Sjablonen helpen mbo-instellingen bij crisisaanpak van grote ICT-verstoringen
Als een cyberaanval jouw instelling treft, dan wil je de impact ervan tot een minimum beperken. Maar waar moet je beginnen om je ICT-voorzieningen te beschermen? De sjablonen voor bedrijfscontinuïteitsmanagement (BCM) van het programma Cyberveiligheid zijn het perfecte startpunt voor mbo-instellingen.
‘Geen enkele instelling wil leerlingen en medewerkers naar huis sturen omdat ICT-voorzieningen falen’, vertelt Victor Meerloo, specialist informatieveiligheid en privacy van het programma. Hij heeft de sjablonen samen met SURF ontwikkeld. ‘Met deze sjablonen spelen we in op een wens die bij veel mbo-instellingen leeft. Zij willen hun weerbaarheid tegen het toenemend aantal cyberdreigingen vergroten, om zeker te zijn dat ICT altijd werkt.’
Beschrijven hoe je crisissituaties aanpakt
De sjablonen helpen instellingen hun aanpak bij crisissituaties te beschrijven. Met die aanpak kunnen effectief reageren als er een verstoring is. ‘We weten dat veel scholen het lastig vinden om met risico’s rond informatieveiligheid om te gaan’, gaat Victor verder. ‘Daarom helpen we hen graag. De sjablonen maken stappen concreet.’ En: omdat BCM onderdeel is van het toetsingskader van de Benchmark IBP en security-audits, helpen de sjablonen om betere scores bij deze audits te halen.
Basis voor bescherming en prioritering
Hoe werkt dat in de praktijk? Meerloo legt uit dat Business Impact Analyses (BIA) en BIV-classificaties cruciale onderdelen zijn voor instellingen die informatieveiligheid en BCM naar een hoger niveau willen tillen. Met een BIA breng je kritieke bedrijfsprocessen in kaart en de impact van uitval van deze processen. Met BIV-classificaties kijk je naar uitval van ICT-voorzieningen en stel je eisen voor Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatiesystemen vast. Samen vormen BIA en BIV de basis voor bescherming van ICT-voorzieningen én het stellen van prioriteiten bij grootschalige verstoringen. ‘Je weet dan bijvoorbeeld welke applicaties en gegevens als eerste voor herstel in aanmerking komen.’
Investeren in veiligheid
BIA en BIV zijn ook waardevol bij het opstellen van een businesscase voor investeringen in informatieveiligheid. ‘Zonder inzicht in geldende eisen tast je in het duister,’ zegt Meerloo. ‘Dan draait het inkopen van beschermingsmaatregelen uit op willekeur.’
Onderzoek bij twee instellingen
Op dit moment lopen vanuit het programma Cyberveiligheid onderzoeken bij het Albeda College in Rotterdam en ROC Midden-Nederland. Doel daarvan is om te komen tot een referentie-BIA en BIV-classificatie voor het mbo. Deze sluiten aan op de mbo-referentie-architectuur MORA en komen beschikbaar voor alle mbo-instellingen. Zij kunnen deze vervolgens eenvoudig aanpassen aan hun eigen situatie.
Sjabloon voor herstelplan
Het programma Cyberveiligheid en SURF bieden ook een sjabloon aan voor een technisch herstelplan. Dit is vaak onderdeel van disaster recovery (herstel na een calamiteit), weet Meerloo. ‘Veel instellingen onderschatten dit aspect. Het IT-landschap is tegenwoordig zó complex dat er wel wat meer nodig is dan het terugzetten van een back-up na bijvoorbeeld een ransomware-aanval. Soms moet je je landschap compleet opnieuw opbouwen. Je hebt in ieder geval protocollen nodig, zodat je weet met wie je kunt communiceren tijdens een crisis. Je moet ook weten wie dan wat doet.’
Scenariokaarten voor het mbo
Tot slot: behalve sjablonen komen via SURF ook speciaal voor het mbo-bedoelde scenariokaarten beschikbaar, die instellingen kunnen afstemmen op hun eigen situatie. ‘Na de start met de SURF-templates biedt het programma aanvullende referentiedocumenten en templates die mbo-instellingen ondersteunen bij het verder invullen van hun BCM-plannen’, zegt Meerloo. ‘Kortom, alles wat ze nodig hebben om optimaal voorbereid te zijn op cyberrisico’s.’
In lijn met NIS2
Aandacht voor bedrijfscontinuïteitsmanagement past bij de NIS2-aandachtspunten die we in het mbo belangrijk vinden. NIS2 speelt volgens Meerloo bij uitstek in op de grote risico’s op het gebied van informatieveiligheid, met een belangrijke rol voor bedrijfscontinuïteitsmanagement. NIS2 is vooral bedoeld voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij, zoals zorg, transport, energieaanbieders. ‘Maar risico’s zijn net zo goed van toepassing op het mbo en stoppen niet bij de grenzen van bijvoorbeeld een zorginstelling’, zegt Meerloo.
Wil je meer weten over BCM en de ondersteuning die wij bieden vanuit het programma Cyberveiligheid? Neem dan contact op met Henk Links of Victor Meerloo.