“Als het om online security gaat, blijft menselijk gedrag het allerbelangrijkst”
Als Information Security Officer bij Tilburg University houdt Miranda van der Ploeg-Cools zich bezig met informatiebeveiliging binnen de organisatie. Een belangrijke rol, want samen met haar collega’s is het haar taak ervoor te zorgen dat alle interne digitale informatie iedere dag weer veilig is tegen bedreigingen als gegevenslekken, cyberaanvallen en interne fouten.
Miranda heeft als Information Security Officer een adviserende rol. Met haar team ontwikkelt en implementeert ze informatiebeveiligingsbeleid en -procedures, voert ze risicobeoordelingen uit en creëert ze bewustzijn rondom informatiebeveiliging binnen de organisatie. In de praktijk betekent dat bijvoorbeeld dat ze controleert of nieuwe aan te schaffen applicaties veilig zijn en voldoen aan bepaalde eisen. Of dat ze studenten en medewerkers adviseert hoe ze op een veilige manier om kunnen gaan met vertrouwelijke informatie.
Gevoelige informatie
“Binnen een onderwijsinstelling als Tilburg University is informatiebeveiliging enorm belangrijk”, zegt Miranda. “We beschikken over grote hoeveelheden informatie. Gegevens natuurlijk, van onze studenten en medewerkers, maar bijvoorbeeld ook onderzoeksgegevens zoals medische gegevens van respondenten. Het gaat om gevoelige informatie en die moeten we goed beschermen. Van buitenaf merken we dat er steeds meer interesse in is.”
Informatiebeveiliging valt of staat het met hoe studenten en medewerkers zélf omgaan met informatie. Er hoeft maar één persoon op een gevaarlijke phishinglink te klikken ...
Miranda van der Ploeg - Cools
Gehackt via phishing
“We analyseren risico’s op het gebied van informatiebeveiliging binnen bestaande en nieuwe processen. Ook adviseren we over technische en organisatorische maatregelen die er genomen kunnen of moeten worden om zo veilig mogelijk te werken en studeren”, gaat Miranda verder. “Maar uiteindelijk valt of staat het met hoe studenten en medewerkers zélf omgaan met informatie. Daarom ontwikkelen we ook bewustwordingscampagnes hierover. Er hoeft maar één persoon op een gevaarlijke phishinglink te klikken ...”
“In 2019 werd de universiteit van Maastricht gehackt. Dat kon gebeuren doordat een medewerker op een link in een phishingmail klikte. Daar schrokken we heel erg van. Dat mag ons echt niet overkomen, dachten we.” Sindsdien krijgt online security nóg meer aandacht binnen de organisatie. Zeker met digitalisering als strategische pijler van Tilburg University. “Het wordt ook steeds belangrijker. En hoe goed je je beleid en systemen ook op orde hebt: het online gedrag van medewerkers en studenten blijft het allerbelangrijkst.”
Alle hens aan dek
Bij Tilburg University is het gelukkig nooit zover gekomen. Toch was er eens een incident waarbij het Miranda behoorlijk heet onder de voeten werd. “Twee jaar geleden werd er een wereldwijde en ernstige kwetsbaarheid ontdekt in de zogenaamde Log4j-software.” Dat is software die veel wordt gebruikt in webapplicaties en systemen, ook binnen Tilburg University. Het Nationaal Cyber Security Centrum waarschuwde destijds voor potentieel grote schade en adviseerde organisaties zich voor te bereiden op mogelijke aanvallen. “Het systeem moest een update krijgen, maar de leverancier was nog bezig die te ontwikkelen.”
“Het was voor ons alle hens aan dek; dit kon hele grote gevolgen gaan hebben. We inventariseerden welke systemen draaiden op deze software – dat bleken er heel veel – maakten risicoanalyses en onderzochten of we systemen uit konden zetten totdat de kwetsbaarheid verholpen was. Behoorlijk ingewikkeld, omdat het om systemen ging die door veel personen, studenten én medewerkers, gebruikt werden. We hebben met z’n allen enorm hard gewerkt in die periode. Uiteindelijk liep het goed af; we zijn niet gehackt en de update kon het beveiligingslek dichten. Maar spannend was het wel.”
Een van onze grootste uitdagingen op dit moment is zorgen dat iedereen binnen Tilburg University zich bewust is van het belang van informatiebeveiliging. Hackers worden steeds slimmer.
Security-uitdagingen
“Een van onze grootste uitdagingen op dit moment is zorgen dat iedereen binnen Tilburg University zich bewust is van het belang van informatiebeveiliging. Wij adviseren en ondersteunen, maar uiteindelijk is het de verantwoordelijkheid van de gebruiker zelf hoe deze met informatie omgaat. Hackers worden steeds slimmer. En ontwikkelingen op het gebied van kunstmatige intelligentie gaan razendsnel. Hoe bereiden we iedereen daarop voor? Hoe blijven we voorkomen dat onze informatie in verkeerde handen terechtkomt? Daar houden we ons dagelijks mee bezig.”
Online security – drie tips van Miranda
- Klik nooit op links van mails van onbetrouwbare of onbekende afzenders. Onze software kan veel phishingmails filteren, maar niet alles. Uiteindelijk ben jij zelf verantwoordelijk. Vertrouw je iets niet of twijfel je? Neem contact op met het CISO-office via ciso-office@tilburguniversity.edu; zij helpen je graag. Op het privacy & security portal vind je handige tips om veilig om te gaan met (persoons)gegevens en data.
- Wees je bewust van het feit dat je omgaat met informatie van de universiteit. Vergrendel (met de sneltoets Windows-L) altijd je computer als je wegloopt van je plek, waar je ook bent, en maak het onderdeel van je dagelijkse routine. Zo voorkom je dat iemand via jouw gegevens ergens binnenkomt.
- Gebruik sterke wachtwoorden en gebruik altijd een ander wachtwoord voor elk account. Zwakke wachtwoorden zijn makkelijk te kraken voor hackers en zo kunnen ze eenvoudig aan jouw gegevens én die van anderen komen. Gebruik hier een password manager voor, zoals Keeper. Deze kan je vanuit de universiteit gratis gebruiken.
Zorgvuldig omgaan met gegevens doen we samen... Be your own hero!
Door: Hilde Gilissen
Foto's: Simone Michielsen