Programma Cyberveiligheid mbo

Security-audits

Met externe security-audits zetten we mbo-breed de volgende stap op het gebied van cyberveiligheid en de onderbouwing daarvan. Vanuit het programma Cyberveiligheid bieden we de onafhankelijke controles kosteloos aan en helpen we instellingen bij de voorbereiding ervan.

Al sinds 2015 brengen we met zelfassessments via de Benchmark IBP mbo-breed in kaart hoe volwassen instellingen de informatiebeveiliging en privacy hebben georganiseerd. Daarbij maakt een deel van de instellingen gebruik van peerreviews, waarbij scholen elkaars assessments valideren. Hiermee bouwen ze een externe validatie voor de verantwoording van hun IBP-volwassenheid in.

Met externe security-audits zetten we de volgende stap naar een hoger volwassenheidsniveau in informatiebeveiliging en privacy binnen het mbo^*. Deze door het programma gefinancierde audits geven scholen een onafhankelijke toetsing van hoe volwassen zij hun cybersecurity hebben ingericht. Zodat ze gericht activiteiten kunnen ondernemen om hun beveiliging te verbeteren. De security-audits geven ook een objectief beeld van hoe de mbo-sector er op het gebied van cyberveiligheid voor staat: voor het programma belangrijke input om onderbouwd activiteiten op te starten en instellingen ondersteuning te bieden.

Deloitte voert security-audits uit

In april 2024 hebben we in een aanbesteding Deloitte gekozen om de mbo-brede security-audits te gaan uitvoeren. Het mbo krijgt daarmee een gerenommeerde auditpartij met voldoende capaciteit om in ruim 3 jaar tijd meer dan 100 audits (!) bij alle mbo-instellingen uit te voeren. Deloitte audit in deze periode elke instelling twee keer.

Twee verschillende audits

De eerste audit is laagdrempelig en gericht op ‘opzet en bestaan’ van maatregelen. Deze audit betreft vooral een documentatie-onderzoek en heeft een opbouwend karakter. Naast een volwassenheidsscore krijgt elke instelling aanbevelingen om tot een hoger volwassenheidsniveau te komen. De tweede is een volwaardige audit die ook de werking van de maatregelen onder de loep neemt. Tussen de eerste en de tweede audit zit ongeveer anderhalf jaar, zodat instellingen voldoende tijd hebben om de bevindingen uit de eerste audit te volgen verwerken.

Zelfassessments zijn de basis

Bij beide audits vormen de zelfassessments volgens de Benchmark IBP het uitgangspunt. Deze blijven instellingen dus elk jaar uitvoeren. De mbo-brede GRC-applicatie TrustBound speelt een centrale rol om de volwassenheid inclusief bewijslast te documenteren. Via de auditmodule van de applicatie geeft de school de auditors toegang tot het zelfassessment, inclusief de benodigde onderbouwing en documentatie. Op deze manier hanteren we binnen het mbo een gestandaardiseerde werkwijze om de volwassenheid op het gebied van IBP te documenteren en te auditen.

Veel ondersteuning vanuit programma cyberveiligheid

Vanuit het programma Cyberveiligheid mbo organiseren we algemene informatiesessies over de audits. Deloitte legt daarin uit wat de audits inhouden, hoe het bedrijf te werk gaat en wat het van instellingen verwacht. We nodigen de instellingen hiervoor uit via het Netwerk IBP. Ook hebben een handreiking opgesteld waarmee instellingen zich optimaal op de twee security-audits kunnen voorbereiden. Instellingen kunnen de handreiking downloaden in de Teamsomgeving van het netwerk IBP. Instellingen kunnen ook de hulp van onze CISO as as Service inschakelen bij concrete vraagstukken omtrent de security-audits. Zij kunnen hiervoor contact opnemen met Henry Meutstege.

Inloopspreekuurtjes en maturity workshops

Ook met inloopspreekuurtjes en maturity workshops ondersteunen we vanuit het programma de mbo-instellingen bij hun voorbereidingen op de audits. In de digitale inloophalfuurtjes kunnen instellingen vragen stellen aan Henry Meutstege, met hem sparren over aanpak of uitdagingen en met andere aanwezige instellingen overleggen. Het inloophalfuurtje start om 9.30 uur; je kunt zonder aanmelden binnenlopen via de in het netwerk IBP gedeelde Teams-link digitaal. Tot slot raden we instellingen aan om een maturity workshop te volgen als voorbereiding op de security-audits.

Planning security-audits

In mei is Deloitte begonnen met de eerste serie audits bij zes instellingen. Samen met het programma evalueren de auditors hun bevindingen. Deze nemen ze mee in de volgende serie audits, die na de zomer start. Een loting heeft bepaald wanneer elke instelling aan de beurt is; de planning hebben we in het netwerk IBP gedeeld. Voor de tweede ronde audits hanteren we dezelfde volgorde van instellingen. Voor vragen kun je terecht bij Evie-Janne van Noorel.

^* De security-audits gaan over informatiebeveiliging. Vanuit het programma onderzoeken we hoe we de statements uit het privacy-kader extern kunnen laten auditen.

Contactpersoon

Neem contact op met Evie-Janne van Noorel voor meer informatie.