Programma Cyberveiligheid mbo

Proces van de security-audits

Bij elke security-audit hanteren we vanuit het programma Cyberveiligheid en de auditors van Deloitte hetzelfde proces. Op deze pagina beschrijven we de stappen van de tweede security-audit.

De auditors richten zich tijdens de tweede audit op een periode van 3 tot 6 maanden om een goed beeld te krijgen van de effectiviteit van de beveiligingsmaatregelen. Ze kijken niet alleen gekeken naar de werking van de maatregelen in deze fase, maar ook naar de consistentie van de uitvoering: wordt het beleid structureel nageleefd of zijn er afwijkingen in de praktijk? Deze aanpak levert zowel een waardevolle momentopname als een inzicht in patronen en mogelijke verbeterpunten op.

1. Stappen voorafgaand aan de tweede security-audit


1.1 Bericht aan bestuurder
Uiterlijk 12 weken voor de start van de audit ontvangt de bestuurder van de instelling een e-mail vanuit MBO Digitaal. Hierin staat, op basis van de gemaakte planning, de geplande datum van de audit, wat er van de instelling in aanloop naar de audit wordt verwacht, en wat de planning daarvan is.
We sturen het bericht naar de bestuurder omdat zijn of haar betrokkenheid bij de security-audit van groot belang is. De bestuurder heeft inzicht in de strategische doelstellingen van de organisatie en speelt een sleutelrol in de besluitvorming en de toewijzing van middelen die nodig zijn voor een succesvolle audit.

1.2  Bericht aan de contactpersoon van de security-audit
Ongeveer 10 weken voor de start van de audit ontvangt de contactpersoon van de security audit een uitgebreide informatiemail met details over de planning en het proces van de security-audit bij de instelling. De Nadere Overeenkomst (NOK), de formele overeenkomst voor de uitvoering van de audit door Deloitte die bij de eerste audit door de bestuurder is ondertekend, blijft ook voor de tweede audit van kracht. Het ondertekenen van een nieuwe overeenkomst is daarom niet nodig.

1.3 Toelichting en bewijslast opvoeren in TrustBound
De security-audits zijn gebaseerd op het self-assessment via de mbo-brede GRC-applicatie TrustBound. De auditors kijken naar de documentatie en bewijslast (zoals documenten, foto’s en schermafbeeldingen) die de instelling in TrustBound heeft geüpload.

De tweede audit kent drie aandachtsgebieden:

  1. Analyse van verbeterde statements
    Statements waarvan de score is verbeterd ten opzichte van de eerste audit, worden opnieuw beoordeeld. Instellingen moeten per verbeterd statement toelichten welke wijzigingen hebben geleid tot de scoreaanpassing en waarom deze wijziging gerechtvaardigd is. Deze toelichting dienen ze te onderbouwen met de bijbehorende documentatie.
  2. Beoordeling van de werking
    Conform de aanpak voor het Hoger Onderwijs toetsen de auditors van 15 statements uit het toetsingskader de werking, maar ook de opzet en het bestaan. Dit kan echter pas als een statement minimaal niveau 3 scoort en ten minste drie maanden operationeel is. Bij niveau 3 zijn de uitvoering van de maatregelen aantoonbaar, getest en effectief, waardoor de werking kan worden beoordeeld. Voor de 15 statements dient aanvullend op de toelichting en bewijslast voor opzet en bestaan, ook toelichting en bewijslast voor de werking worden gedeeld.
  3. Beoordeling van de statements die van belang zijn voor de cyberweerbaarheidspool *
    Als veiligheidswaarborgen voor de cyberweerbaarheidspool worden alle statements die van belang zijn voor de pool onderzocht en beoordeeld, óók als er geen verbetering is gerealiseerd ten opzichte van de eerste audit. Deloitte geeft per statement aan welke informatie en documentatie aangeleverd moet worden. Dit is een aandachtspunt in het auditrapport omdat we voor deze statements hebben afgesproken dat deze zo snel mogelijk op niveau 3 moeten uitkomen. In totaal zijn 22 statements relevant voor de risicopool. Alle 22 worden getoetst op opzet en bestaan, waarvan er 5 daarnaast ook op werking worden getoetst.

