Wentzo introduceert als eerste in Nederland een scanner die controleert in welke mate een schoolnetwerk afwijkingen vertoont van het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO). De tool is in nauwe samenwerking met Wentzo ontwikkeld door Guardian360, de toonaangevende Nederlandse speler in vulnerability en compliancy scans.
De scanner toetst dagelijks meer dan 125.000 mogelijke aandachtspunten, verdeeld over verschillende clusters. Zo wordt gekeken naar verouderde software, misconfiguraties in het netwerk, sessiebeheer, wachtwoordmanagement, data-exposure en inputvalidatie van formulieren, web applicaties, servers of andere netwerk apparatuur.
Vanaf 2027 verplicht
Het Normenkader IBP FO bevat normen voor het verwerken van (persoons)gegevens door basisscholen en middelbare scholen. Die moeten scholen helpen om datalekken te voorkomen en bescherming bieden tegen het toenemende aantal cyberaanvallen. Naar verwachting worden scholen vanaf 2027 verplicht om te voldoen aan het normenkader.
Scholen nog niet voorbereid
Uit recent onderzoek van het programma Digitaal Veilig Onderwijs (DVO) blijkt dat onderwijsinstellingen daarvoor flink aan de slag moeten. Geen van de scholen uit de steekproef voldeed aan het minimale gewenste volwassenheidsniveau (3). Naar schatting geldt dit voor zo’n 90% van de scholen in Nederland. Eén van de aanbevelingen van de onderzoekers is dan ook om scholen te helpen bij een nulmeting ten aanzien van het normenkader.
Nulmeting voor een roadmap
De nieuwe scanner van Wentzo en Guardian360 is de eerste tool in Nederland die scholen daarbij helpt. De scanner maakt inzichtelijk waar en in welke mate je afwijkt van een groot aantal normen uit het normenkader. Het gaat daarbij onder meer om normen op het gebied van configuration management, identity en access management en security management. De scan biedt daarmee waardevolle informatie voor het opstellen van een roadmap om compliant te worden aan het normenkader*.
Handig met het oog op audits
Met het gebruik van de scanner voldoe je ook aan één van de normen (SM07) zelf. Het normenkader schrijft namelijk voor dat je kwetsbaarheden in kaart brengt (vulnerability management), bijvoorbeeld met behulp van een tool. Aan de hand van rapportages kan je laten zien dat je kwetsbaarheden in beeld hebt, welke acties je hebt ondernomen en hoe lang issues open stonden. De scanner draagt hiermee ook bij aan de voorbereiding op audits.
Wentzo: netwerkspecialist in het onderwijs
Voor Wentzo was de ontwikkeling van de IBP FO-scan een logische stap. Als SIVON-partner beheren we namelijk tientallen netwerken van scholen in het voortgezet onderwijs. Dat doen we as a service, waardoor deze middelbare scholen verzekerd zijn van een veilig, betrouwbaar en toekomstbestendig netwerk (LAN, WLAN of beide) tegen voorspelbare maandelijkse kosten.
Guardian360: specialist in vulnerability en compliancy scans
Het Nederlandse Guardian360 is gespecialiseerd in het beveiligen van complexe IT-infrastructuren. Dat gebeurt met behulp van continue scans en live rapportages, waarbij alle onderdelen van netwerken dag en nacht gemonitord worden. De dataverwerking vindt daarbij plaats op de eigen servers van Guardian360 in Nederlandse datacenters.
Uitbreiding van Security Insight-dienstverlening
Eerder ontwikkelden we in samenwerking met Guardian360 al Security Insight. Security Insight is een dienst die meerdere scanners en meer dan 15 normeringen bevat. De resultaten van deze scans worden vergeleken met de controls van normeringen die gelden voor jouw bedrijf of organisatie. Hierbij valt te denken aan de ISO 27001, de NEN7510 of de BIO, maar ook aan de AVG en de NIS2. Ook bevat Security Insight een virtueel netwerkcomponent, die alarm slaat bij verdacht netwerkverkeer.
* Een complete digitale scan op compliancy? Dat is onmogelijk, omdat het normenkader ook eisen stelt aan bijvoorbeeld je organisatie en processen.