was dit voor ons heel goed om te horen. Tegelijkertijd waren er ook zaken die voor ons niet altijd even bekend waren. Neem onze Office-omgeving, waar ook naar gekeken is. Daarin zijn tal van zaken gevonden die we kunnen verbeteren. Bijvoorbeeld door anders om te gaan met het automatisch beveiligen van bestanden en oude e-mailprotocollen uit te schakelen.”
“Wat heeft het allemaal opgeleverd? Nou, vooral heel snel inzicht op een detailniveau dat je normaal gesproken niet snel krijgt.”
Op korte termijn hebben we het aantal privileged accounts teruggeschroefd en de beveiliging van de overgebleven accounts verbeterd. Ook onze governance is aangepast, met betere procedures rondom datalekken en het hele risicomanagement rondom informatiebeveiliging. Op de lange termijn kijken we vooral naar het gebruik van onze omgevingen, omdat nu is gebleken dat we nauwelijks nog gebruikmaken van geavanceerdere security settings in onder andere Office en Azure. En wat tenslotte ook heel handig is: we hebben nu een praatplaat in onze broekzak voor onze gesprekken met de directie. Waarmee we bijvoorbeeld goed uit kunnen leggen dat het nu echt eens afgelopen moet zijn met het gebruik van toepassingen die wij niet zelf ondersteunen!”