Groeien in volwassenheid

Hans Maas (Grafisch Lyceum Rotterdam), Henry Meutstege (programma Cyberveiligheid mbo), Adriaan Noteboom (SVO), Paul Lindhout (ROC van Amsterdam) en Martijn Timmer (MBO Digitaal) spraken over het doel dat de sector groeit naar volwassenheidsniveau 3.0 volgens het SURFaudit Toetsingskader.

Martijn: ‘Vergelijk de noodzaak om te groeien met de strijd tegen water. We hebben dijken nodig, maar ook dijkbewaking om de waterstijging in de gaten te houden en bij te schakelen als dat nodig is.’

Paul: ‘Cyberveiligheid raakt iedereen: bestuurders, ICT-afdelingen en in de lijn, dus ook docenten. Want iedereen kan een foutje maken. Daarom is awareness belangrijk. We moeten uitleggen waarom we dingen doen, de risico’s benoemen en in de context brengen van verschillende doelgroepen. Die boodschap komt nog niet altijd goed over, waardoor maatregelen niet in dank worden afgenomen.’

Hans: ‘Ook bestuurders zijn overtuigd van de noodzaak van een hogere cyberveiligheid. De belangrijkste stappen zijn nu om te bepalen: wat kan ik als instelling doen en hoe kan ik het doen. Je kunt nooit alle risico’s afdekken, dus welke risico’s aanvaard je? We moeten elkaar opzoeken: wat vinden we als sector acceptabel?’

Henry: ‘Het gaat om keuzes maken. Wat kan ik doen en wanneer, waar besteden we geld aan? Een goede risicoanalyse helpt daarbij. Daar moeten we elkaar als mbo in vinden.’

Adriaan: ‘Integraal risicomanagement gaat meer leven als wij als IT-afdeling meer informatie naar bestuurders brengen. Het helpt als we de terminologie beter afstemmen. Afkortingen en vaktermen belemmeren, maar MORA biedt uitkomst. Die is beschreven vanuit processen – dat begrijpen bestuurders.’

Martijn: ‘We kunnen alleen samen groeien, horen we van veel instellingen. Precies daarom voeren we activiteiten mbo-breed vanuit het programma Cyberveiligheid uit, zoals met de security-audits en de cyberweerbaarheidspool. Grote instellingen helpen de kleinere, én andersom. Want het zijn ook kleine instellingen die nu hoog scoren.’

Henry: ‘Groeien naar 3.0 is een flinke uitdaging, maar we kregen als mbo vanochtend van Inge Bryan een groot compliment dat we dat samen doen. Ik zie dat ook terug als CISO as a Service. Ik neem bewezen oplossingen mee van de ene school naar de andere. Ik vind het mooi om te zien dat we hierop niet concurreren.’

Hans: ‘De Benchmark IBP helpt de sector om te overleggen. We kunnen overleggen over oplossingen. En vergelijken: hoe doen jij het, waar kunnen wij leren?’

Adriaan: ‘Maar het is ook belangrijk dat elke instelling haar autonomie behoudt. Dat is bijvoorbeeld bij de cyberweerbaarheidspool een uitdaging, omdat we vanwege de eisen afwegingen anders moeten maken. Daarover moeten we goede afspraken maken.’

Digitale soevereiniteit

In de tweede sessie gaven Marcel Kropmans (ROC Mondriaan), Hans Maas (Grafisch Lyceum Rotterdam), Rob Vos (Rijn IJssel), Martijn Timmer (MBO Digitaal) en Jozien Winterman (ROC van Twente) hun kijk op het zeer actuele onderwerp digitale soevereiniteit.

Rob: ‘Digitale soevereiniteit is een hot topic, hopelijk is dat niet van tijdelijke aard. Ik definieer het als: heb je de vrijheid om keuzes te maken?’

Hans: ‘We kunnen er in de actuele geopolitieke situatie niet onderuit. Steeds meer mensen beseffen dat we erg afhankelijk zijn geworden en dat andere keuzes maken niet makkelijk is. Veel mensen zijn enthousiast begonnen met Signal, maar nu toch weer volop aan het Whatsappen.’

Martijn: ‘De eerste stap is het gesprek aangaan: waar kunnen we wel en waar nog niet overstappen? Ook kunnen we studenten hierover opleiden, maar daarmee is het morgen natuurlijk niet opgelost. Kijk maar naar Oekraïne: hoe soeverein zijn we als Europa eigenlijk nog?’

Marcel: ‘De impact is groot als je geen toegang meer hebt tot applicaties. Vanuit realiteitszin moeten we kijken naar middelen om minder afhankelijk te zijn, en daarbij kijken door verschillende lenzen. Het moet risicogebaseerd en betaalbaar zijn, en studenten en medewerkers moeten ermee kunnen omgaan.’

Hans: ‘We moeten daarbij ook de kostentechnische kant in beschouwing nemen, want licenties worden steeds duurder. Maar als grafisch lyceum kunnen we nauwelijks onder Adobe uit. Het beroepsveld verwacht dat we studenten opleiden tot bijvoorbeeld goede Photoshoppers.’

Jozien: ‘Wij proberen als instelling bij kleinere pakketten al veranderingen door te voeren. Bijvoorbeeld door SURFconext in plaats van Entra te gebruiken. Maar we lopen tegen problemen aan bij het koppelen van andere software. De afhankelijkheid gaat dus verder. Het best is om mbo-breed beweging te krijgen, zeker bij de grote pakketten. We moeten er als organisaties bewust over nadenken, maar ook samen met MBO Digitaal en SURF.’

Rob: ‘Bij dit vraagstuk kan mijn gedroomde applicatiecatalogus helpen. Die geeft inzicht in het applicatielandschap van instellingen en hoe we daarin verandering kunnen brengen. Want het begint met inzicht, ook als we de applicatiesoberheid willen bereiken, waarover Inge Bryan vanochtend sprak.’

Jozien: ‘We moeten ook rekening houden met wat medewerkers gewend zijn. En met de cultuur van organisaties. Soberheid betekent dat mensen minder kunnen. Daarin moeten mensen ook in meebewegen.’

Martijn: ‘Misschien kunnen we eerst de achterkant regelen, bij toepassingen waarvan gebruikers het niet merken. Zodat we hen niet lastigvallen. En vervolgens kijken naar andere belangrijke programma’s. Maar bij sommige partijen kun je niet weg omdat bijvoorbeeld de arbeidsmarkt dat niet wil.’

Marcel: ‘Er zijn al goede voorbeelden. In gesprekken met leveranciers zetten we al stappen. Bij gebruikers is ook een cultuurverandering nodig: we zijn eraan gewend geraakt dat een app op de telefoon meteen werkt. Dat is in de toekomst misschien minder het geval.’

Rob: ‘Sommige functionaliteiten van opensourcesoftware als NextCloud zijn snel toepasbaar, daar kunnen medewerkers en studenten ongetwijfeld snel mee overweg. Maar andere juist niet. Ook hierbij geldt dat we inzicht nodig hebben om de juiste keuzes te maken.’