Programma 7 december concept
We zorgen op deze dag voor een gevarieerd programma. Er zijn interessante keynotes, leerzame workshops en inspirerende presentaties. We zijn druk bezig met de invulling van het programma, maar geven je hieronder alvast een inkijkje.
Er staat een boeiende keynote op het programma: “Je had het kunnen weten” door Michel van Eeten. De hoogleraar cybersecurity bij TU Delft vertelt over waarom organisaties ten prooi vallen aan bekende kwetsbaarheden.
Programma
| 09:30 | Inloop | |
| 10:00 | Welkom
|
|
| 11:30 | Pauze/informatiemarkt | |
| 12:00 | Workshop ronde 1 | |
| 12:45 | Lunch | |
| 13:45 | College Tour met Pauline Satter en Cor Ottens | |
| 14:15 | Workshop ronde 2 | |
| 15:00 | Pauze/informatiemarkt | |
| 15:30 | Workshop ronde 3 | |
| 16:15 | Plenaire afsluiting | |
| 16:35 | Borrel | |
| 17:30 | Einde |
Keynote: Je had het kunnen weten
Prof. dr. Michel van Eeten (1970) is hoogleraar Bestuurskunde bij de sectie Organisation & Governance (OG) aan de TU Delft, en specialist in internetveiligheid. In zijn keynote staat de vraag centraal waarom organisaties ten prooi vallen aan bekende kwetsbaarheden.
College Tour: Sturen op cyberveiligheid
Cyberveiligheid is geen IT-feestje: de hele organisatie is aan zet. Voelt iedereen die verantwoordelijkheid? Wat is de rol van de bestuurder en hoe vul je die in? Dagvoorzitter Cor Ottens gaat in gesprek met Pauline Satter, bestuurder van ROC A12 en voorzitter van de Kerngroep MBO Digitaal. De vragen uit de zaal staan daarbij centraal.
12 workshops in drie rondes
| De AP over het sectorbeeld onderwijs | Anna Maj Drenth (Autoriteit Persoonsgegevens) | |
| Aan de hand van het Sectorbeeld onderwijs blikt de Autoriteit Persoonsgegevens terug op de belangrijkste trends en ontwikkelingen op privacy-gebied in de gehele onderwijssector in de periode 2021-2022. Met name kijkt de AP naar door de AP waargenomen mate van AVG-compliance en de (mogelijke) consequenties daarvan voor burgers. De AP deelt in deze workshop de bevindingen uit het sectorbeeld. | ||
| Doorpraten over het programma Cyberveiligheid | Martijn Bijleveld | |
| Binnen ons programma werken we aan een breed palet van activiteiten op het gebied van cyberveiligheid. Het programma is opgebouwd rond 6 thema’s: identificeren, beschermen, detecteren, reageren, herstellen en cloudleveranciers. Aan de hand van de praatplaat over het programma cyberveiligheid praten we door over die onderwerpen waar jij het over wilt hebben. | ||
| Testen en verantwoorden van je weerbaarheid | Niels Dutij | |
| Binnen het programma is er op allerlei manieren aandacht voor het verantwoorden van volwassenheid en het testen van weerbaarheid. Denk bijvoorbeeld aan de security-audits in het mbo, ons nieuwe privacytoetsingskader, de sectorbrede DPIA’s en de weerbaarheidstesten die we vanuit het programma beschikbaar stellen. Deze workshop biedt een overzicht en gaat in op hoe we hierin samenwerken met de andere onderwijssectoren, met SURF en met onze met cloudleveranciers. | ||
| Aanvalspad van een hacker | Jeffeny Hoogervorst/ Mick Deben | |
| Je leest je e-mail en surft niets vermoedend wat over het Internet. Tegelijkertijd worden je gegevens vanaf je computer door iemand ergens aan de andere kant van de wereld gestolen. In deze workshop simuleren we een realistische aanval waarbij we je meenemen in het verloop van de aanval vanuit een hackers perspectief. | ||
| Cyber Risk Pooling: alternatief voor verzekeren | Peter Vermeijs / Bernold Nieuwesteeg | |
| Vanuit de samenwerking op het gebied van cyberveiligheid is onderzocht hoe we de risico’s gezamenlijk kunnen dragen via een cyber risk pool. De presentatie zal ingaan op de verschillende opties om met risico’s om te gaan: het risico zelf dragen, verzekeren of een risicopool. Vervolgens wordt ingegaan op het concept van de cyber risk pool en waarom dit een goede optie zou kunnen zijn voor het mbo. We schetsen daarna de verschillende ontwerpkeuzes voor een cyber risk pool en benoemen tenslotte de vervolgstappen. | ||
