Implementeren van effectief patchmanagement
Dit deelproject helpt je bij het opzetten van een structureel en veilig patchmanagementproces om de digitale veiligheid van leerlingen en medewerkers te beschermen. PatchmanagementHet verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen. is het proces waarbij updates van software en systemen worden geïdentificeerd, getest en geïnstalleerd om kwetsbaarheden te verhelpen en de digitale veiligheid te verbeteren. Voor scholen is dit belangrijk om te voorkomen dat verouderde software een ingang biedt voor cyberdreigingen zoals ransomware.
Resultaat van dit deelproject
- Een formeel vastgesteld patchmanagementbeleid.
- Een patchmanagementproces dat is vastgelegd en geïmplementeerd.
- Regelmatige controle en documentatie van patchlevels van besturingssystemen, databases en applicaties.
- Samenwerking met School-CERT.
Normen bij dit deelproject
Het belang van patchmanagement
Cyberaanvallen richten zich vaak op bekende kwetsbaarheden in verouderde software. Door structureel patchmanagement te implementeren, verkleinen scholen dit risico aanzienlijk. Bovendien helpt dit om te voldoen aan wettelijke eisen zoals de AVG, die stelt dat organisaties passende beveiligingsmaatregelen moeten nemen.
Uitdagingen en aandachtspunten
Het plannen van updates zonder de dagelijkse onderwijsprocessen te verstoren is een veelvoorkomende uitdaging. Daarnaast moeten scholen rekening houden met uitzonderingen, zoals systemen die afhankelijk zijn van oudere softwareversies. Het documenteren van deze uitzonderingen en het monitoren van risico’s is belangrijk.
Computer Emergency Response Team (CERT)
Samenwerken met een Computer Emergency Response Team (CERT) – zoals School-CERT binnen de onderwijssector – helpt bij het identificeren en prioriteren van kritieke patchesPatches zijn kleine stukjes code die worden toegevoegd aan bestaande programma's om fouten (bugs) te corrigeren, beveiligingslekken te dichten of functionaliteit te verbeteren.. Daarnaast is het belangrijk dat IT-medewerkers handmatig of geautomatiseerd de patchlevels van alle systemen controleren en deze informatie vastleggen. Dit helpt bij het monitoren van de voortgang en het identificeren van eventuele gaten in het patchmanagementproces.
Wie doet wat
- De bestuurder is verantwoordelijk voor het vaststellen van beleid en budgetten.
- De changemanager zorgt voor afstemming tussen patchmanagement en changemanagementHet beheerst doorvoeren van wijzigingen in it..
- De ICT-beheerder voert patches uit, controleert patchlevels en documenteert deze in een register.
- Medewerkers rapporteren eventuele incidenten of storingen door verouderde software.
- School-CERT biedt ondersteuning bij prioritering en risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. van patches.
Aan de slag
Met het volgen van onderstaande stappen richt jij patchmanagement in voor jouw organisatie.
1. Stel een patchmanagementbeleid op
Het opstellen van een formeel patchmanagementbeleid is de eerste stap op weg naar een gestructureerde aanpak. Dit beleid omschrijft de verantwoordelijkheden, procedures en tijdlijnen voor het identificeren, testen en implementeren van patches. Je legt de verantwoordelijkheden, procedures en tijdlijnen voor patchmanagement vast in dit beleid. In de voorbeelddocumentatie van het Groeipad is het patchmanagementbeleid opgenomen in het IBP-beleid. Je kunt hiervoor dus de voorbeelddocument IBP-beleid (docx) gebruiken. Het is uiteraard ook mogelijk om een los patchmanagementbeleid op te stellen.
2. Ontwikkel een patchmanagementproces
Naast het opstellen van het beleid is het belangrijk om een gedetailleerd patchmanagementproces te ontwikkelen. Dit proces moet stappen bevatten voor het regelmatig controleren op nieuwe patches, het evalueren van de relevantie en urgentie ervan en het plannen van de implementatie met minimale verstoring van de onderwijsprocessen. Je kunt hiervoor het voorbeelddocument patchmanagementproces (docx) gebruiken.
3. Stem af met het changemanagementproces
Het beleid en proces moeten worden afgestemd met het changemanagementproces van de school om consistente en gecontroleerde wijzigingen in de IT-omgeving te waarborgen.
4. Meld je aan voor School-CERT
Meld je aan voor School-CERT en volg zo updates over actuele dreigingen en kwetsbaarheden.
5. Controleer en documenteer patchlevels
Laat IT-medewerkers regelmatig de patchlevels van alle systemen controleren en documenteren. De exacte frequentie moet worden afgestemd op het risico, het gebruik van de systemen en de afspraken met ICT-leveranciers.
6. Evalueer en verbeter
Voer jaarlijkse evaluaties uit van het patchmanagementproces en breng waar nodig verbeteringen aan.
Externe leveranciers
Let op: Besteed je systemen en toepassingen uit aan een externe leverancier? Maak dan duidelijke afspraken over patchmanagement in het contract of Service Level Agreement (SLAService Level Agreement ook wel dienstverleningsovereenkomst (DVO). Bijlage bij een contract waarin de kwaliteit van de dienstverlening beschreven staat. Zo weet de afnemer bijvoorbeeld welke ondersteuning hij kan verwachten, is bepaald wat de beschikbaarheidseisen van de dienst zijn en hoe snel incidenten opgelost worden.), vraag rapportages op en controleer periodiek of de leverancier updates uitvoert volgens de afspraken. Meer over het maken van afspraken met leveranciersAanbieders van ict- of leermiddelen. lees je in het deelproject Managen van leveranciersrisico’s.
Voorbeelddocumenten
Meer informatie
- Lid worden van School-CERT? Lees er meer over op de website van Kennisnet en meld je gratis aan.