Proces van de security-audits

Stappen voorafgaand aan de security-audit

1. Bericht aan bestuurder

Uiterlijk 12 weken voor de start van de audit ontvangt de bestuurder van de instelling een e-mail vanuit MBO Digitaal. Hierin staat de geplande datum van de audit, wat er van de instelling in aanloop naar de audit wordt verwacht, en wat de planning daarvan is.

We sturen het bericht naar de bestuurder omdat zijn of haar betrokkenheid bij de security-audit van groot belang is. De bestuurder heeft inzicht in de strategische doelstellingen van de organisatie en speelt een sleutelrol in de besluitvorming en de toewijzing van middelen die nodig zijn voor een succesvolle audit.

2. Toelichting en bewijslast opvoeren in TrustBound

De security-audits zijn gebaseerd op het zelfassessment via de mbo-brede GRC-applicatie TrustBound. De auditors kijken naar de documentatie en bewijslast (zoals documenten, foto’s en schermafbeeldingen) die de instelling in TrustBound heeft geüpload. Bij elk statement in TrustBound moet de instelling een toelichting geven, inclusief duidelijke vermelding over welk bewijsstuk is gebruikt en waar het argument waarop de score is gebaseerd, te vinden is.

Inmiddels weten we dat het verzamelen van het benodigde bewijs en het plaatsen hiervan in TrustBound veel werk en tijd kost. We raden daarom aan om hiermee ruim van tevoren te beginnen.

3. Informeren interne betrokkenen

Bij elke audit moeten meerdere functies en afdelingen van een instelling input leveren. Bijvoorbeeld de personen die verantwoordelijk zijn voor de inrichting en het beheer van de kroonjuwelen, de HR manager en de manager Facilitair. Het is belangrijk dat je als instelling alle betrokkenen goed informeert over wat de audit inhoudt en hoe personen zich kunnen voorbereiden op vragen van de auditors. Wijs hen bijvoorbeeld op de beschikbare informatie en de planning van de audit.

4. Ondersteuning van CISO

Vanuit het programma Cyberveiligheid kan CISO as a Service Henry Meutstege instellingen helpen bij de voorbereidingen op de audit. Henry neemt uiterlijk 10 weken voor de auditstart contact op met de bij ons bekende contactpersoon van de audit om te overleggen hoe hij de instelling het best kan ondersteunen. Als CISO kan hij zowel praktische hulp bieden (bij de inrichting van de TrustBound bijvoorbeeld) als inhoudelijk adviseren (zoals bij het documenteren van de volwassenheid en de bewijslas

5. Informatiemail en Nadere Overeenkomst (NOK)

Ongeveer 10 weken voor de start van de audit ontvangt de contactpersoon een uitgebreide informatiemail over de planning en het proces van de security-audit bij de instelling. Deze mail bevat ook de Nadere Overeenkomst (NOK). Dit is de formele overeenkomst met betrekking tot de uitvoering van de security-audit door Deloitte. De bestuurder dient deze overeenkomst te ondertekenen.

6. Ruilen audit

Als de geplande datum voor de security-audit niet goed uitkomt, is het mogelijk om de datum in overleg met een andere mbo-instellingen te ruilen. Dit kan tot uiterlijk 10 weken voor de geplande start van de audit. Neem hierover contact op met Evie-Janne van Noorel.

7. Intakegesprek

Ongeveer 6 tot 4 weken voor de start van de audit nemen de auditors van Deloitte contact op met de contactpersoon om een intakegesprek te plannen. Dit gesprek is bedoeld om kennis te maken, en om de planning, de scope en het uitgevoerde zelfassessment te bespreken. Ook is er ruimte om eventuele onduidelijkheden op te helderen en de laatste voorbereidingen voor een succesvolle audit te treffen.

8. Expertreview

Uiterlijk twee weken voor de start neemt Henry contact op om te verifiëren of de instelling gereed is voor de audit. Hij gebruikt een checklist om de vereiste voorbereidingen te controleren. Hij documenteert zijn bevindingen en stuurt ze naar de bestuurder en contactpersoon van de mbo-instelling.

Stappen tijdens de audit

9. Kick-offsessie security-audit

In de eerste week van de audit organiseren de auditors een kick-offsessie met alle relevante betrokkenen binnen de instelling. Hierin vertellen ze hoe ze de security-audit uitvoeren en wat ze van betrokkenen verwachten. Er is ook ruimte om vragen te stellen, zodat voor iedereen duidelijk is wat er van hen verwacht wordt.

10. Analyse van bewijslast in TrustBound

In de eerste twee weken van de audit analyseren de auditors de beschikbare bewijslast in TrustBound. Zo krijgen ze gedetailleerd overzicht van de huidige situatie bij de instelling. Ook controleren ze in deze fase of de gegevens in de GRC-applicatie correct en aanwezig zijn.

11. Aanvullende bewijsstukken en interviews

Als er onduidelijkheden zijn of bewijsmateriaal ontbreekt, vragen de auditors in de tweede en derde week aanvullende bewijsstukken op. Instellingen dienen deze bewijsstukken binnen 3 werkdagen aan te leveren. Indien nodig plannen ze in deze fase ook interviews met specifieke betrokkenen, zodat ze verdiepende vragen kunnen stellen.

12. Analyse en rapportage
Vanaf week 3 analyseren de auditors de verzamelde informatie verder. In deze fase kennen ze scores op de statements toe en formuleren ze hun observaties. Ze documenteren hun bevindingen in een werkprogramma.

13. Instelling levert feedback op werkprogramma

De auditors delen het werkprogramma met de instelling voor feedback. In deze fase kunnen betrokkenen bijvoorbeeld toelichtingen geven of opmerkingen maken, voordat de auditors de rapportage verder uitwerken. Deloitte streeft ernaar de werkrapportage binnen 5 werkdagen definitief af te ronden. Daarom moeten alle opmerkingen voor die tijd ontvangen en verwerkt zijn.

14. Oplevering conceptrapportage

In week 4 stellen de auditors een conceptrapportage op, zie ze vervolgens voorleggen aan de instelling. Deze kan eventuele correcties en/of aanvullingen doorgeven. Instellingen moeten het commentaar op de conceptrapportage binnen 3 werkdagen doorgeven aan Deloitte.

15. Definitieve rapportage en presentatie

In de weken 5 tot 7 wordt de feedback verwerkt in de definitieve rapportage. Na ontvangst heeft de instelling weer 3 werkdagen om op de definitieve rapportage te reageren. De auditors verzorgen als laatste stap in het proces een presentatie voor alle betrokken bij de audit, inclusief het bestuur. Hierin lichten ze hun bevindingen en conclusies van de security-audit toe.

16. Ondertekenen verklaring van oplevering

De kosten voor de security-audit worden vergoed vanuit het programma Cyberveiligheid mbo. Daarom is een verklaring van oplevering vereist, die de bestuurder van de instelling en Deloitte na de afronding van de audit moeten ondertekenen.

17. Evaluatie

Na afloop van de audit vragen we de contactpersoon van de instelling vanuit het programma om feedback over de audit. We sturen een evaluatieformulier waarin de contactpersoon kan terugkoppelen over het auditproces, zodat we dit het kunnen verbeteren.