Deloitte gaat security-audits in het mbo uitvoeren
Deloitte is definitief gekozen tot de partij die voor alle 51 mbo-instellingen de verplichte security-audits gaat uitvoeren. De externe audits zijn volgens het programma Cyberveiligheid de volgende stap naar een hoger volwassenheidsniveau in informatiebeveiliging en privacy binnen het mbo.
Tot nu hebben mbo-instellingen jaarlijks met zelfassessments volgens de Benchmark IBP zelf onderzocht hoe goed ze de informatiebeveiliging en privacy hebben georganiseerd. Met de meer objectieve beoordelingen door Deloitte volgt het mbo het voorbeeld van universiteiten en hbo-instellingen, die al langer vertrouwd zijn met externe audits. Maar waar individuele scholen in deze sectoren de audits zelf betalen, zijn de security-audits door Deloitte bij mbo-instellingen tot 2017 bekostigd vanuit het programma Cyberveiligheid. Door de fixed-price-aanpak garanderen we dat de audits doelmatig worden uitgevoerd.
Twee audits voor elke mbo-instelling
De externe security-audits vinden plaats tussen mei 2024 en eind 2027. Deloitte onderzoekt in deze periode elke instelling twee keer. De eerste audit is gericht op opzet en bestaan van de maatregelen en heeft een opbouwend karakter. De tweede is een volwaardige audit die ook de werking van de maatregelen onder de loep neemt. Tussen de eerste en de tweede audit zit ongeveer een jaar, zodat de instelling voldoende tijd heeft om de adviezen uit de eerste audit op te volgen.
Rol voor mbo-brede GRC-applicatie
Beide audits gebeuren op basis van door de school ingevoerde assessments in de mbo-brede GRC-applicatie. Ook de bewijslast wordt zo veel mogelijk in de GRC-applicatie opgeslagen, gekoppeld aan de statements. Denk hierbij aan beleidsdocumenten, schermafbeeldingen en foto’s. Op deze manier kan de audit voor een belangrijk deel op afstand worden uitgevoerd. Het programma Cyberveiligheid werkt de precieze aanpak van de audits samen met Deloitte de komende tijd verder uit. Daarbij horen ook afspraken over de manier waarop de auditors interessante bevindingen delen met het netwerk IBP.
Loting
De eerste vier tot zes audits staan gepland voor de periode voor de zomer. Scholen die snel mee willen doen, kunnen zich voor 17 april melden bij Evie-Janne van Noorel. Voor de overige instellingen bepaalt een loting welke instelling, wanneer aan de beurt is. Dit gebeurt aansluitend op de gezamenlijke IBP-netwerkdag van de netwerken IBP, OL, IM en Architectuur op 18 april.