Programma Cyberveiligheid mbo

CISO as a Service

Lang niet alle mbo-scholen hebben de voor cyberveiligheid belangrijke functie van CISO ingevuld. Vanuit het programma Cyberveiligheid hebben we onderzocht of we deze functie als een dienst aan scholen beschikbaar kunnen stellen.

De CISO (Chief Information Security Officer) speelt een belangrijke rol bij het planmatig werken aan cyberveiligheid binnen de mbo-instelling. Toch hebben maar weinig mbo-scholen deze functie ingevuld. Vanuit het programma Cyberveiligheid hebben we de belemmeringen hiervoor in kaart gebracht. Ook hebben we in een pilot onderzocht of we de CISO-rol kunnen aanbieden als een service. De CISO wordt op die manier gedeeld door meerdere instellingen.

Pilot CISO as a Service

In de pilot heeft onze ervaren CISO Henry Meutstege zes mbo-instellingen geholpen bij vraagstukken op gebied van cyberweerbaarheid. Om voor de ondersteuning in aanmerking te komen, moesten de instellingen voldoen aan een aantal criteria:

  • Hun opdracht moest breed relevant zijn; de sector moest er iets van kunnen leren.
  • De opdracht moest binnen enkele maanden uitvoerbaar zijn.
  • Bij de opdracht moesten alle lagen, dus ook het bestuur, betrokken zijn.
  • Instellingen moesten meewerken aan het delen van de oplossingen en geleerde lessen.

Gedurende de pilotperiode konden de geselecteerde scholen kosteloos deelnemen aan de pilot CISO as a Service.

Praktische hulp om maat

Tijdens de pilot heeft Henry de geselecteerde instellingen bij verschillende activiteiten geholpen. Hij heeft ze bijvoorbeeld ondersteund bij de toetsing op basis van het NBA-toetsingskader via de nieuwe mbo-brede GRC-applicatie. Ook heeft hij geadviseerd bij pragmatische vraagstukken zoals de implementatie van SURFsoc en het schrijven van nieuw IB&P-beleid. En vier scholen heeft hij geholpen met het uitvoeren van de NOZON-crisisoefening.

Resultaten van de pilot

Uit de pilot blijkt dat een dienst als de CISO as a Service in het mbo voldoet aan een behoefte. Alle instellingen die aan de pilot hebben meegewerkt gaven aan dat de ondersteuning heeft bijgedragen aan een verbeterde cyberweerbaarheid van hun school. Ondersteunde scholen waardeerden de inzet van de CISO as a Service gemiddeld met een mooie 8!

Hoe nu verder?

Met het oog op deze positieve reacties hebben we vanuit het programma Cyberveiligheid onderzocht of en hoe we CISO as a Service bij SURF op reguliere basis kunnen onderbrengen. Helaas heeft SURF aangegeven hiervoor geen voldoende basis te zien. Toch zien we dat er binnen het mbo wel degelijk behoefte is aan strategisch en tactische hulp van een ervaren security officer. Er zijn scholen die zelf deze vraag proberen in te vullen door het stellen van een vacature of door middel van externe inhuur. Vanuit het programma Cyberveiligheid bieden we daarom kennis van een ervaren security officer op de volgende wijze aan mbo-instellingen aan:

  1. De CISO as a Service richt zich primair op het ondersteunen van de scholen bij het voorbereiden en het uitvoeren van de security-audits. Deze worden door Deloitte uitgevoerd, en voor instellingen is het belangrijk dat ze een juist en volledig beeld geven van de volwassenheid van de instelling. Een goede voorbereiding op de audit is daarbij erg belangrijk. De CISO as a Service helpt scholen actief door ze ruim van te voren te helpen bij het opzetten van de juiste omgeving in de GRC-tool. Ook organiseert hij maturity workshops over het SURF audit toetsingskader, er plant hij tweewekelijks een inloopspreekuur. Verder zorgt hij ervoor dat er een expertreview bij de instelling wordt uitgevoerd voordat Deloitte de audit gaat uitvoeren. Alle opgedane kennis en ervaringen legt hij vast in een Handreiking Security Audits en deelt hij in de Teams-omgeving van het netwerk IBP. Op deze manier werkt de CISO as a Service aan het verbeteren van de volwassenheid van alle mbo-instellingen. Deze hulp wordt volledig gefinancierd vanuit het programma Cyberveiligheid. 
  2. Mbo-instellingen kunnen via de CISO as a Service ook extra capaciteit van een Young Professional inhuren. Deze YP is een beginnende security en/of privacy officer met een basisopleiding op het gebied van informatiebeveiliging en privacy. De YP’s worden gedurende hun inzet bijgeschoold door de partnerorganisatie en actief begeleid door de CISO as a Service vanuit het programma Cyberveiligheid. Deze begeleiding van de CISO as a Service houdt ook in dat de YP betrokken kan worden bij de ontwikkeling van de instelling zelf. Als een instelling een YP aanneemt voor 16 of 24 uur per week ondersteunt de CISO as a Service  de instelling voor gemiddeld 4 uur per week als formele CISO. De capaciteit van de YP wordt bij de mbo-instelling in rekening gebracht, de inzet van de CISO as a Service wordt vanuit het programma gefinancierd.

Contactpersoon

Neem contact op met Henry Meutstege voor meer informatie.


Bijlagen