Pentest: zo houd je je school digitaal veilig

Het Normenkader IBP verplicht scholen om volgens vaste procedures te werken en maatregelen te nemen, zoals het maken van back-ups en zorgen voor omgevingsbeveiliging. Volgens het normenkader moeten onderwijsorganisaties zelfs periodiek een pentest laten uitvoeren.  Schooladviseur Charles Hunfeld: ''Vanuit ons portfolio van leveranciers en diensten bieden wij als APS IT-diensten goede oplossingen die helpen bij onder andere domein 11 van het Normenkader (Securitymanagement). De pentesten in onze webwinkel zijn daar onderdeel van.''

In onze webwinkel vind je deze pentesten:

• MyDigitals Security Pentest
• SoyCloud Security Audits en Pentesting
• Edufort Cybersecuritydiensten (inclusief pentests)

Wat is een pentest?

Een pentest is een krachtig middel om de kwetsbaarheden in je beveiliging te ontdekken. Bij een pentest worden ethische hackers ingezet. Deze worden ingehuurd door een externe partij. Zij proberen met hun actuele kennis toegang te krijgen tot bijvoorbeeld de Google- of Microsoft-omgeving van een school. Zo brengen ze de zwakke plekken van de beveiliging in kaart. Meestal gebeurt dat één keer, waarna de school een rapport ontvangt met aanbevelingen.

Het voordeel van een pentest, buiten dat het binnen het Normenkader IBP verplicht is, is dat je hiermee praktische inzichten krijgt. De ethische hackers werken hetzelfde als hackers die gegevens stelen. Maar in plaats van het stelen van data, wijzen zij jouw organisatie op de zwakke punten, die je vervolgens aanpast. Zo optimaliseer je de beveiliging en ontstaat een betrouwbare omgeving voor medewerkers en leerlingen.

Risico van eenmalig een pentest uitvoeren

Volgens Charles Hunfeld, onze schooladviseur, schuilt wel een risico in het eenmalig uitvoeren van een pentest. “Een positieve pentest wekt de illusie dat de beveiliging in orde is, maar het is feitelijk niet meer dan een momentopname.” In een wereld waarin technologie voortdurend verandert, is het essentieel om de beveiliging continu te verbeteren. Door de pentest een of twee keer per jaar uit te voeren, weet je zeker dat je systeem up-to-date blijft. Heb je aanpassingen gedaan? Dan test je die extra bij de volgende pentest om er zeker van te zijn dat je systeem goed functioneert.

Een oplossing die past bij jouw school(bestuur)

Beheerders vinden het vaak lastig om alle ontwikkelingen bij te houden. Daarom is het verstandig om een gespecialiseerde partij in te schakelen die de nieuwste kennis in huis heeft. “Wat ik als schooladviseur belangrijk vind, is dat wij vanuit APS IT-diensten een breed scala aan oplossingen aanbieden, die aansluiten op de actualiteit,” zegt Charles. “We denken mee met de school over behoeften en eisen: een kleinere school vraagt vaak om een andere aanpak dan een grote stichting of bestuur met onderliggende scholen.” 

Zo zijn er naast pentesten ook andere tools die helpen om inzicht in de beveiliging te krijgen. Werken jullie bijvoorbeeld met Microsoft 365? Dan is het verstandig om te kijken naar verschillende vulnerability dashboards. Deze analyseren continu de kwetsbaarheden in je 365-omgeving en geven tips om die te verbeteren. Het Microsoft Purview-portal geeft je informatie over de beveiliging en compliance. Ook Microsoft Sentinel, Microsoft Defender en Microsoft Purview zijn producten die helpen om inzicht te krijgen en risico’s te verkleinen. 

Charles benadrukt dat scholen en besturen niet verplicht zijn om diensten bij APS IT-diensten af te nemen. “We hebben een breed portfolio met beveiligingsanalyses waarmee we veel scholen helpen. Soms heeft een klant iets anders nodig wat buiten ons aanbod valt. Dan is een goed gesprek nog steeds waardevol. Regelmatig komt het voor dat we daardoor in gesprek gaan met leveranciers die voldoen aan een specifieke vraag. Zo kunnen we alsnog voorzien in de specifieke behoefte.”