U bent hier

Een instelling als de VUB beheert nogal wat informatie. En daar moet, in tijden van datalekken, hacken en cyberaanvallen steeds omzichtiger mee omgesprongen worden. Het Informatieveiligheid en Privacy (IVP) Comité van de VUB start een bewustwordingscampagne. Chief information security officer en Veiligheidsconsulent Jan Paredis legt uit waarom het een kwestie van eigen verantwoordelijkheid is.

 

In het kader van goed bestuur engageert de VUB zich om de veiligheid en privacy van persoonsgegevens, de veiligheid en vertrouwelijkheid van niet-persoonsgegevens, en de wettelijke vereisten hierrond te respecteren.

 

“Om dat goed te kunnen doen houdt de VUB zich aan de CIA-regels’, zegt Jan Paredis. Nee, hij heeft het niet over de Amerikaanse inlichtingendienst. “CIA staat voor confidentiality, integrity en availability van informatie. We moeten ons de vragen stellen wie de informatie onder ogen krijgt, of die veranderd werd zonder toestemming en of deze steeds beschikbaar is.” De VUB is verantwoordelijk voor alle informatie ongeacht de vorm (geschreven, gesproken, afgedrukt, opgeslagen, verstuurd per post of elektronisch), levensloopfase (tussen ontstaan en vernietiging) of locatie. “Voor alle duidelijkheid: iedereen die aan de VUB verbonden is, draagt verantwoordelijkheid.”

 

Wie is verantwoordelijk voor welke data?
De datum van 25 mei is wellicht niet ongemerkt voorbijgegaan aan de VUB. Vanaf die datum is het niet compliant zijn met de nieuwe Europese GDPR-wetgeving strafbaar. “Onze Data Protection Officer Audrey Van Scharen houdt zich in dat kader bezig met de privacybescherming van alle persoonsgebonden informatie. Ik focus me als CISO op bescherming van alle informatie, dus ook de niet-persoongebonden informatiebescherming. De eerste stap die we daarbij zetten, is alle data inventariseren en aangeven wie voor welke data de verantwoordelijke is. Want die persoon moet in de toekomst zelf een classificatie aan de data geven. Die zal dan de mate van vertrouwelijkheid en vereiste beveiliging aangeven.”

 

VUB, dat zijn 100 kmo’tjes
De IVP-campagne start deze week, het doel is volgens Jan Paredis in eerste instantie sensibilisering. “Anders dan bij een commercieel bedrijf met een sterk hiërarchische structuur, is de besluitvorming aan de VUB zeer gedecentraliseerd. Je kan onze universiteit vergelijken met 100 kleine kmo’tjes, die op een wonderlijke manier toch samenwerken. Maar daar schuilt juist het gevaar. Want op het gebied van de veiligheid en privacybescherming moeten alle neuzen wel in dezelfde richting wijzen. IVP is de verantwoordelijkheid van iedere medewerker. Er kan en mag niet vanuit gegaan worden dat enkel het ICT-team daar zorg voor draagt. Dat kan, gezien de omvang van de informatiestromen binnen de VUB ook niet. Maar ik ga elke faculteit of dienst afzonderlijk via infosessies begeleiden in dit proces.” 

 

Facultaire infosessies

Jan Paredis zal binnenkort alle faculteiten of diensten contacteren om een datum voor een sessie vast te leggen. Die infosessies duren ongeveer een uur. “Daarin vertel ik wat het IVP-beleid inhoudt, wat we doen en wat er van de medewerker wordt verwacht. Ik ga tijdens een sessie al door enkele praktische standaardprocedures zoals wachtwoordbeheersing, pc-bescherming, documentbescherming via Office 365 en hoe je het veiligst ons netwerk gebruikt.”

 

Nieuwe website en online trainingen
Er werd een speciale website gelanceerd. “Op ivp.vub.be kunnen medewerkers de laatste informatie over IVP vinden. Rule of thumb: is het niet daar te vinden, dan is het niet officieel gereviewed door IVP.” Een interne postercampagne en het uitdelen van webcamcovers onderstreept het belang van bewustwording rond veiligheid en privacy. “Maar daar blijft het niet bij”, zegt Jan. “We bieden iedereen binnen de VUB de mogelijkheid om online modules te volgen. Er is een pakket van 8 korte modules, die elk op een zeer laagdrempelige manier leren hoe om te gaan met onder andere phishing mails of het beheren van je wachtwoorden. Rond die phishing mails, die toch voor een groot deel de oorzaak van veel veiligheidsproblemen zijn, gaan we under the radar ook een campagne voeren. Door mails naar verschillende medewerkers te versturen proberen we hen te verleiden om op een link te klikken. Die leid hen naar een fakewebsite waarop we uitleggen waarom je beter niet zonder nadenken elke mail opent of op een link klikt.”

 

Tip van de sluier: hoe omgaan met phishing mails?

Vooruitlopend op de infosessies geeft Jan al enkele tips mee. “Wees voorzichtig met het binnenkomend mailverkeer. Als je twijfels hebt over de betrouwbaarheid van de afzender kan je zonder te klikken met je muiscursor over de link bewegen en dan zie je onderaan je venster naar welke website je werkelijk wordt geleid. Ken je die site niet: nooit klikken! Je herkent phishing mails ook vaak aan het slecht taalgebruik. Stel jezelf ook altijd de vraag: verwacht ik deze mail? Bij twijfel: niet openen of doorklikken maar onze helpdesk contacteren: helpdesk@vub.be. En de belangrijkste tip: volg de online trainingen!

Wees Alert Online waar je ook bent, thuis, onderweg of op het werk