Logging is het vastleggen van alle activiteiten die plaatsvinden binnen je ICT-systemen. Monitoring is het toezicht op deze logs om te controleren of er geen afwijkende activiteiten plaatsvinden. Door logging en monitoring goed in te richten, voorkom je dat afwijkingen of dreigingen onopgemerkt blijven, dat storingen pas zichtbaar worden als gebruikers er last van hebben of dat een gebrek aan inzicht leidt tot vertraging bij het oplossen van problemen en het naleven van compliance-eisen. Logging en monitoring is daarmee een belangrijke voorwaarde voor het waarborgen van de betrouwbaarheid van de ICT-omgeving.

Onderdeel van bestaande processen

Het inrichten van logging en monitoring is geen proces op zich, maar onderdeel van bestaande processen, zoals je configuratiemanagementproces, changemanagementproces, patchmanagementproces en het proces voor het uitvoeren van BIV-classificaties. Met deze processen zorg je ervoor dat je overzicht hebt over je systemen, de juiste logging- en monitoringmaatregelen toepast en deze maatregelen bij elke wijziging binnen je ICT-landschap herziet. Binnen dit deelproject controleer je of je binnen bestaande processen je logging- en monitoringactiviteiten goed hebt ingericht.

Logging

Scholen maken gebruik van allerlei digitale systemen om onderwijs en bedrijfsvoering veilig te houden. Logging richt zich op het vastleggen van gebeurtenissen in deze systemen. Hiervoor kun je gebruikmaken van verschillende soorten informatiebeveiliginglogs:

• Authenticatiepogingen: bijhouden van succesvolle en mislukte logins, brute force-pogingen, wachtwoordresets.
• Toegangslogs: inzichtelijk maken wie waar toegang heeft gekregen, welke resources zijn benaderd en welke rechten zijn gebruikt.
• Configuratiewijzigingen: bijhouden van aanpassingen aan systemen, firewalls, routers, applicaties of cloud-resources.
• Fouten en waarschuwingen: bijhouden van crashes, time-outs, niet geslaagde processen als het wegschrijven van back-ups.
• Systeemgebeurtenissen: vastleggen van updates en patchesPatches zijn kleine stukjes code die worden toegevoegd aan bestaande programma's om fouten (bugs) te corrigeren, beveiligingslekken te dichten of functionaliteit te verbeteren..
• Netwerkverkeer: vastleggen van verbindingen, afwijkende protocollen en verdachte datastromen.
• Beveiligingsdetecties: bijhouden van gebeurtenissen die als beveiligingsrisico kunnen worden gezien. Denk hierbij aan malware of verdachte bestanden.
• Auditrapportage: inzichtelijk maken wie wat heeft gedaan en wanneer, inclusief wijzigingen in data en configuraties.

Monitoring

Monitoring richt zich op het continu bewaken en analyseren van ICT-systemen aan de hand van de logs. Met monitoring krijg je real-time inzicht in de beschikbaarheid en veiligheid van systemen en applicaties. Het doel is daarbij niet alleen problemen achteraf te reconstrueren, maar juist om afwijkingen vroegtijdig te signaleren en proactief in te grijpen. Monitoring heeft betrekking op verschillende onderdelen van je ICT-landschap. Denk aan infrastructuur, devices en applicaties. Monitoring hoef je niet altijd zelf te doen. Het wordt vaak aangeboden door leveranciersAanbieders van ICT- of leermiddelen., bijvoorbeeld:

• Cloudleveranciers voor monitoring van toegang en het downloaden van grote hoeveelheden data.
• SAAS-leveranciers voor monitoring van toegang tot systemen of het gebruik van bepaalde functionaliteiten.
• Beveiligingsleveranciers voor het geven van meldingen bij bedreigingen of afwijkend gedrag via antivirussoftware of firewall-leveranciers.
• ICT-dienstverleners die voor de school de infrastructuur of werkplekken beheren bieden vaak ook verschillende vormen van monitoring aan.
• Externe SIEMSIEM (Security Information and Event Management) is een technologie die gegevens uit verschillende bronnen verzamelt, analyseert en logboeken beheert om potentiële beveiligingsdreigingen te detecteren. of SOCEen SOC (Security Operations Center) is een team van beveiligingsexperts dat 24/7 de IT-omgeving monitort en beveiligt. dienstverlening door partijen die logbestanden uit verschillende bronnen samenbrengen, analyseren en 24/7 bewaken op verdachte patronen of aanvallen.

Wie doet wat

• Het schoolbestuur zorgt er binnen andere deelprojecten voor dat er een changemanagementproces en een ingericht CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de IT-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines. is. En dat er een BIV-classificatieschema en een beveiligingsbaseline zijn vastgesteld.
• De IBP’er zorgt ervoor dat de eigenaren voor logging en monitoring binnen deze bestaande processen zijn opgenomen.
• De systeemeigenaren zorgen ervoor dat logging en monitoring voor systemen, applicaties en infracomponenten volgens de maatregelen uit de security baseline zijn ingericht en dat deze maatregelen onderhouden worden.

Aan de slag