Volwassen IAM in het onderwijs met SmartAIM – ‘aantoonbaar in control’

In de onderwijssector is informatiebeveiliging nog vol in ontwikkeling. Steeds meer scholen proberen te voldoen aan het Volwassenheidsmodel Informatiebeveiliging van de Nederlandse Beroepsorganisatie van Accountants (NBA), dat de norm stelt. Bob Buysrogge van SmartAIM weet waar de uitdaging bij scholen zit. Gebruikers van SmartAIM kunnen, als het om Identity & Access Management gaat, met gemak aan niveau 3 van het NBA-model voldoen.   


De informatiebeveiliging in Nederlandse onderwijsinstellingen is voor verbetering vatbaar. Uit twee benchmark-onderzoeken uit 2021 blijkt dat het volwassenheidsniveau van de informatiebeveiliging op scholen onder het gewenste niveau ligt: In het mbo is het niveau 2,1 (Benchmark IBP-E mbo), in het hoger onderwijs 2,2 (SURFaudit Informatiebeveiliging ho 2021), op een schaal van 1 tot 5. De ambitie is op tenminste niveau 3 uit te komen. Beide onderzoeken baseren zich op het Volwassenheidsmodel Informatiebeveiliging van de NBA (Nederlandse Beroepsorganisatie Accountants) en Norea (de Beroepsorganisatie van IT-auditors in Nederland). In 2023 werd voor het zogeheten funderend onderwijs, onder meer primair en voortgezet onderwijs, een normenkader IBP FO gepubliceerd, dat ook gebaseerd is op het NBA-model. Het kader is opgesteld op initiatief van het ministerie van OCW door Kennisnet, SIVON, de PO-Raad en de VO-raad.

Het Volwassenheidsmodel Informatiebeveiliging bestaat sinds 2016 en is in 2019 geactualiseerd. Het is bedoeld om interne en externe accountants handvatten te geven bij het beoordelen van de volwassenheid van de informatiebeveiliging van een organisatie. Het is ook een mooi hulpmiddel voor een organisatie zelf om te bepalen waar de organisatie staat en wat er moet gebeuren om het gewenste niveau van informatieveiligheid te bereiken.

Governance, processen en technische weerbaarheid
Het model kent drie pijlers: governance, processen en technische weerbaarheid, die allemaal uit zeven aandachtgebieden bestaan. In het geval van ‘processen’ zijn die gebieden: human resources, ITIL, datamanagement, Identity & Access Management (IAM), security baselines, business continuïteit en cloudleveranciers. Inzoomend op IAM zijn er vijf hoofdstukken, over (de administratie en periodieke beoordeling van) toegangsrechten, Super Users (expertgebruikers, doorgaans beheerders met veel rechten) en noodprocedures.

In elk van die hoofdstukken worden kort de bijbehorende risico’s en doelstellingen beschreven en zijn de vijf volwassenheidsniveaus gedefinieerd. De verschillende niveaus hebben allemaal hun eigen kleur, van rood (1) naar donkergroen (5). Bij elk hoofdstuk is ook een handig referentiekader met verwijzingen naar andere normenkaders, richtlijnen en standaarden geplaatst, zoals ISO 27000, COBIT 5, BIO 2019 en het NIST Cybersecurity Framework.

Het laagste volwassenheidsniveau in het hoofdstuk ‘Administratie van toegangsrechten’ is de situatie dat er geen beleid is voor gebruikersaccounts en -rechten en er geen administratieve procedure is voor gebruikers en rollen. Rechten worden ad hoc toegekend, afhankelijk van individuen. Op het hoogste volwassenheidsniveau 5, worden de performance en verbetering van accountbeheer en gerelateerde rechten voortdurend gemonitord en zijn tools (bijvoorbeeld voor provisioning) voor IAM succesvol geïmplementeerd. Het moge duidelijk zijn: om over de hele linie het hoogste volwassenheidsniveau 5 te halen, moet er heel wat zijn geregeld.

Door steeds meer door scholen opgepakt
Bob Buysrogge, salesmanager van SmartAIM, is de afgelopen maanden opvallend vaak benaderd door scholengemeenschappen met vragen over het NBA Volwassenheidsmodel. “Het wordt duidelijk steeds meer door scholen opgepakt.” De vragen van de scholen waren voor Buysrogge aanleiding zich eens goed in het model te verdiepen. Al doende ontdekte hij dat de software van SmartAIM scholen makkelijk kan helpen in het bereiken van NBA volwassenheidsniveau 3 voor identity en access management. Zelfs niveau 5 ligt binnen handbereik.

