Governance-nulmeting

Een duidelijke governance voor informatieveiligheid is belangrijk. Want alleen als je alle risico’s in kaart hebt, kun je onderbouwde beslissingen nemen. In een governance-structuur heeft een instelling de volgende drie onderdelen helder vastgelegd: taken, bevoegdheden en verantwoordelijkheden, een organisatorisch managementsysteem voor het omgaan met risico’s, en procedures over sturing en rapportage inzake informatieveiligheid.

Governance in het mbo

Met de governance-nulmeting hebben we eind 2023 in kaart gebracht hoe mbo-instellingen de governance van informatiebeveiliging in de praktijk hebben ingericht. De uitkomsten van dit onderzoek, waaraan in totaal 44 van de 55 aangeschreven mbo-instellingen hebben deelgenomen, geven een goed beeld van hoe governance op het gebied van informatieveiligheid binnen het mbo is georganiseerd. Op basis hiervan starten we vanuit het programma Cyberveiligheid gerichte activiteiten op om instellingen te helpen bij het optimaliseren van hun sturing op informatieveiligheid. Bijvoorbeeld met de aanbevelingen in het rapport (zie bijlage onderaan deze pagina), de CISO-as-a-service-pilot of ondersteuning bij het vastleggen van taken en bevoegdheden in de mbo-brede GRC-applicatie.

Uitkomsten governance-nulmeting

Omdat we aan zowel de bestuurder als de IBP-functionaris vragen hebben gesteld, weten we dat deze twee functiegroepen in grote lijnen op dezelfde manier naar governance kijken. Maar dat er ook verschillen zijn, bijvoorbeeld over de vraag wie er eindverantwoordelijk is voor het vaststellen van trends, knelpunten en verbeterpunten. De IBP-er legt dan opvallend vaker de verantwoordelijkheid bij de IB&P-stuurgroep, terwijl de bestuurder deze verantwoordelijkheid eerder bij zichzelf of bij de ICT-manager legt. Dat geeft maar weer aan hoe belangrijk het is om deze verantwoordelijkheden helder in het informatiebeveiligingsbeleid te verankeren.

Bestuurders en IBP’ers, ga het gesprek aan

Ook blijk uit de governance-nulmeting dat de positie van de IBP-functionaris steeds meer  beweegt richting de traditionele CISO-rol. Daarom is het belangrijk dat IBP’er en bestuurder regelmatig evalueren of de positie van de IBP-functionaris nog aansluit bij de behoeften en de volwassenheid van de organisatie. Ook is de aanbeveling dat bestuurders en IBP-functionarissen duidelijke afspraken maken over verwachtingen en behoeften. Alleen dan kunnen bestuurders hun controlerende rol goed vervullen en zien de IBP’ers beter dat bestuurders zich echt bij informatieveiligheid betrokken voelen.

Betrokkenheid bestuurder belangrijk

Hoe belangrijk die betrokkenheid van bestuurders is, blijkt ook uit het onderzoek. Want de 3 meest succesvolle instellingen op het gebied van informatiebeveiliging hadden een hoge betrokkenheid van de bestuurder gemeen. Kenmerkend voor de top 3 is verder dat deze instellingen hun taken, bevoegdheden en verantwoordelijkheden duidelijk hebben vastgelegd, hun ambities volledig helder zijn en hun bestuurders de eindverantwoordelijkheid voor risicomanagement op zich nemen.

GRC-applicatie biedt hulp

Een aanbeveling die volgt uit het onderzoek: maak gebruik van de mbo-brede GRC-applicatie. Want die helpt instellingen om beveiligingsrisico’s in kaart te brengen, maatregelen te beschrijven en grip te krijgen op volwassenheid, risico’s en planning. Daarmee heb je een goede basis voor risico-overleg met verschillende stakeholders en kun je samen prioriteiten stellen. Dat is belangrijk voor de draagvlak voor de beheersmaatregelen. Het is alvast een bemoedigend signaal dat 30 van de 44 deelnemende instellingen al in meer of minder mate op deze manier risicogericht werken.

Het volledige rapport van de governance-nulmeting vind je in de bijlage hieronder.