Governance-onderzoek: betrokkenheid bestuurders komt ten goede aan informatieveiligheid

Mbo-instellingen scoren beter op informatieveiligheid als de betrokkenheid van bestuurders hoger is. Dat is een van de conclusies van het mbo-brede onderzoek naar de governance van informatiebeveiliging, dat het programma Cyberveiligheid eind 2023 heeft uitgevoerd. Victor Meerloo, specialist informatieveiligheid en privacy van het programma, presenteerde het rapport tijdens de MBO Digitaal conferentie in het Apeldoornse Orpheus Theater.

Met het onderzoek wilde het programma Cyberveiligheid een beter beeld krijgen van hoe de aansturing van informatiebeveiliging in de mbo-sector is georganiseerd. ‘Want governance is letterlijk sturing’, volgens Meerloo. ‘Ontbreekt het hieraan, dan kan dat leiden tot verkeerde keuzes bij het beperken van beveiligingsrisico’s en kan zelfs het bieden van onderwijs direct in gevaar komen.’ Op basis van de inzichten uit het onderzoek geeft het programma Cyberveiligheid in het rapport een uitgebreide lijst aanbevelingen. Waar nodig start het daarnaast activiteiten om instellingen te helpen bij het verbeteren van de sturing van informatieveiligheid.

Veranker de verantwoordelijkheden

In totaal hebben 44 van de 55 aangeschreven mbo-instellingen aan het onderzoek deelgenomen. Daarin waren vragen voor zowel de bestuurder als de IBP-functionaris opgenomen. Uitkomst is dat de twee functiegroepen in grote lijnen op dezelfde manier naar governance kijken. Maar er zijn ook verschillen. Meerloo: ‘Bijvoorbeeld over de vraag wie er eindverantwoordelijk is voor het vaststellen van trends, knelpunten en verbeterpunten. De IBP-er legt dan opvallend vaker de verantwoordelijkheid bij de IB&P-stuurgroep, terwijl de bestuurder deze verantwoordelijkheid eerder bij zichzelf of bij de ICT-manager legt.’ De onderzoekers geven daarom aan dat het belangrijk is om deze verantwoordelijkheden in het informatiebeveiligingsbeleid te verankeren.

Bestuurders en IBP’ers, ga het gesprek aan

Een andere aanbeveling is om de positie van de IBP-functionaris regelmatig tegen het licht te houden, omdat die steeds meer beweegt richting de traditionele CISO-rol. ‘Een goede positionering draagt bij aan effectievere informatiebeveiligingsmaatregelen’, aldus Meerloo. ‘Daarom is het belangrijk dat IBP’er en bestuurder regelmatig evalueren of de positie van de IBP-functionaris nog aansluit bij de behoeften en de volwassenheid van de organisatie.’ Ook raden de onderzoekers bestuurders en IBP-functionarissen aan om duidelijke afspraken te maken over verwachtingen en behoeften. Zodat bestuurders hun controlerende rol goed kunnen vervullen en IBP’ers hun betrokkenheid ook beter gaan zien.

Betrokkenheid bestuurder belangrijk

In het onderzoek valt verder op dat een hoge betrokkenheid van de bestuurder resulteert in een hogere score op volwassenheid van de informatiebeveiliging. Want dit hadden de 3 meest succesvolle instellingen op het gebied van informatiebeveiliging gemeen. Victor: ‘Het ligt misschien voor de hand, maar dit onderzoek laat zien dat betrokkenheid van de bestuurder echt belangrijk is voor een volwassen informatiebeveiliging.’ Kenmerkend voor de top 3 is verder dat zij hun taken, bevoegdheden en verantwoordelijkheden duidelijk hebben vastgelegd, hun ambities volledig helder zijn en hun bestuurders de eindverantwoordelijkheid voor risicomanagement op zich nemen.

GRC-applicatie biedt hulp

Een andere aanbeveling die volgt uit het onderzoek: maak gebruik van de mbo-brede GRC-applicatie. ‘Want die helpt instellingen om beveiligingsrisico’s in kaart te brengen, maatregelen te beschrijven en grip te krijgen op volwassenheid, risico’s en planning’, licht Meerloo toe. ‘Daarmee heb je een goede basis voor risico-overleg met verschillende stakeholders en kun je samen prioriteiten stellen. Dat is belangrijk om draagvlak voor de beheersmaatregelen te creëren.’ Volgens de onderzoekers is het een bemoedigend signaal dat 30 van de 44 deelnemende instellingen al in meer of minder mate op deze manier risicogericht werken.

Meer informatie over de nulmeting?

Lees het volledige rapport, inclusief alle 11 aanbevelingen en vele urgente bespreektips, op de website van het programma Cyberveiligheid. Of neem contact op  met Henry Meutstege voor meer informatie.