Voorbeeld: in de pijler governance, hoofdstuk ‘Eigenaarschap’ staat bij volwassenheidsniveau 3 onder meer: ‘Alle rollen op het gebied van het managen van informatierisico’s zijn vastgesteld en toegewezen’. Buysrogge: “SmartAIM werkt met Role-based Access Control (RBAC). Als je gebruik maakt van RBAC voldoe je dus aan deze eis voor volwassenheidsniveau 3. Via onze methodiek voor attestatie heb je controle over je uitgegeven autorisatierollen. In het hoofdstuk ‘Functiescheiding’ staat dat ‘de scheiding van rollen en verantwoordelijkheden is gedefinieerd en grotendeels geïmplementeerd’. In SmartAIM krijgt iemand een rol toebedeeld met het HR-systeem als bronsysteem, waarna die persoon de autorisaties krijgt die nodig zijn. Op het moment dat iemand een identiteit, een rol en autorisaties heeft binnen SmartAIM, heb je de geëiste scheiding tussen rollen en verantwoordelijkheden geregeld. De verantwoordelijkheid voor de autorisaties moet liggen bij het management en dat is in SmartAIM expliciet in de software vastgelegd.”

Waterdicht geautomatiseerd
In het hoofdstuk ‘Functiescheiding’ staat ook dat ‘een vastgestelde functiescheiding is geïmplementeerd, zodat personeel alleen geautoriseerde handelingen kan verrichten die behoren bij hun werkzaamheden’. Sinds 2022 is SmartAIM onderdeel van ORIBI-Groep, waar ook Certwell onderdeel van is. Certwell is gespecialiseerd in het vaststellen of iemand daadwerkelijk gecertificeerd of gediplomeerd is. “Zo kunnen we dit proces waterdicht en geautomatiseerd aanbieden.” Het hoogste volwassenheidsniveau in ‘Functiescheiding’ vraag om ‘periodieke database checks om de processen te toetsen in relatie tot de functiescheidingsmatrix’. “Die periodieke database checks zitten standaard in SmartAIM en we rapporteren wanneer er conflicten in autorisaties en verantwoordelijkheden ontstaan”, licht Buysrogge toe.    

Toegangsrechten
Voor volwassenheidsniveau 3 in ‘Toegangsrechten’ moet het beleid en een SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn vastgelegd, gecommuniceerd en onderhouden worden. Ook moet identificatie, authenticatie en autorisatie van gebruikers zijn geïmplementeerd en worden afgedwongen. Bovendien moeten activiteiten van gebruikers getraceerd kunnen worden naar uniek identificeerbare gebruikers. Tot slot moeten gebruikersidentiteiten en toegangsrechten in een centrale opslag worden bijgehouden. “Dit is precies wat SmartAIM doet, dus voor onze gebruikers is dit gesneden koek”, vertelt Buysrogge. “Met SmartAIM kan gebruik worden gemaakt van een uniek verificatieproces, waarmee de identiteit van een persoon wordt gevalideerd en alle activiteiten te herleiden zijn naar een persoon. Iemands toegangsrechten worden periodiek vergeleken met de verantwoordelijkheden. Gebruikers van SmartAIM zitten qua volwassenheid in toegangsrechten met gemak op niveau 5, we kunnen vanuit de ORIBI-Groep dit hele proces aan.”  

Binnen de ORIBI-Groep is namelijk gezamenlijk gewerkt aan een oplossing om identiteiten van bezoekers, klanten, leveranciers en medewerkers op veilige en efficiënte wijze te verifiëren met de app CheckedID aan de hand van een ID-bewijs. Buysrogge: “De ID-oplossing is makkelijk te integreren met SmartAIM en de geverifieerde identiteiten krijgen een groen vinkje, waarmee je altijd kunt zien dat het om een gevalideerde identiteit gaat. Dat is een mooie stap verder in informatiebeveiliging.”

Super Users en noodprocedures
Voor Super Users heeft SmartAIM een goede methodiek en daarnaast is er een noodprocedure voor gevallen waarin er acuut toegang tot een ruimte of een applicatie nodig is. Buysrogge: “Een rode knop zeg maar, waarmee het mogelijk is om vanuit de software een noodprocedure voor toegang op te starten. De noodprocedures komen standaard terug in de rapportage, als die onrechtmatige autorisaties voortbrengen en als er afwijkingen bestaan, komen die altijd in de rapportages aan het licht. Voor klanten die dat willen kunnen we een workflow maken waarin automatisch wordt gerapporteerd als zich afwijkingen op autorisaties of toegangsrechten voordoen.”

NIS2
Wat Buysrogge wil benadrukken is dat het behalen van het volwassenheidsniveau 3 in het NBA-model geen sinecure is. “Maar voor wat het onderdeel Identity & Access Management in het NBA Volwassenheidsmodel betreft, kom je een heel eind met SmartAIM, omdat onze software je als onderwijsinstelling heel veel uit handen neemt.”

Bovendien bereidt Europa nieuwe wetgeving voor zoals de NIS2-richtlijn, die momenteel naar Nederlandse wetgeving wordt vertaald. Hierin worden aan een brede groep kritische sectoren, waaronder ook onderdelen van onderwijs en onderzoek, eisen op het gebied van cybersecurity gesteld. Welke onderdelen dat precies zijn is nog onduidelijke. Maar het zou kunnen dat scholen straks wettelijk verplicht worden om de cyberbeveiliging en de weerbaarheid van essentiële diensten, inclusief IAM, te verbeteren.