Programma Cyberveiligheid mbo

Security-audits

De mbo-brede security-audits zijn een belangrijke stap in het verhogen van de cyberveiligheid van onze sector. Instellingen kunnen er hun maatregelen op het gebied van informatiebeveiliging en privacy mee toetsen en verbeteren. Vanuit het programma Cyberveiligheid bieden we uitgebreide ondersteuning bij de voorbereiding en uitvoering, zodat scholen de audits ook echt kunnen gebruiken om hun cyberveiligheid naar een hoger niveau te tillen.

Sinds 2015 brengt het mbo met zelfassessments via de Benchmark IBP in kaart hoe instellingen vorderen in het organiseren van hun informatiebeveiliging en privacy. Veel instellingen maken ook gebruik van peerreviews, waarbij scholen elkaars assessments valideren. Scholen krijgen daarmee een externe validatie van de verantwoording van hun volwassenheid op het gebied van IBP.

Volgende stap in volwassenheid

Met de externe security-audits zetten we de volgende stap in het verhogen van de volwassenheid van informatiebeveiliging en privacy in het mbo. De vanuit het programma gefinancierde audits bieden scholen een onafhankelijke beoordeling van hun cybersecuritymaatregelen, zodat zij gerichte verbeteringen kunnen doorvoeren. Daarnaast geven de audits een objectief beeld van de stand van zaken op het gebied van cyberveiligheid in de mbo-sector. Dit is voor het programma Cyberveiligheid cruciale informatie. We kunnen hiermee inventariseren waar instellingen echt behoefte aan hebben. Dit inzicht gebruiken we om activiteiten te starten die instellingen echt verder helpen.

Deloitte voert security-audits uit

In april 2024 is via een aanbesteding gekozen om de audits door Deloitte te laten uitvoeren. Deze ervaren partij op het gebied van security-audits voert de komende drie jaar in het mbo meer dan honderd audits uit. Daarbij baseert Deloitte zijn adviezen op de ambities die de mbo-sector zelf heeft vastgesteld. De aanbevelingen zijn dus niet de mening van Deloitte, maar berusten op gezamenlijk bepaalde doelstellingen. Deloitte beoordeelt de resultaten objectief en stelt de mate van volwassenheid vast zonder rekening te houden met specifieke omstandigheden, zoals de grootte van een school. Zo zorgen we voor een eerlijke en consistente beoordeling binnen de gehele sector.

De auditors van Deloitte hanteren bij de audits het SURFaudit toetsingskader Informatiebeveiliging (het volwassenheidsmodel Informatiebeveiliging van NBA/NOREA, beschikbaar in het Netwerk IBP). Daarmee bepalen ze op basis van de 69 statements van dit kader de volwassenheidsscore op het gebied van informatiebeveiliging van een instelling.

Twee verschillende audits

Deloitte voert bij elke mbo-instelling de komende jaren twee security-audits uit. De eerste is gericht op ‘de opzet en het bestaan’ van de maatregelen uit het toetsingskader en richt zich vooral op documentatieonderzoek. Deze audit heeft een opbouwend karakter en levert naast een volwassenheidsscore ook aanbevelingen op voor verdere verbeteringen. De tweede audit is diepgaander en beoordeelt niet alleen de aanwezigheid van maatregelen, maar ook of deze in de praktijk effectief werken. Dit gebeurt op basis van bewijsvoering, zoals logbestanden, rapportages en interviews met medewerkers. Hoewel deze audit grondiger is, blijkt in veel gevallen dat de maatregelen in de dagelijkse praktijk al aanwezig zijn. Hierdoor kan de tweede audit soms zwaarder lijken dan deze in werkelijkheid is.

Bij de tweede audit kijken de auditors terug naar een periode van 3 tot 6 maanden, om een realistisch beeld te krijgen van hoe de beveiligingsmaatregelen hebben gefunctioneerd. In deze fase kijken zij ook naar consistentie in de uitvoering: leeft de instelling het beleid structureel na of zijn er verschillen in de praktijk? Deze aanpak levert dus niet alleen een momentopname op, maar geeft ook waardevolle inzichten in structurele patronen en kansen voor verdere verbeteringen.

Tussen de eerste en de tweede audit zit ongeveer anderhalf jaar. Dat geeft instellingen de tijd om de aanbevelingen uit de eerste audit door te voeren en de werking ervan aan te tonen. Instellingen dienen de werking van de maatregelen onder meer aan te tonen aan de hand van data uit de betreffende processen en systemen. De auditors kijken maximaal zes maanden terug om de feitelijke werking te onderbouwen, bijvoorbeeld aan de hand van incidenten, wijzigingen en uitgevoerde controles op de autorisaties.

Zelfassessments zijn de basis

De zelfassessments van de instellingen vormen het uitgangspunt bij beide security-audits. De mbo-brede GRC-applicatie TrustBound speelt een centrale rol om de volwassenheid inclusief bewijslast te documenteren. Via de auditmodule in TrustBound krijgen de auditors toegang tot het zelfassessment van de instelling, inclusief de benodigde documentatie en onderbouwing. Deze gestandaardiseerde werkwijze voor het documenteren en auditen van informatiebeveiliging is een belangrijk uitgangspunt voor de security-audits.

