Government & Public Sector

  • Share

‘Ethical hacking’ stelt netwerk Hogeschool Gent op de proef

EY heeft samen met de dienst Interne Audit van de Hogeschool Gent (HoGent) een evaluatie gemaakt van de IT-beveiliging van de hogeschool. Dat gebeurde op een ietwat bijzondere manier: we schreven ons als student in, uiteraard met medeweten van onze opdrachtgever, kregen vervolgens toegang tot het netwerk en probeerden dan binnen te breken in de cruciale systemen van de Hogeschool Gent. Ethisch hacken heet dat.

IT-beveiliging, een complex gegeven

Binnen onderwijsinstellingen speelt ITbeveiliging een cruciale rol. Een onderwijsinstelling heeft van nature een zeer open karakter als het gaat om het delen van informatie met studenten en met het publiek. Bovendien zorgt de komst van nieuwe technologieën voor enorm veel mogelijkheden en verwachten gebruikers ook steeds meer flexibiliteit.

Men krijgt daardoor de indruk dat alles voor iedereen op ieder moment ter beschikking moet zijn. Het is in zo’n omgeving niet eenvoudig om het juiste niveau van beveiliging in te bouwen zonder het open karakter van de organisatie of de flexibiliteit van de gebruikers aan te tasten. Een goed risicobeheer is dan ook enorm belangrijk. Ook al omdat dé grote uitdaging voor IT-departementen zit in het beveiligen van informatie die niet mag gedeeld worden. Examenresulaten bijvoorbeeld, of lonen van de medewerkers.

Ethical hacking als onderdeel van onze aanpak

Ethical hacking of ‘Attack & Penetration testing’ is een manier om de beveiliging van een netwerk op de proef te stellen. EY ontwikkelde hiervoor een eigen methodologie met als doel toegang te krijgen tot cruciale informatie binnen een organisatie.

Ook bij de HoGent werd ethical hacking deel van onze aanpak. We vonden snel ook een toepasselijke vraag als uitgangspunt: “Kunnen studenten ongemerkt examenresultaten aanpassen? Het leek ons niet eens zo’n gek idee, om daarvan te vertrekken. De HoGent is net als iedere organisatie doelwit van inbraken van buitenaf. Maar bovenal: de hogeschool leidt zelf studenten op tot IT-specialisten. En die experimenteren graag, proberen weleens iets uit met nieuwe technologieën of nieuwe tools, tasten de grenzen af …

We werden fictief ingeschreven als student, kregen dezelfde toegangen op het HoGent-netwerk en probeerden vervolgens binnen te breken in de cruciale systemen van de hogeschool.

Bredere context

Het deel ‘ethical hacking’ spreekt natuurlijk het meest tot de verbeelding, maar het was maar een deel van onze opdracht. We hebben de beveiligingsbehoeften van de HoGent in kaart gebracht door bijvoorbeeld bij de verschillende diensten en verantwoordelijken te informeren naar hoe zij hun eigen rol zagen binnen het beveiligingsverhaal en hoe het algemene beveiligingsbeleid beter kan afgestemd worden op hun specifieke behoeften. Uiteraard gebeurde dit in nauw overleg en in samenspraak met de directie en met de IT-directie.

Communicatie op maat

EY heeft ook zelf gecommuniceerd naar de verschillende stakeholders. Naar de IT-directie formuleerden we aanbevelingen om de zwakke punten op termijn weg te werken. We rapporteerden ook aan het Auditcomité. We overliepen samen de concrete businessrisico’s en vertaalden onze aanbevelingen naar langetermijnacties die door de verschillende bestuursniveaus genomen kunnen worden. Tenslotte werkten we mee aan een bewustwordingscampagne rond informatiebeveiliging binnen de HoGent. We presenteerden beveiligingsincidenten uit de academische wereld die de media haalden, schetsten de laatste trends en risico’s rond informatiebeveiliging en debatteerden rond actuele thema’s in verband met informatiebeveiliging binnen de HoGent.

Connect with us

Stay connected with us through social media, email alerts or webcasts. Or download our EY Insights app for mobile devices.

EY_Belgium on twitter

 

Click here to view some of our recent presentations on slideshare.


Seminars

Click here to see the list of seminars and enroll online!