De UT wil haar informatiebeveiliging naar een hoger volwassenheidsniveau brengen, zegt Jan Evers, het hoofd van het universitair informatiemanagement. Dat zit zo: twee jaar geleden bleek uit een onderzoek van SURF (de ICT-samenwerkingsorganisatie van Nederlandse onderwijsinstellingen) dat de UT rond niveau 1 à 2 zit op een schaal van 1 tot 5 als het gaat om de beveiliging van bedrijfsdata.
Dat moet niveau 3 worden, heeft de UT deze maand vastgesteld. Dat betekent dat alle procedures rondom informatiebeveiliging veel nauwkeuriger dan voorheen worden vastgelegd. Hoe ga je om met wachtwoorden? Wie ziet er toe op toegang tot de datacenters van de UT? Welke documenten neem ik wel en welke niet op mijn iPad mee naar huis?
Evers: ‘Op niveau 1 reageer je ad hoc, op niveau 3 is alles gereguleerd. Ons oude informatiebeveiligingsbeleid besloeg vele pagina’s. Dat leefde niet bij beheerders en medewerkers, en daardoor was onduidelijk hoe men moest handelen.’
Geeltje met wachtwoord aan de muur
En daarom is er nu een beknopter beveiligingsbeleid. Alle bedrijfsvoeringsdata vallen eronder: van informatie uit HR-systemen (salarisadministratie, ziektemeldingen, etc.) tot cijferregistratie en van leengegevens van de universiteitsbibliotheek tot inschrijvingen voor vakken in elektronische leeromgeving Blackboard.
Maar met alleen beleid ben je er niet. De UT wil met een bewustwordingscampagne in het eerste kwartaal van 2016 medewerkers wijzen op hun verantwoordelijkheden. Evers: ‘De zwakste schakel in beveiliging is nog steeds menselijk gedrag. Vaak genoeg horen we dat een geeltje met wachtwoord aan de muur hangt omdat collega’s ook moeten kunnen inloggen.’
De campagne gaat echter verder dan alleen de omgang met wachtwoorden. Evers: ‘Docenten zetten lijstjes met cijfers van toetsen op de Blackboard-site van een vak. Daar zijn niet alle studenten blij mee. Ander voorbeeld: is het veilig om een uitdraai uit een HR-systeem door te sturen? En mail ik dat dan via de UT-mail of via Gmail? Mag ik alle documenten wel op mijn iPad mee naar huis nemen?’
Niveau 5 niet nodig
Hoe de bewustwordingscampagne eruit gaat zien, weet Evers nog niet. Zelf denkt hij aan een reminder die bij het opstarten van je laptop elke keer kort in beeld komt. Een werkgroep broedt nog op meer ideeën om het gedrag van medewerkers te beïnvloeden.
Rest de vraag waarom de UT veiligheidsniveau 3 ambieert, en niet 4 of 5. Evers: ‘Informatiebeveiliging is niet kosteloos en je hebt er bovendien last van. Als inloggen ingewikkelder wordt, zijn medewerkers daar niet blij mee. We hoeven niet per se op niveau 5 te zitten. We zijn geen Defensie. De consensus onder universiteiten luidt dat je goed zit als je niveau 3 hebt.’