Sinds begin september loopt onze pilot CISO as a Service. In deze workshop deelt Henry Meutstege zijn eerste bevindingen en ervaringen met de dienst, die hij bij maar liefst zes scholen tegelijk opdeed. Wat kun je als CISO, oftewel Chief Information Security Officer, concreet en pragmatisch betekenen voor een instelling? Welke issues zijn er opgepakt en wat zijn de lessen die een instelling daaruit kan trekken? En: is het mogelijk om deze pilot op te schalen naar een structurele dienst in SURF-verband?

Sinds begin september loopt onze pilot CISO as a Service. In deze workshop deelt Henry Meutstege zijn eerste bevindingen en ervaringen met de dienst, die hij bij maar liefst zes scholen tegelijk opdeed. Wat kun je als CISO, oftewel Chief Information Security Officer, concreet en pragmatisch betekenen voor een instelling? Welke issues zijn er opgepakt en wat zijn de lessen die een instelling daaruit kan trekken? En: is het mogelijk om deze pilot op te schalen naar een structurele dienst in SURF-verband?

De rol van een CISO is om de digitale weerbaarheid van een instelling aantoonbaar te verbeteren. De CISO as a Service maakt deze functie beschikbaar voor alle instellingen. Dit doen we door een ervaren CISO beschikbaar te stellen vanuit het programma. Deze CISO zal vanuit de behoefte van de instelling helpen bij het maken van een plan om te groeien in cyber volwassenheid. Als normenkader wordt het SURFaudit Toetsingskader (NBA-model) gebruikt.

Menukaart

CISO as a Service is nu nog een pilot. Maar als de dienst daadwerkelijk meerwaarde heeft, wordt deze ondergebracht bij het Security Expertise Centrum van SURF. Die kans acht Henry vrij hoog. De pilot bij zes scholen – Rivor, SintLucas College, MBO Utrecht, Da Vinci College, Media College Amsterdam en SVO – verliep voorspoedig. Het concept CISO as a Service slaat aan; de Chief Information Security Officer kan de scholen op allerlei manieren bijstaan. Er is zelfs een complete ‘menukaart’ opgesteld, waarbij de school zelf bepaalt wat ze wil. Je kunt kiezen uit een compleet ‘diner’ (inclusief voor- en nagerecht) of je kiest een enkel ‘gerecht’. Bijvoorbeeld ‘risco-analyse’. Of ‘ondersteuning’, waarbij je zoals in een goed restaurant, ook weer allerlei subkeuzes kunt maken: ga je voor ondersteuning op het thema ‘besturing’? Of bijvoorbeeld ondersteuning bij het thema ‘bewustzijn van je instelling’?

De wijze waarop CISO as a Service is opgezet draagt, zo mogen we voorzichtig stellen, bij aan de ambitie om te groeien naar streefniveau 3 van volwassenheid. Maar het is onverstandig om alleen af te gaan op eerste bevindingen. Daarom wordt de dienst de komende tijd verder uitgekristalliseerd. Wat zou het succesvoller maken? Wat moet eventueel anders ingestoken worden? Wat is een reëel kostenplaatje? We onderzoeken nu op welke manier we dit structureel kunnen organiseren in SURF-verband.

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.