| Groeien in volwassenheid: hoe dan? | Henk Links | |
| De hele onderwijssector maakt gebruik van het NBA-model als toetsingskader voor informatiebeveiliging. We gebruiken het ook als een risico-gebaseerd groeimodel om maatregelen op het gebied van cyberweerbaarheid te bepalen. De onderverdeling in aandachtsgebieden met bijbehorende thema’s helpt om eigenaarschap te beleggen. De voorbeelddocumenten vormen een waardevolle handreiking. In deze workshop geven we een inkijkje in deze aanpak en gaan in op de nieuwe opzet van de masterclasses die we vanaf dit voorjaar plannen. |
||
| Toolbox Technische weerbaarheid | Jeffeny Hoogervorst & Mick Deben | |
| De toolbox is het startpunt voor instellingen die aan de slag willen met het verbeteren van de technische weerbaarheid. In de workshop laten we de ins- en outs van de toolbox zien en weet jij hoe je daar je voordeel mee kunt doen. Ook zoomen we in op een aantal producten die betrekking hebben op het verbeteren van de technische weerbaarheid. | ||
| DPIA’s, hoe pak je dat aan? | Niels Dutij | |
| Privacy Company voert meerdere sectorale DPIA’s uit namens MBO Digitaal, maar hoe voer je eigenlijk zelf een goede DPIA uit? Privacy Company zal in deze workshop tips & tricks geven voor een goede DPIA. Natuurlijk geven wij ook een korte update over de stand van zaken van de sectorale DPIA’s. | ||
| Een spannende aanpak van awareness | Rob Gerritsen (Graafschap College) en Ivor Beurskens (Brooklyn Partners) | |
| Veel mbo-instellingen maken gebruik van e-learnings op het gebied van privacy- en security-awareness. Het daadwerkelijke effect daarvan op het gedrag van medewerkers is over het algemeen beperkt. Het Graafschap College zocht naar een andere invalshoek als aanvulling op de trainingen en vond die in de vorm van de cyber escaperoom. Tijdens deze presentatie gaan we in op welke manier het instrument is ingezet en wat de opbrengsten waren. Wil je de cyber escaperoom zelf ervaren dan is daarvoor op de informatiemarkt alle gelegenheid. | ||
| GRC applicatie | Victor Meerloo & Arjaan Kunst (TrustBound) | |
| In deze presentatie introduceren we de nieuwe GRC-applicatie voor het mbo: TrustBound GRC. Daarbij gaan we in op de cruciale rol die de GRC-applicatie speelt binnen het programma Cyberveiligheid mbo. In de live demo gaan we in op een aantal (van vele) functies van TrustBound, waaronder het invoeren en documenteren van de volwassenheid volgens het NBA-kader (SURFaudit toetsingskader) en operationeel risicomanagement. | ||
| CISO as a service | Henry Meutstege | |
| Sinds begin september loopt de pilot CISO as a Service. In deze workshop deel ik de eerste bevindingen en ervaringen. Wat kun je als CISO concreet en pragmatisch betekenen voor een instelling? Ik ben nu een aantal maanden bezig, bij maar liefst 6 scholen tegelijk. Welke issues zijn er opgepakt en wat zijn de lessen die je daar als instelling uit kunt leren. En zien we het zitten om deze pilot op op te schalen naar een structurele dienst in SURF-verband? | ||
| Drie mbo’s aangevallen door Red Team | Ben Bruckner (Secura) en Jeroen Schuuring (SURF) | |
| Red teaming is de kers op de taart van de weerbaarheidstesten. Ethische hackers testen niet alleen de technische weerbaarheid, maar ook de fysieke beveiliging van een school. En ze stellen medewerkers via phishing mails en mystery guests op de proef. Het doel: controleren of de combinatie van alle getroffen maatregelen in de praktijk effectief is. De oefening is in oktober uitgevoerd bij drie mbo-instellingen, met als doel om er sectorbreed van te leren. Tijdens deze workshop gaan we in op de geleerde lessen uit deze oefening. | ||
Op de informatiemarkt vind je achtergrondinformatie over de onderwerpen van de workshops. Bovendien kun je er terecht voor:
- Informatie over de diensten van SURF, waaronder het Security Expertise Centrum en Cybersave Yourself.
- Een interactieve demo van de nieuwe mbo-brede GRC-applicatie.
- Een cybercrisis ervaren in de virtuele cyber escaperoom.