Bij elk statement dat in scope is van de tweede audit (verbeterde statements, statements die op werking worden getoetst en statements die van belang zijn voor de cyberweerbaarheidspool) moet de instelling in TrustBound een toelichting geven, inclusief duidelijke vermelding over welk bewijsstuk is gebruikt en waar de gegevens waarop de score is gebaseerd in de documentatie te vinden zijn. Het alleen verwijzen naar een document zonder toelichting is niet voldoende. Inmiddels weten we dat het verzamelen van het benodigde bewijs en het plaatsen hiervan in TrustBound veel werk en tijd kost. We raden daarom aan om hiermee ruim van tevoren te beginnen.
In de informatie die de contactpersoon van de security audit heeft ontvangen, staat welke statements, naast de eigen verbeterde statements, precies tot de scope van de tweede security-audit behoren.

1.4 Informeren interne betrokkenen
Bij elke audit leveren meerdere functies en afdelingen van een instelling input. Bijvoorbeeld de personen die verantwoordelijk zijn voor de inrichting en het beheer van de kroonjuwelen, de manager HR en de manager Facilitair. Het is belangrijk dat je als instelling alle betrokkenen goed informeert over wat de audit inhoudt en hoe personen zich kunnen voorbereiden op vragen van de auditors. Wijs hen bijvoorbeeld op de beschikbare informatie en de planning van de audit.

1.5 Ondersteuning van CISO
Vanuit het programma Cyberveiligheid kan CISO as a Service Henry Meutstege instellingen helpen bij de voorbereidingen op de audit. Henry neemt uiterlijk 10 weken voor de auditstart contact op met de contactpersoon van de audit om te overleggen over de ondersteuningsbehoefte van de instelling. Als CISO kan hij praktische hulp bieden (bij de inrichting van de TrustBound bijvoorbeeld) en daarbij ook inhoudelijk adviseren, bij het documenteren van de volwassenheid en de bewijslast.

1.6 Intakegesprek
Ongeveer 6 tot 4 weken voor de start van de audit nemen de auditors van Deloitte contact op met de contactpersoon om een intakegesprek te plannen. Dit gesprek is bedoeld om (hernieuwd) kennis te maken, en om de planning, de scope, het uitgevoerde self-assessment en de opvolging van de aanbevelingen uit de eerste audit op hoofdlijnen te bespreken. Ook is er ruimte om eventuele onduidelijkheden op te helderen en de laatste voorbereidingen voor een succesvolle audit te treffen.
Binnen een week na het intakegesprek dient de instelling, met behulp van een template op basis van het werkprogramma van Deloitte, een inventarisatie te delen van de statements waarvan het volwassenheidsniveau is verbeterd. Het template biedt de ruimte om de score van de eerste audit, de nieuwe score en de start datum van de operationele werking aan te geven, zodat de scope van de audit kan worden bepaald. Elke verbetering dient ondersteund te worden met bewijslast in TrustBound. De auditor geeft aan wat hij nodig heeft om de werking te kunnen toetsen.

1.7 Expertreview
Uiterlijk twee weken voor de start neemt Henry Meutstege contact op om te verifiëren of de instelling gereed is voor de audit. Hij gebruikt een checklist om de vereiste voorbereidingen te controleren. Hij documenteert zijn bevindingen en stuurt ze naar de bestuurder en contactpersoon van de mbo-instelling.

2. Stappen tijdens de audit


2.1 Kick-offsessie security-audit
In de eerste week van de audit organiseren de auditors een kick-offsessie met alle relevante betrokkenen binnen de instelling. Hierin vertellen ze over de doelstelling en aanpak van de tweede security-audit, en wat er van de betrokkenen wordt verwacht. Er is ook ruimte om vragen te stellen, zodat voor iedereen duidelijk is wat er van hen verwacht wordt.

