Conferentie Samenwerken aan Cyberveiligheid

GRC-applicatie als spil in het programma Cyberveiligheid

GRC staat voor Governance, Risk en Compliance: drie disciplines die ervoor zorgen dat een organisatie op koers blijft, risico’s beheert en voldoet aan toepasselijke wetten en normen. Voor het mbo is een GRC-applicatie aanbesteed die een cruciale rol vervult binnen het programma Cyberveiligheid mbo. Mbo-scholen gebruiken deze applicatie vanaf 2024 om hun volwassenheid op het gebied van informatiebeveiliging en privacy (IBP) te documenteren en de benodigde maatregelen te plannen. Victor Meerloo (MBO Digitaal) & Arjaan Kunst (werkzaam bij TrustBound, de ontwikkelaar van de CRC-applicatie) vertellen hier in hun presentatie meer over en laten in een live demo een aantal functies zien.

Iedere organisatie bereikt voeg of laat een punt, dat verschillende disciplines moeten samenwerken om te voorkomen dat bedrijfsdoelstellingen worden bedreigd door onvoorziene risico’s of tekortschietend beleid. GRC is de integrale aanpak om “in control” te komen en te blijven. De ‘G’ staat voor Governance, de manier waarop het bestuur een organisatie aanstuurt en controleert. Processen worden ingericht om bestuurders op tijd te voorzien van managementinformatie, zodat ze geïnformeerde en weloverwogen beslissingen kunnen nemen. Bovendien zorgen governance-activiteiten ervoor dat de strategie, vertaald in aanwijzingen en instructies, eenduidig en effectief worden uitgevoerd.

De ‘R’ staat voor Risicomanagement en gaat over de processen waarmee je risico’s voor het behalen van bedrijfsdoelstellingen kunt identificeren, analyseren en aanpakken. De reactie op risico’s hangt meestal af van de ernst ervan en omvat het beheersen, vermijden, accepteren van het risico of het overdragen van het risico aan een derde partij. De ‘C’ tenslotte staat voor Compliance, de zichtbare controle op de naleving van wetten en normen, inclusief de verantwoording die daarbij hoort. Je moet kunnen aantonen dat jouw organisatie zich aan wetten en normen houdt. Deze controles vinden bijvoorbeeld plaats tijdens interne en externe audits en zijn de basis voor rapportage naar toezichthouders en bestuur. ‘Het TrustBound GRC Platform helpt je om de principes van GRC in jouw organisatie te verankeren en daarmee gestructureerd toe te werken naar gestelde doelen’, vertellen Victor en Arjaan.

Handige functies
Vervolgens laten ze aan de hand van een live demo zien wat je zoal met de GRC-applicatie kunt doen. Als IBP’er, maar bijvoorbeeld ook als bestuurder. Bij de ontwikkeling is rekening gehouden met het feit dat de ene school verder is dan de ander. En dus is er een instapmodel, een groeimodel en een expertmodel. Op het eerste niveau kun je met de GRC-applicatie onder meer aan de slag met het invoeren en documenteren van de volwassenheid volgens het NBA-kader (SURFaudit toetsingskader). De meer gevorderden kunnen via de applicatie meer risicogericht gaan werken; experts kunnen de applicatie in de volle breedte inzetten. Arjaan toont enkele dashboards die onder andere voorzien zijn van ‘wijzertjes’ die van kleur veranderen (donkergroen = top) en zo helder inzicht geven. ‘Het gaat erom een risico te zien en daar dan acties – wie doet wat –  aan te koppelen. Dit is geen controletool, maar handig hulpmiddel om als IBP’er je werk te organiseren en een prima communicatiemodel voor gesprekken met je bestuurders.’

Belangrijke data

De heren hebben ook nog wat belangrijke data te delen. Ze vertellen dat de landelijke uitrol van TrustBound begin januari 2024 start. Scholen kunnen de applicatie 4 jaar lang gratis gebruiken. Die mijlpaal gaat gepaard met diverse trainingen. Zo is er op 13 december een proeftraining (die inmiddels volgeboekt is) en zijn er op 11 januari, 18 januari en 23 januari introductietrainingen voor beginners en de al wat meer gevorderden. Voor wie al eerder het fijne wil weten van GRC is er op 14 december en 19 december het webinar TrustBound GRC implementatie mbo. Op deze pagina lees je precieze info hierover.

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.