Van Normenkader naar praktijk in het VO en MBO. Informatiebeveiliging uitvoerbaar maken met Barracuda Managed XDR en Identity management van TMDi

In mijn werk ben ik nauw betrokken bij scholen en schoolbesturen in het voortgezet onderwijs (VO) en het middelbaar beroepsonderwijs (MBO). Wat mij daarbij steeds opvalt, is dat de discussie over informatiebeveiliging zelden gaat over wat er moet gebeuren, het Normenkader Informatiebeveiliging & Privacy is daarin duidelijk, maar vooral over hoe dit in de praktijk uitvoerbaar blijft.

De centrale vraag die ik veel hoor is:

hoe borgen we continue monitoring, tijdige incidentdetectie en aantoonbare opvolging, zonder onze IT‑organisatie structureel te overbelasten?

Het Normenkader legt de verantwoordelijkheid nadrukkelijk bij bestuur en IT‑management, en terecht. Tegelijkertijd zie ik de realiteit van onderwijsinstellingen: grote aantallen gebruikers, intensief gebruik van Microsoft 365 en andere cloudplatformen, veel externe onderwijstoepassingen en een beperkte beschikbaarheid van gespecialiseerde securitycapaciteit. Mijn betrokkenheid zit vooral in het helpen vertalen van deze normatieve eisen naar een werkbare beveiligingspraktijk.


Continue monitoring (NB‑01.04): van eis naar realiteit

Het Normenkader stelt dat informatiesystemen continu gemonitord moeten worden om beveiligingsincidenten tijdig te detecteren (NB‑01.04). Dat is geen theoretische eis. In het VO en MBO zijn digitale omgevingen vrijwel altijd actief.

Leerlingen en studenten werken ’s avonds door, docenten bereiden lessen voor buiten schooltijd en systemen zijn permanent bereikbaar. Cyberdreigingen maken daar gebruik van: phishingmails buiten kantooruren, accountmisbruik in weekenden en ransomware tijdens vakanties zijn geen uitzonderingen.

In de praktijk betekent voldoen aan deze norm dat er structureel zicht moet zijn op:

  • e‑mailverkeer en identiteiten
  • endpoints in lokalen, praktijkruimtes en thuisomgevingen
  • cloud- en SaaS‑applicaties
  • netwerk- en beveiligingslogs

Met Barracuda Managed XDR wordt deze continue monitoring praktisch ingevuld. Niet alleen door technologie, maar ook door een 24/7 Security Operations Center dat actief meekijkt. Daarmee wordt een normatieve eis uit het Normenkader organisatorisch haalbaar gemaakt, iets wat veel scholen intern lastig kunnen borgen. TMDi legt hier met haar incidenten opvolgingsteam nog een laag bovenop. Hierdoor worden scholen nog verder ontlast zonder dat de borging wegvalt.

 

Tijdige detectie met context (NB‑01.05)

Het Normenkader vraagt niet alleen om monitoring, maar ook om tijdige en betrouwbare detectie van beveiligingsincidenten (NB‑01.05). Wat ik bij veel VO‑ en MBO‑instellingen zie, is dat er wel signalen zijn, maar weinig context.

Een verdachte e‑mail, een afwijkende login of ongebruikelijk cloudgedrag zegt op zichzelf vaak nog weinig. Het kost tijd en expertise om te bepalen of deze signalen samen een echt incident vormen.

De toegevoegde waarde van een XDR‑benadering zit juist in het correleren van signalen. Barracuda Managed XDR legt verbanden tussen gebeurtenissen uit e‑mail, identity, endpoints en cloud. Zo ontstaat één incidentbeeld, bijvoorbeeld bij:

  • een geslaagde phishingmail
  • gevolgd door afwijkend inloggen
  • en daarna verdachte activiteit in OneDrive, Teams of een leeromgeving

Dit ondersteunt direct de Normenkader‑eis om incidenten tijdig, consistent en onderbouwd te detecteren.

 

Incidentrespons en vastlegging (NB‑01.06 en NB‑01.08)

Het Normenkader maakt duidelijk dat detectie alleen niet voldoende is. Incidenten moeten ook gestructureerd worden opgevolgd (NB‑01.06) en aantoonbaar worden vastgelegd (NB‑01.08).

In de praktijk zie ik dat hier vaak spanning ontstaat. IT‑teams weten meestal wel wat ze zouden moeten doen, maar hebben niet altijd de capaciteit om direct en consistent te handelen.

Met een gecombineerde aanpak kunnen bij een geconstateerde dreiging bijvoorbeeld:

  • endpoints automatisch worden geïsoleerd
  • accounts tijdelijk worden geblokkeerd
  • verdere verspreiding worden voorkomen

Belangrijker nog: deze acties worden vastgelegd. Daardoor ontstaat niet alleen effectieve opvolging, maar ook herleidbare documentatie die nodig is voor audits, interne verantwoording en eventuele meldplichtige incidenten.

 

Identity als sleutel tot beheersing

Wat in veel onderwijsincidenten terugkomt, is dat ze uiteindelijk draaien om identiteit: phishing, accountmisbruik en ongeautoriseerde toegang. Detectie zonder ingrijpen op identiteiten blijft dan beperkt.

Daarom kijken wij bij TMDi altijd naar de samenhang tussen detectie en identity‑processen. Met Identacle en Opentext IDM ondersteunen wij onderwijsinstellingen bij het gestructureerd beheren van de volledige identity‑lifecycle: instroom, doorstroom en uitstroom, over alle onderwijstoepassingen heen.

De combinatie van Barracuda Managed XDR en Identity Management maakt het mogelijk om beveiligingssignalen niet alleen te zien, maar ook door te vertalen naar gecontroleerde identity‑acties. Denk aan het intrekken of beperken van rechten, niet alleen in Microsoft 365, maar ook in de vele andere applicaties die in het VO en MBO worden gebruikt.

Dit sluit nauw aan bij de Normenkader‑principes rond:

  • zorgplicht en beheersmaatregelen (NB‑01.04 / NB‑01.05)
  • incidentafhandeling (NB‑01.06)
  • logging en aantoonbaarheid (NB‑01.08)

 

Bestuurlijke verantwoording (NB‑05.xx)

In zowel het VO als het MBO zie ik dat informatiebeveiliging steeds nadrukkelijker onderdeel is van governance en bestuur. Het Normenkader onderstreept deze verantwoordelijkheid.

Door centrale rapportages, inzicht in dreigingen en vastgelegde opvolging kan cybersecurity op een begrijpelijke manier besproken worden met bestuur en management. Daarmee verschuift informatiebeveiliging van een technisch onderwerp naar een bestuurbaar risicodomein, precies zoals het Normenkader voor ogen heeft.

 

Van norm naar volwassen uitvoering

Het Normenkader is geen checklist om af te vinken, maar een kader om informatiebeveiliging structureel te organiseren. In de praktijk zie ik dat scholen die werken met een combinatie van Barracuda Managed XDR en Identity management een belangrijke stap zetten: van ad‑hoc reageren naar repeatable, aantoonbare processen.

Deze benadering vervangt geen beleid en geen ISMS. De verantwoordelijkheid blijft altijd bij de onderwijsinstelling zelf. Maar zij maakt wel mogelijk dat de normen uit het Normenkader daadwerkelijk worden toegepast in de dagelijkse onderwijspraktijk — ook met beperkte middelen.

Dat maakt deze combinatie geen productkeuze, maar vooral een logische invulling van normatieve eisen binnen het VO en MBO.