Met externe security-audits zetten we mbo-breed de volgende stap op het gebied van cyberveiligheid en de onderbouwing daarvan. Vanuit het programma Cyberveiligheid bieden we de onafhankelijke controles kosteloos aan en helpen we instellingen bij de voorbereiding ervan.

Al sinds 2015 brengen we met zelfassessments via de Benchmark IBP mbo-breed in kaart hoe volwassen instellingen de informatiebeveiliging en privacy hebben georganiseerd. Daarbij maakt een deel van de instellingen gebruik van peerreviews, waarbij scholen elkaars assessments valideren. Hiermee bouwen ze een externe validatie voor de verantwoording van hun IBP-volwassenheid in.

Met externe security-audits zetten we de volgende stap naar een hoger volwassenheidsniveau in informatiebeveiliging en privacy binnen het mbo*. Deze door het programma gefinancierde audits geven scholen een onafhankelijke toetsing van hoe volwassen zij hun cybersecurity hebben ingericht. Zodat ze gericht activiteiten kunnen ondernemen om hun beveiliging te verbeteren. De security-audits geven ook een objectief beeld van hoe de mbo-sector er op het gebied van cyberveiligheid voor staat: voor het programma belangrijke input om onderbouwd activiteiten op te starten en instellingen ondersteuning te bieden.

Deloitte voert security-audits uit

In april 2024 hebben we in een aanbesteding Deloitte gekozen om de mbo-brede security-audits te gaan uitvoeren. Het mbo krijgt daarmee een gerenommeerde auditpartij mnet voldoende capaciteit om in ruim 3 jaar tijd meer dan 100 audits (!) bij alle mbo-instellingen uit te voeren. Deloitte audit in deze periode elke instelling twee keer.

Twee verschillende audits

De eerste audit is laagdrempelig en gericht op ‘opzet en bestaan’ van maatregelen. Deze audit betreft vooral een documentatie-onderzoek en heeft een opbouwend karakter. Naast een volwassenheidsscore krijgt elke instelling aanbevelingen om tot een hoger volwassenheidsniveau te komen. De tweede is een volwaardige audit die ook de werking van de maatregelen onder de loep neemt. Tussen de eerste en de tweede audit zit ongeveer anderhalf jaar, zodat instellingen voldoende tijd hebben om de bevindingen uit de eerste audit te volgen verwerken.

Zelfassessments zijn de basis

Bij beide audits vormen de zelfassessments volgens de Benchmark IBP het uitgangspunt. Deze blijven instellingen dus elk jaar uitvoeren.  De mbo-brede GRC-applicatie TrustBound speelt een centrale rol om de volwassenheid inclusief bewijslast te documenteren. Via de auditmodule van de applicatie geeft de school de auditors toegang tot het zelfassessment, inclusief de benodigde onderbouwing en documentatie. Op deze manier hanteren we binnen het mbo een gestandaardiseerde werkwijze om de volwassenheid op het gebied van IBP te documenteren en te auditen.

Ondersteuning vanuit het programma cyberveiligheid

Vanuit het programma Cyberveiligheid mbo organiseren we algemene informatiesessies over de audits. Deloitte legt daarin uit wat de audits inhouden, hoe het bedrijf te werk gaat en wat het van instellingen verwacht. We nodigen de instellingen hiervoor uit via het Netwerk IBP. Ook werken we aan handreikingen waarmee instellingen zich optimaal op de twee security-audits kunnen voorbereiden. Tot slot kunnen instellingen de hulp van onze CISO as as Service inschakelen bij concrete vraagstukken omtrent de security-audits. Zij kunnen hiervoor contact opnemen met Henry Meutstege.

Planning security-audits

In mei is Deloitte begonnen met de eerste serie audits bij zes instellingen. Samen met het programma evalueren de auditors hun bevindingen. Deze nemen ze mee in de volgende serie audits, die na de zomer start. Een loting heeft bepaald wanneer elke instelling aan de beurt is; de planning hebben we in het netwerk IBP gedeeld.  Voor de tweede ronde audits hanteren we dezelfde volgorde van instellingen. De planning hiervoor maken we later bekend. Voor vragen kun je terecht bij Evie-Janne van Noorel.

* De security-audits gaan over informatiebeveiliging. Vanuit het programma onderzoeken we hoe we de statements uit het privacy-kader extern kunnen laten auditen.

Contactpersoon

Neem contact op met Evie-Janne van Noorel voor meer informatie.