2.2 Analyse van bewijslast in TrustBound
In de eerste drie weken van de audit analyseren de auditors de in TrustBound beschikbare bewijslast. Zo krijgen ze een gedetailleerd overzicht van de huidige situatie bij de instelling. Ook controleren ze in deze fase of de gegevens in de GRC-applicatie aanwezig zijn en voldoen. Tijdens de analyse van de tweede audit wordt naast opzet en bestaan ook de werking beoordeeld. Bij de werking wordt getoetst of een control gedurende een periode van drie maanden effectief functioneert en of deze in overeenstemming met het oorspronkelijke bedoeling en volgens de vastgestelde processen heeft gewerkt. De werking wordt getoetst op basis van documentinspectie (als voorbeeld screenshots) per deelwaarneming.

2.3 Aanvullende bewijsstukken en interviews
Als er onduidelijkheden zijn of bewijsmateriaal ontbreekt, vragen de auditors in de tweede en derde week aanvullende bewijsstukken op. Instellingen dienen deze bewijsstukken binnen 3 werkdagen aan te leveren. Indien nodig plannen ze in deze fase ook interviews met specifieke betrokkenen, zodat ze verdiepende vragen kunnen stellen. Mogelijke interviews vinden plaats in week 4. Op voorhand wordt door de auditors aangegeven hoeveel interviews nodig zijn en welke onderwerpen er besproken zullen worden. Naar aanleiding van de interviews kunnen er aanvullende bewijsstukken worden opgevraagd. Ook hier geldt dat deze binnen 3 werkdagen aangeleverd dienen te worden.

2.4 Aanvullende analyse
Vanaf week 5 analyseren de auditors de verzamelde informatie verder. In deze fase kennen ze scores op de statements toe en formuleren ze hun observaties. Ze documenteren hun bevindingen in een werkprogramma.

2.5 Instelling levert feedback op werkprogramma
In week 6 delen de auditors het werkprogramma met de instelling voor feedback. In deze fase kunnen betrokkenen bijvoorbeeld toelichtingen geven of opmerkingen maken, voordat de auditors de rapportage verder uitwerken. Deloitte streeft ernaar het werkprogramma binnen 5 werkdagen definitief af te ronden. Daarom moeten alle opmerkingen voor die tijd ontvangen en verwerkt zijn.

2.6 Oplevering conceptrapportage
In week 7 stellen de auditors een conceptrapportage op, die ze vervolgens in week 8 voorleggen aan de instelling. Deze kan eventuele correcties en/of aanvullingen doorgeven. Instellingen moeten het commentaar op de conceptrapportage binnen een werkweek doorgeven aan Deloitte.

2.7 Definitieve rapportage en presentatie
In de weken 8 en 9 wordt de feedback verwerkt in de definitieve rapportage. De auditors verzorgen als laatste stap in het proces een eindpresentatie voor alle betrokken bij de audit, inclusief het bestuur. Hierin lichten ze hun bevindingen en conclusies van de security-audit toe. Na het delen van de conceptrapportage plannen ze de eindpresentatie in.

2.8 Ondertekenen verklaring van oplevering
De kosten voor de security-audit worden vergoed vanuit het programma Cyberveiligheid mbo. Daarom is ook voor de tweede audit een verklaring van oplevering vereist, die de bestuurder van de instelling en Deloitte na de afronding van de audit moeten ondertekenen. Deze verklaring dient binnen drie werkdagen na de oplevering van de definitieve rapportage ondertekend en teruggestuurd te worden naar Deloitte.

2.9 Evaluatie
Na afloop van de audit vragen we de contactpersoon van de instelling vanuit het programma om feedback over de audit. We sturen een evaluatieformulier waarin de contactpersoon kan terugkoppelen over het auditproces, zodat we dit het kunnen verbeteren.

 

* Statements voor de cyberweerbaarheidspool zijn geselecteerd door een expertgroep van MBO Digitaal en getoetst door een afvaardiging van de Regiegroep IBP.

Contactpersoon

Heb je vragen over de planning of het proces van de security-audits? Neem dan contact op met Evie-Janne van Noorel of bekijk de informatie in de Teams-omgeving van het netwerk IBP.