Kroonjuwelen van de instelling

Tot nu toe beoordeelden instellingen de statements uit het toetsingskader generiek. Ze maakten geen onderscheid tussen verschillende applicaties en/of processen. Met de introductie van de externe security-audits is dit veranderd. Van de 69 statements uit het toetsingskader onderzoekt Deloitte er 30 specifiek voor een viertal applicaties en/of processen. Hiermee krijgt een instelling dus een nauwkeuriger beeld van hoe volwassen de afzonderlijke applicaties en/of processen volgens het toetsingskader zijn georganiseerd. Het gaat om de volgende vier applicaties en/of processen, die als ‘kroonjuwelen’ zijn gedefinieerd:

  • Het studentinformatiesysteem (SIS);
  • Het studentbegeleidingssysteem*;
  • HR-systemen;
  • Financiële gegevens.

In de Teams-omgeving van het netwerk IBP vind je een overzicht van de statements die Deloitte applicatie-specifiek voor deze kroonjuwelen toetst.

Planning en proces security-audits

Een loting heeft bepaald wanneer welke instelling aan de beurt is voor de audits. De planning hebben we begin 2024 in het netwerk IBP gedeeld. In verband met de strakke planning van alle audits is het niet mogelijk om van de planning af te wijken. Het is wel mogelijk om onderling te ruilen (zie ook volgende alinea).

Ook volgen we vanuit het programma Cyberveiligheid en Deloitte bij elke security-audit dezelfde processtappen. De stappen hebben we uitgebreid beschreven op deze pagina. Daar lees je ook wat je kunt doen als de geplande datum niet uitkomt.

Ondersteuning vanuit het programma

Vanuit het programma Cyberveiligheid mbo bieden we instellingen op verschillende manieren en momenten ondersteuning om de audits zo goed mogelijk te laten verlopen.

Hulp bij de voorbereiding

Vanuit het programma is onze CISO as a Service Henry Meutstege beschikbaar om mbo-instellingen te helpen bij de voorbereiding. Je kunt rekenen op een aantal dagen kosteloze ondersteuning voor bijvoorbeeld het controleren van je zelfassessment, adviezen om je volwassenheid te onderbouwen en/of praktische hulp bij het werken in de GRC-applicatie TrustBound. Henry neemt zelf contact op met de contactpersoon. Wil je eerder hulp of met hem sparren? Stuur Henry dan een e-mail.

Handreiking security-audits

We hebben een handreiking voor de security-audits geschreven en werken die bij op basis van de ervaringen die we bij instellingen hebben opgedaan. De handreiking bevat onder andere uitleg over hoe je je kunt voorbereiden op de audit, hoe je een auditprogramma in TrustBound aanmaakt en hoe je bewijslast per maatregel kunt opvoeren. We behandelen ook hoe je de statements uit het NBA-model het best kunt interpreteren. Neem deze handreiking al vóór de audit  goed door! De laatste versie is te vinden in de Teams-omgeving van het Netwerk IBP.

Inloophalfuurtjes security audits

Elke woensdag om 9.30 uur organiseren we vanuit het programma inloophalfuurtjes waarin je vragen kunt stellen. Hierbij is ook altijd gelegenheid om te sparren met Henry of collega’s van andere instellingen die aanwezig zijn.

Maturity workshop

Elke instelling heeft vragen over het toepassen van statements of het vinden van de juiste bewijslast. Daarvoor organiseren wij vanuit het programma Cyberveiligheid maturity workshops. Tijdens deze workshops bespreken we op een interactieve manier het volwassenheidsmodel. We weten van instellingen die eerder hebben deelgenomen, dat deze workshops zeer nuttig zijn als voorbereiding op de security-audits.

Samenwerken is delen

In het mbo hechten we veel waarde aan kennisdeling op het gebied van IBP. Dit is niet voor niets een essentieel uitgangspunt van het Convenant Cyberveiligheid. Met de stuurgroep Cyberveiligheid en de regiegroep van het Netwerk IBP hebben we daarom afgesproken dat MBO Digitaal de volwassenheidsscores van de zelfassessments, de benchmarks en de externe security-audits verzamelt en op een veilige manier verwerkt. Zo kunnen we best practices en waardevolle lessen delen met de sector, waardoor alle mbo-instellingen van elkaars ervaringen kunnen profiteren. En we gezamenlijk kunnen werken aan het verhogen van de cyberveiligheid van het mbo. Meer details over de afspraken en werkwijze zijn te vinden op deze pagina.

* Bij sommige mbo-instellingen is het studentbegeleidingssysteem en het studentinformatiesysteem één systeem.

Contactpersoon

Heb je vragen over de planning of het proces van de security-audits? Neem dan contact op met Evie-Janne van Noorel of bekijk de informatie in de Teams-omgeving van het netwerk IBP.