Het hoger onderwijs wordt steeds transparanter en ontpopt zich tot een open centrum voor kennis. Dit brengt enorme uitdagingen mee voor de it-afdeling binnen het onderwijs. Want hoe maak je een faculteit gastvrij zonder onderzoeken, persoonlijke gegevens en gevoelige informatie open te stellen. Security wordt steeds groter en belangrijker voor universiteiten.
Zolang risico’s en betrouwbare onderzoeksresultaten in veiligheid worden geborgd, leidt een universiteit geen imagoschade. Er drukt een zware en soms creatieve taak op de schouders van menig security specialist. Want naast alle hoogstaande professoren, prominente onderzoekers en excellente studenten bepaalt vooral het imago van de instelling uiteindelijk de waarde van een universitaire titel.
Aan de Wageningen Universiteit en Research (WUR)-centre studeren ruim tienduizend studenten en werken zo’n 6.500 medewerkers die dagelijks op het netwerk aanloggen. Voor studenten wil de universiteit transparantie terwijl medewerkers en voornamelijk onderzoekers in een beveiligde omgeving moeten kunnen werken.
Intensief in beheer
De Vrije Universiteit van Amsterdam telt zo’n 35.000 studenten en vijfduzend medewerkers. Ook Hans Alfons, information security officer aan de VU, erkent dat er een scheiding moet plaatsvinden op het netwerk. De VU wil graag gastvrij zijn voor de studenten, maar wil ook de veiligheid van ongepubliceerd onderzoek waarborgen. De VU wil daarom in 2015 het netwerk scheiden. Momenteel zijn veel componenten apart beveiligd. Dit is niet alleen kostbaar maar ook complex en intensief in beheer. Daarom wordt er nu gewerkt aan een overzichtelijkere manier van beveiligen. In plaats van verschillende hekken om verschillende componenten, komt er nu één hek waar alle vertrouwelijke gegevens inkomen.
Een van de eigenschappen van een universiteit is om open en gastvrij te zijn. Het is aan het security-team om dit te faciliteren. Bij de VU hebben ze het bring your own device (byod)-principe mogelijk gemaakt. Studenten werken vaak op hun eigen device, maar security specialisten mogen niks op hun laptops uitvoeren. Het is dus aan de VU een taak om een veilige omgeving te creëren zonder programma’s op persoonlijke apparaten te installeren. ‘Dat is ons gelukt. Wanneer een student inlogt op ons netwerk checken we of we de student kunnen identificeren en vertrouwen. Als dat zo is komt de student op een beveiligde verbinding, waarbij de informatiestroom wordt gescand op virussen en schadelijke software’, vertelt Hans Alfons.
Delen van informatie
Volgens Maarten Brouwer, it-directeur bij de WUR, is het belangrijk dat zowel studenten als medewerkers zich bewust zijn van online gevaren. Zo heeft de WUR gelijktijdig met de landelijke ‘Alert Online’-campagne ook hun medewerkers en studenten bewust gemaakt van phisingmails en andere gevaren. Daarbij hebben ze als test ook een phisingmail gestuurd. Helaas bleken studenten en medewerkers daar nog te vaak in te trappen. Security is dan ook niet enkel het feestje van de it-afdeling van de gehele onderwijsinstelling. De kunst is om medewerkers en studenten zorgvuldig te laten handelen en zich hen bewust te maken van hun gedrag met betrekking tot bijvoorbeeld het delen van informatie.
Informatiebeveiliging is momenteel binnen de VU geclusterd. Zo is er een computer response team die beveiligingsincidenten oplossen. Zij zijn vooral reactief na een incident. Eigenlijk vindt Alfons dat de VU van incidenten moet leren en dat daardoor nieuwe problemen kunnen worden voorkomen. Het Security Operations Center (SOC) waar Alfons deel van uitmaakt is daarin proactief en maakt een behoorlijke groei door. ‘Uiteindelijk is het de bedoeling dat alle beveiliging centraal komt. Zowel de digitale als de fysieke beveiliging. Zodat security integraal wordt opgepakt.’
Gemixte omgevingen
Raoul Vernède, security manager bij de WUR, merkt dat de rol van de it’er veranderd. Van beheer naar ketenregie en specialisme. Beheren is niet genoeg, It’ers moeten meer gevoel hebben voor de risico’s binnen de keten en onderdelen aan elkaar kunnen knopen. Daarbij moeten zij om kunnen gaan met gemixte omgevingen van eigen voorzieningen en bijvoorbeeld cloudoplossingen. De WUR faciliteert zo hun eigen apparaten in een studieomgeving.
Verder is centralisatie van informatiebeleid en it met behoud van flexibiliteit voor de WUR van belang. De it-afdeling is bij de universiteit centraal georganiseerd waardoor taken overzichtelijk blijven en worden beslissingen eenduidig en sneller gemaakt.
De huidige ontwikkelingen zijn volgens Brouwer en Vernède een gamechanger. ‘Technologie draait het onderwijs om. Of platter gezegd de iPhones en apps draaien het onderwijs om. Onderwijsfaciliteiten moeten steeds opener, transparanter en de verwachtingen van studenten worden steeds hoger. Als je niet meegaat verlies je studenten en je positie ten opzichte van andere vooraanstaande universiteiten. Security staat heel dicht bij de rol van it en de toekomst van een universiteit. Als je dat niet volgt dan sta je aan de zijlijn te kijken hoe andere het doen. Je kan beter midden in het veld staan.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 1 van januari 2015.
Inhakend op de laatste alinea: security staat niet alleen dicht bij IT, het moet er integraal onderdeel van zijn. Goede beveiliging faciliteert game changing, bij slechte beveiliging is het game over!
Goed dat er op deze manier over wordt nagedacht.
De twee universiteiten hebben beiden een andere aanpak, die niet zijn gestoeld op principes, althans daar maakt het artikel geen melding van.
Een goed principe om toe te passen binnen de Universiteit is het jericho principe: http://nl.wikipedia.org/wiki/Jericho_Forum
Met de toepassing van dit principe kan je open en transparant werken in een gebruiksvriendelijke omgeving.
Overigen is de aanpak van de WUR, gericht op beustwording van de gebruikers een goed aanvulling op jericho.