MBO Utrecht: ‘Met cybersecurity ben je nooit klaar, maar samen komen we als mbo-sector verder’
Oktober staat wereldwijd in het teken van cybersecurity. Ook in het mbo grijpen we deze maand aan om het belang van digitale veiligheid te benadrukken. In dit artikel lees je hoe MBO Utrecht samen met het programma Cyberveiligheid zijn securitybeleid aanscherpte. ICT-manager Richard Geluk: ‘De hele sector profiteert van wat wij hebben geleerd, en vice versa’.
Als het gaat om informatiebeveiliging maakt het weinig verschil of je een kleine of grote instelling bent. ‘Je hebt te maken met dezelfde eisen’, vertelt security officer Marjolein Rombouts van de Utrechtse instelling. ‘Voor elke IT-afdeling is het prettig als er een paar extra handen zijn. Maar zeker als je IT-capaciteit wat kleiner is, is de CISO as a Service ideaal.’ Bij deze dienst helpt Henry Meutstege, de ervaren CISO (Chief Information Security Officer) van het programma Cyberveiligheid, mbo-instellingen om planmatig te groeien in cybervolwassenheid.
Gezocht: een objectieve beoordeling IT-omgeving
‘We zochten een frisse, objectieve blik op onze IT-omgeving’, zegt Richard. ‘Doen we het goed of zien we toch iets over het hoofd?’ Henry voerde bij MBO Utrecht daarom een nulmeting uit op basis van het SURFaudit Toetsingskader Informatiebeveiliging. Dit toetsingskader brengt de belangrijkste aspecten van cyberveiligheid in beeld en is ook de basis voor de jaarlijkse Benchmark IBP in het mbo. Het kader beoordeelt niet alleen technische maatregelen, maar bijvoorbeeld ook bewustwording, gedrag en het vermogen om adequaat te reageren op een incident.
Verbeterpunt: beleid verder uitwerken
‘Het belangrijkste dat aan het licht kwam, was dat ons securitybeleid niet op alle onderdelen perfect was uitgewerkt’, aldus Marjolein. ‘We hanteerden wel de juiste procedures en regels, maar die stonden niet allemaal op papier. Dat is wel noodzakelijk als je wilt dat iedereen in een crisissituatie doet wat hij moet doen. Je kunt elkaar daar dan op aanspreken. Henry heeft geholpen om ons beleid beter uit te werken.’ Richard vult haar aan: ‘Bijkomend voordeel is dat we nu ook bij de security-audit door Deloitte konden aantonen dat we bepaalde maatregelen hebben doorgevoerd’.
Oefenen met crisissituaties is een must
Onderdeel van een volwassen cybersecuritybeleid is ook dat je regelmatig oefent. Want dat geeft je inzicht in wat er tijdens een crisissituatie beter kan en wie erbij betrokken is. ‘Ook daarbij heeft Henry ons geholpen’, vertelt Richard. ‘We deden dit jaar mee aan OZON en weten van vorige jaren dat dat veel energie en tijd vergt. Henry ondersteunde ons bij de voorbereiding, zodat we ons reactievermogen op een cybercrisis nog beter konden testen.’ Een resultaat is dat de school nu werkt met de BOB-methode. Dit staat voor Beeldvorming, Oordeel en Besluitvorming. ‘We gaan niet zomaar over tot actie, maar kijken eerst naar feiten, cijfers en omstandigheden. Zo wegen we alle voors en tegens zorgvuldig af.’
Extra slagkracht met jonge professional
Om zijn cyberbeleid verder aan te scherpen, huurde MBO Utrecht later ook Young Professional Max Passet via het programma in. ‘Wij konden ons hierdoor met alledaagse zaken blijven bezighouden, terwijl Max zich volledig richtte op het uitwerken van het beleid’, vertelt Richard. ‘Het resultaat is dat we een incident en crisis nu nog beter gestructureerd kunnen afhandelen.’
Effect op de hele sector
Volgens Richard profiteert niet alleen MBO Utrecht, maar de hele sector van dit soort initiatieven van het programma Cyberveiligheid. ‘Henry en Max weten hoe het er bij andere scholen aan toe gaat en passen die kennis bij ons toe. En wat ze hier leren, nemen ze weer mee naar andere instellingen. Zo ontstaat een kettingreactie waardoor de hele mbo-sector vooruitgaat. Sectorbrede diensten als de CISO as a Service zijn verbindende factoren binnen het mbo.’
In het mbo komen we samen verder
Marjolein en Richard zijn blij met de objectieve ondersteuning bij het verbeteren van de cybersecurity die MBO Utrecht vanuit het programma heeft gekregen. Richard: ‘Max en Henry hebben ons veel werk uit handen genomen. En ze zijn ook nu nog als vraagbaak beschikbaar. Mede hierdoor scoorden we bij de security-audit iets hoger dan het landelijk gemiddelde.’ Toch betekent dat volgens Marjolein niet dat ze in Utrecht tevreden achteroverleunen. ‘Met security ben je nooit klaar. We gaan zeker nog stappen zetten, ook met andere activiteiten van het programma Cyberveiligheid. Want samen komen we verder dan elke instelling alleen.’
Over Cybersecuritymaand oktober
In de maand oktober zetten we vanuit het programma Cyberveiligheid extra stappen om veilig online gedrag te stimuleren. Want cyberveiligheid raakt ons allemaal – van bestuurder tot docent, van student tot IT-beheerder. Elke week publiceren we persoonlijke verhalen en tips van de mbo-medewerkers die ervoor zorgen dat hun instellingen cyberweerbaar zijn en blijven. Zo delen we kennis, tips en ervaringen en versterken we de weerbaarheid van de hele sector. Klik hier als je benieuwd bent naar de andere Cybersecuritymaand-artikelen.