Nulmetingen

Nulmeting Informatiebeveiliging

De nulmeting Informatiebeveiliging geeft in een oogopslag weer aan welke thema’s we extra aandacht moeten geven, omdat we er risico’s lopen. Bijvoorbeeld op de gebieden risicomanagement en logging & monitoring. Dit is belangrijke input voor ons programma.

De nulmeting Informatiebeveiliging is eind 2022 door 49 mbo-scholen uitgevoerd op basis van het nieuwe NBA-toetsingskader informatiebeveiliging. Daarbij is gevraagd naar de actuele volwassenheid, de stand van de volwassenheid per eind 2023 en de streefvolwassenheid die de mbo-school uiteindelijk zou willen behalen. De gemiddelde huidige volwassenheid is 2,1 en de ambitie is om een gemiddeld volwassenheidsniveau van 3,3 te behalen.

Nulmeting crisismanagement

De nulmeting crisismanagement meet in hoeverre mbo-scholen voorbereid zijn op een cybercrisis. Hebben ze een crisisplan en wordt daar ook naar gehandeld als het mis gaat?

In maart 2023 is door SURF de tweejaarlijkse, sectorbrede cybercrisisoefening georganiseerd; de crisisoefening OZON. Tijdens deze landelijke oefening hebben de deelnemende mbo-scholen geoefend met het reageren op een cyberaanval en het testen van hun crisisplan en procedures. Vanuit het programma Cyberveiligheid is een enquête onder de oefenvoorbereiders uitgevoerd. Daarbij hebben we gevraagd hoe de mbo-scholen denken voorbereid te zijn op een cybercrisis. De meting is na de oefening herhaald om te kijken in hoeverre ze volgens die verwachting hebben gehandeld tijdens de OZON-oefening. De aandachtspunten vanuit de oefening nemen we mee als input voor het programma Cyberveiligheid.

Security- en privacy-awareness

Cyberveiligheid is (ook) mensenwerk. In hoeverre zijn de medewerkers van mbo-scholen gemotiveerd om cyberveilig te werken? Worden ze daarbij goed ondersteund en ook belangrijk: hoe staat het met hun kennis op dit gebied? Daar draait het om bij de nulmeting security- en privacy-awareness.

In april en mei 2023 is de security- en privacy-awarenessmeting uitgevoerd binnen het mbo. Daaraan hebben een kleine 6000 medewerkers vanuit 41 mbo-scholen meegedaan. De resultaten zijn geanalyseerd en verwerkt in de mbo-brede rapportage. Deze meting levert de scholen waardevolle inzichten en is een belangrijke bron van informatie voor ons programma Cyberveiligheid.

Nulmeting Governance

Is cyberveiligheid een IT-feestje? Of is het bestuur juist aan zet om de prioriteiten te bepalen? Dit zijn vragen die aan de orde komen in de nulmeting Governance.

Met deze nulmeting halen we mbo-breed op hoe de verantwoordelijkheden op het gebied van IBP zijn belegd. Vanuit het programma Cyberveiligheid bedenken we oplossingen voor de knelpunten die daaruit naar voren komen. De meting wordt in september 2023 uitgevoerd.

IV-metingen

Hoe staat het met de veiligheid van de websites van mbo-scholen? En worden phishing-mails goed onderschept? Om deze vragen te beantwoorden, zijn de IV-metingen (internet-veiligheidsmeting) een handig hulpmiddel.

SURF meet vier keer per jaar hoe scholen ervoor staan en rapporteert naar de onderwijsinstellingen. Vanuit ons programma werken we samen met SURF aan de duiding van deze resultaten en ondersteunen we bij de maatregelen die scholen kunnen nemen.

Red Teaming

Wie durft (en kan) het aan? Een aanval door ethische hackers op jouw school. Daarbij wordt niet alleen de technische weerbaarheid getest, maar ook de fysieke beveiliging. En via phishing mails en mystery guests worden ook de medewerkers op de proef gesteld. Red Teaming is de kers op de taart van alle nulmetingen.

Het programma Cyberveiligheid heeft drie assessments ingekocht en de voorbereidingen met de drie mbo-scholen zijn gestart. De oefening vindt plaats in september 2023 en de geleerde lessen worden gedeeld binnen het Netwerk IBP in het mbo. Deze bevindingen zijn mogelijk ook input voor het programma Cyberveiligheid.