Overwegingen bij het project

Voor het in kaart brengen van de huidige situatie ten aanzien vanbeveiliging ELO wordt gebruik gemaakt van een methodiek. Ompragmatische redenen wordt geen uitgebreid onderzoek gedaan naar eenmethode en hulpmiddel, maar wordt gekozen voor een tool die reedsgebruikt wordt (aan de UM) en waarvan kennis aanwezig is, namelijkInfoSecure.

Om te komen tot goede adviezen en verbeterpunten rondom hetwaarborgen van beschikbaarheid, integriteit en vertrouwelijkheid vaninformatie wordt o.a. een checklist opgesteld. Met deze checklistkunnen andere E-merge projecten een risico-inventarisatie opstellen.

Binnen de aangesloten instellingen is een diversiteit wat betrefttechnische infrastructuur van ELO’s. De uit te voeren acties om deverbeterpunten te realiseren kunnen per instelling verschillend zijn.
Ditproject richt zich op het definieren van verbeterpunten die ingezamenlijkheid kunnen worden opgepakt. De uitvoering van deze centralebeveiligingsmaatregelen valt buiten dit project. Hiervoor kan eenvervolgproject gestart worden.

Risico´s

Naar verwachting zal het aantal gebruikers van Digitale LeerOmgevingen (Blackboard) in de nabije toekomst verder toenemen. Naarmatehet belang van deze systemen voor de instellingen groter wordt, zal hetafbreukrisico voor deze instellingen toenemen indien informatie uit deproductiesystemen ten onrechte wordt geopenbaard of dat debeschikbaarheid wordt verstoord als gevolg van sabotage doorkwaadwillende eindgebruikers.

Adequate beveiligingsmaatregelen dienen dit te voorkomen.Voorgesteld wordt om hier gemeenschappelijk aandacht aan te schenken.Dit kan middels uitwisseling van ervaringen en het concreet opstellenvan een continuïteitsplan en een checklist “do´s and don´ts”. Hierbijkan de insteek zijn: risico’s, risicovergrotende factoren enrisicoverminderende maatregelen:

Risico´s

Een risico is te definiëren als een kans op schade of verlies.Wanneer deze term wordt gebruikt in relatie met ICT&O-voorzieningenin een bedrijfsomgeving, denkt men vooral aan:

• productieverlies of verminderde kwaliteit van processen;
• informatievernietiging of informatiemisbruik;
• gezichtsverlies of juridische ingrepen.

Risicovergrotende factoren

Risico´s worden vergroot door een samenspel tussen een aantal krachtenvelden, te weten:

• Bedreigingen, te onderscheiden in interne en externe;
• Kwetsbaarheden van de afzonderlijke voorzieningen;
• Afhankelijkheden tussen de voorzieningen onderling.

<h4>Risicoverminderende maatregelen</h4>

Risico´s kunnen verminderd worden door maatregelen op het gebied van:

• Beschikbaarheid, te onderscheiden in continuïteit en responssnelheid;
• Integriteit, waaronder begrepen juistheid, volledigheid, actualiteit en geoorloofd zijn van procedures en gegevens;
• Vertrouwelijkheid, de wisselwerking tussen toegang en afscherming.

Opbouw

Na het eerste project Beveiliging I zijn er inzichten verkregen in adequaat beleid en instrumentarium rondom beveiliging. In dit tweede project kunnen deze inzichten worden uitgebreid en verbeterd.  De opbouw van expertise rond beveiliging zorgt ervoor dat in de toekomst de systemen van de instelling beter beschermd zijn en allerhande gevoelige informatie niet meer beschikbaar is voor buitenstaanders. De toename van awareness rondom beveiliging zorgt ervoor dat instellingen eerder geneigd zijn beveiligingsmaatregelen in te voeren en ook als beleid aan te houden. Dit in overwegend nemend, wordt de volgende opbouw voorgesteld:

1. Inventarisatie Instellingsbeleid Bij elke instelling wordt een inventarisatie gedaan naar het beveiligingsbeleid en maatregelen rondom het ELO.
2. Inventarisatie huidige situatie Met het product InfoSecure is het mogelijk de huidige situatie rondom beveiliging in kaart te brengen.
3. Eindrapport Het uiteindelijk projectresultaat is een eindrapport met daarin de resultaten van de inventarisatie en het onderzoek per instelling. Daarnaast wordt een aantal baselines rondom beveiliging beschreven die als checklist in vervolgtrajecten van E-merge kunnen worden gehanteerd.
4. Consultancy Tijdens het project wordt een extern partij gevraagd een rol te spelen als reviewer op aanpak en output. Vooralsnog is er geen keuze gemaakt welke partij dit zal zijn.

Uitgangspunten

Dit project is een vervolg op een eerder project waarvan inmiddels het eindrapport is verschenen. In dit rapport is het beveiligingsbeleid van de instellingen rondom de ELO geanalyseerd. Er is een groot aantal aanbevelingen geformuleerd die door de stuurgroep van E-merge zijn overgenomen. Het vervolgproject richt zich op de aanbevelingen waarbij het onder andere gaat om het vormgeven en operationaliseren van het beleid rondom beveiliging. Er moet rekening gehouden worden met het belang van het onderwijs. Dat kan betekenen dat er andere technische keuzes gemaakt moeten worden of dat het onderwijs een andere procedure gebruikt. Tijdens het project wordt een extern partij gevraagd een rol te spelen als reviewer op aanpak en output.

Activiteiten

• Inventarisatie instellingsbeleid.
• Inventarisatie huidige situatie leeromgeving.
• Checken van een aantal baselines rondom beveiliging. Deze checklist is voortgekomen uit het eerste project.
• Eindrapport opstellen met conclusies en aanbevelingen.

Uitgebreid projectplan

Raadpleeg het uitgebreide projectplan voor meer informatie.