Programma Cyberveiligheid mbo
Security-audits
Al sinds 2015 brengen we met zelfassessments via de Benchmark IBP mbo-breed in kaart hoe volwassen instellingen de informatiebeveiliging en privacy hebben georganiseerd. Daarbij maakt een deel van de instellingen gebruik van peerreviews, waarbij scholen elkaars assessments valideren. Hiermee bouwen ze een externe validatie voor de verantwoording van hun IBP-volwassenheid in.
Met externe security-audits zetten we de volgende stap naar een hoger volwassenheidsniveau in informatiebeveiliging en privacy binnen het mbo*. Deze door het programma gefinancierde audits geven scholen een onafhankelijke toetsing van hoe volwassen zij hun cybersecurity hebben ingericht. Zodat ze gericht activiteiten kunnen ondernemen om hun beveiliging te verbeteren. De security-audits geven ook een objectief beeld van hoe de mbo-sector er op het gebied van cyberveiligheid voor staat: voor het programma belangrijke input om onderbouwd activiteiten op te starten en instellingen ondersteuning te bieden.
Deloitte voert security-audits uit
In april 2024 hebben we in een aanbesteding Deloitte gekozen om de mbo-brede security-audits te gaan uitvoeren. Het mbo krijgt daarmee een gerenommeerde auditpartij mnet voldoende capaciteit om in ruim 3 jaar tijd meer dan 100 audits (!) bij alle mbo-instellingen uit te voeren. Deloitte audit in deze periode elke instelling twee keer.
Twee verschillende audits
De eerste audit is laagdrempelig en gericht op ‘opzet en bestaan’ van maatregelen. Deze audit betreft vooral een documentatie-onderzoek en heeft een opbouwend karakter. Naast een volwassenheidsscore krijgt elke instelling aanbevelingen om tot een hoger volwassenheidsniveau te komen. De tweede is een volwaardige audit die ook de werking van de maatregelen onder de loep neemt. Tussen de eerste en de tweede audit zit ongeveer anderhalf jaar, zodat instellingen voldoende tijd hebben om de bevindingen uit de eerste audit te volgen verwerken.
Zelfassessments zijn de basis
Bij beide audits vormen de zelfassessments volgens de Benchmark IBP het uitgangspunt. Deze blijven instellingen dus elk jaar uitvoeren. De mbo-brede GRC-applicatie TrustBound speelt een centrale rol om de volwassenheid inclusief bewijslast te documenteren. Via de auditmodule van de applicatie geeft de school de auditors toegang tot het zelfassessment, inclusief de benodigde onderbouwing en documentatie. Op deze manier hanteren we binnen het mbo een gestandaardiseerde werkwijze om de volwassenheid op het gebied van IBP te documenteren en te auditen.
Ondersteuning vanuit het programma cyberveiligheid
Vanuit het programma Cyberveiligheid mbo organiseren we algemene informatiesessies over de audits. Deloitte legt daarin uit wat de audits inhouden, hoe het bedrijf te werk gaat en wat het van instellingen verwacht. We nodigen de instellingen hiervoor uit via het Netwerk IBP. Ook hebben een handreiking opgesteld waarmee instellingen zich optimaal op de twee security-audits kunnen voorbereiden. Instellingen kunnen de handreiking downloaden in de Teamsomgeving van het netwerk IBP. Tot slot kunnen instellingen de hulp van onze CISO as as Service inschakelen bij concrete vraagstukken omtrent de security-audits. Zij kunnen hiervoor contact opnemen met Henry Meutstege.
Inloophalfuurtjes
We organiseren vanuit het programma daarnaast wekelijks een digitaal inloophalfuurtje. In deze bijeenkomsten kun je vragen stellen aan Henry Meutstege en met hem sparren over aanpak of uitdagingen. Ook is er ruimte om met de andere aanwezige instellingen te overleggen. Om de week start het halfuurtje op 9.30 uur of op 13.30 uur, het volledige rooster vind je hieronder. Loop via de in het netwerk IBP gedeelde link digitaal binnen als je tijd hebt, aanmelden is niet nodig.
- Woensdag 12 juni 2024 9.30 – 10.00 uur
- Woensdag 19 juni 2024 13.30 – 14.00 uur
- Woensdag 26 juni 2024 9.30 – 10.00 uur
- Woensdag 3 juli 2024 13.30 – 14.00 uur
- Woensdag 28 augustus 2024 9.30 – 10.00 uur
- Woensdag 4 september 2024 13.30 – 14.00 uur
- Woensdag 11 september 2024 9.30 – 10.00 uur
- Woensdag 18 september 2024 13.30 – 14.00 uur
- Woensdag 25 september 2024 9.30 – 10.00 uur
- Woensdag 2 oktober 2024 13.30 – 14.00 uur
- Woensdag 9 oktober 2024 9.30 – 10.00 uur
- Woensdag 16 oktober 2024 13.30 – 14.00 uur
- Woensdag 23 oktober 2024 9.30 – 10.00 uur
- Woensdag 30 oktober 2024 13.30 – 14.00 uur
- Woensdag 6 november 2024 9.30 – 10.00 uur
- Woensdag 13 november 2024 13.30 – 14.00 uur
- Woensdag 20 november 2024 9.30 – 10.00 uur
- Woensdag 27 november 2024 13.30 – 14.00 uur
- Woensdag 4 december 2024 9.30 – 10.00 uur
- Woensdag 11 december 2024 13.30 – 14.00 uur
- Woensdag 18 december 2024 9.30 – 10.00 uur
Planning security-audits
In mei is Deloitte begonnen met de eerste serie audits bij zes instellingen. Samen met het programma evalueren de auditors hun bevindingen. Deze nemen ze mee in de volgende serie audits, die na de zomer start. Een loting heeft bepaald wanneer elke instelling aan de beurt is; de planning hebben we in het netwerk IBP gedeeld. Voor de tweede ronde audits hanteren we dezelfde volgorde van instellingen. Voor vragen kun je terecht bij Evie-Janne van Noorel.
* De security-audits gaan over informatiebeveiliging. Vanuit het programma onderzoeken we hoe we de statements uit het privacy-kader extern kunnen laten auditen.