Programma Cyberveiligheid mbo

CISO as a Service

Lang niet alle mbo-scholen hebben de voor cyberveiligheid belangrijke functie van CISO ingevuld. Vanuit het programma Cyberveiligheid hebben we onderzocht of we deze functie als een dienst aan scholen beschikbaar kunnen stellen.

De CISO (Chief Information Security Officer) speelt een belangrijke rol bij het planmatig werken aan cyberveiligheid binnen de mbo-instelling. Toch hebben maar weinig mbo-scholen deze functie ingevuld. Vanuit het programma Cyberveiligheid hebben we de belemmeringen hiervoor in kaart gebracht. Ook hebben we in een pilot onderzocht of we de CISO-rol kunnen aanbieden als een service. De CISO wordt op die manier gedeeld door meerdere instellingen.

Pilot CISO as a Service

In de pilot heeft onze ervaren CISO Henry Meutstege zes mbo-instellingen geholpen bij vraagstukken op gebied van cyberweerbaarheid. Om voor de ondersteuning in aanmerking te komen, moesten de instellingen voldoen aan een aantal criteria:

  • Hun opdracht moest breed relevant zijn; de sector moest er iets van kunnen leren.
  • De opdracht moest binnen enkele maanden uitvoerbaar zijn.
  • Bij de opdracht moesten alle lagen, dus ook het bestuur, betrokken zijn.
  • Instellingen moesten meewerken aan het delen van de oplossingen en geleerde lessen.

Gedurende de pilotperiode konden de geselecteerde scholen kosteloos deelnemen aan de pilot CISO as a Service.

Praktische hulp om maat

Tijdens de pilot heeft Henry de geselecteerde instellingen bij verschillende activiteiten geholpen. Hij heeft ze bijvoorbeeld ondersteund bij de toetsing op basis van het NBA-toetsingskader via de nieuwe mbo-brede GRC-applicatie. Ook heeft hij geadviseerd bij pragmatische vraagstukken zoals de implementatie van SURFsoc en het schrijven van nieuw IB&P-beleid. En vier scholen heeft hij geholpen met het uitvoeren van de NOZON-crisisoefening.

Resultaten van de pilot

Uit de pilot blijkt dat een dienst als de CISO as a Service in het mbo voldoet aan een behoefte. Alle instellingen die aan de pilot hebben meegewerkt gaven aan dat de ondersteuning heeft bijgedragen aan een verbeterde cyberweerbaarheid van hun school. Ondersteunde scholen waardeerden de inzet van de CISO as a Service gemiddeld met een mooie 8!

Hoe nu verder?

Met het oog op deze positieve reacties hebben we vanuit het programma Cyberveiligheid onderzocht of en hoe we CISO as a Service bij SURF op reguliere basis kunnen onderbrengen. Helaas heeft SURF aangegeven hiervoor geen voldoende basis te zien.  We zijn er echter van overtuigd dat een ervaren CISO die instellingen kan helpen, voor de mbo-sector cruciaal is. Daarom hebben we besloten de CISO as a Service in te zetten bij de ondersteuning van de security-audits. Instellingen kunnen de hulp van onze CISO as as Service inschakelen bij concrete vraagstukken omtrent de audits. Heeft jouw school ook behoefte aan ondersteuning van een CISO as a Service, neem dan contact op met Henry Meutstege.

Contactpersoon

Neem contact op met Henry Meutstege voor meer informatie.