Programma Cyberveiligheid mbo
MBO Digitaal Conferentie maart 2024
Groen licht voor cyberrisicopooling
Tijdens de bestuurdersbijeenkomst op donderdag stond het onderwerp cyberrisicopooling op de agenda. Dat is niet alleen een alternatief voor cyberverzekeringen, maar ook een enorme stimulans om nog intensiever met elkaar samen te werken op het gebied van cyberveiligheid. De 40 aanwezige bestuurders hadden in hun gesprekken over dit onderwerp veel aandacht voor de randvoorwaarden, bijvoorbeeld over waaraan instellingen moeten voldoen om aan de pool mee te mogen doen. Uiteindelijk waren ze het unaniem eens: ze voelen de verantwoordelijkheid om samen een cyberrisicopool te starten. De voorwaarden werken we de komende periode verder uit en uiterlijk 3 oktober 2024, bij de volgende MBO Digitaal bestuurdersbijeenkomst, presenteren we een uitgewerkt voorstel. Bekijk hier de presentatie die Peter Vermeijs en Martijn Bijleveld tijdens de MBO Digitaal bijeenkomst gaven.
Rapport governance-onderzoek
Victor Meerloo presenteerde tijdens de conferentie de uitkomsten van het mbo-brede onderzoek naar governance van informatiebeveiliging. Een belangrijk resultaat is dat instellingen beter scoren op informatieveiligheid, als de betrokkenheid van bestuurders hoger is. Victor: ‘Het ligt misschien voor de hand, maar dit onderzoek laat zien dat betrokkenheid van de bestuurder echt belangrijk is voor een volwassen informatiebeveiliging.’ Ook als instellingen hun taken, bevoegdheden en verantwoordelijkheden duidelijk hebben vastgelegd, hun ambities volledig helder zijn en hun bestuurders de eindverantwoordelijkheid voor risicomanagement op zich nemen, komt dat ten goede aan de informatieveiligheid. Meer resultaten en het hele rapport kun je lezen op deze pagina over de governance-nulmeting.
Applicatiecatalogus als gamechanger
Aladin Mhamdi en Rob Vos gaven een update over de mbo-brede applicatiecatalogus. Doel hiervan is dat scholen informatie kunnen uitwisselen en gebruikte software vergelijken. Dit draagt bij aan inzicht en overzicht, waardoor de sector beter in staat is om de ICT-basis op orde te brengen en samen vorm te geven aan veilige informatievoorziening. Momenteel wordt gewerkt aan voltooiing van het programma van eisen van de catalogus, die volgens Mhamdi ‘een gamechanger’ wordt in het mbo. De presentatie van Aladin en Rob kun je hier terugkijken.
CISO as a Service
Henry Meutstege vertelde over de pilot CISO as a Service. Die loopt momenteel op zes scholen en houdt in dat scholen ondersteuning krijgen van een ervaren professional, onder meer bij het maken van plannen om te groeien in cybervolwassenheid. De ervaringen van instellingen over Henry’s rol als CISO tot nu toe zijn erg positief. Duidelijk is dat er bij meerdere instellingen animo is om zo’n dienst af te nemen als deze vaste vorm krijgt binnen het Security Expertise centrum van SURF. De komende maanden moet er vooral duidelijkheid komen over de inhoud en de kosten daarvan, bleek uit de reacties. Henry’s presentatie kun je hier op je gemak terugkijken.
GRC-applicatie
Ook de mbo-brede GRC-applicatie kwam tijdens de MBO Digitaal Conferentie aan bod. Deze mbo-brede tool voor governance, risk en compliance helpt om beveiligingsrisico’s in kaart te brengen en passende maatregelen te beschrijven. Op dit moment wordt de applicatie vooral gebruikt voor het invoeren van de volwassenheidscores ten behoeve van de Benchmark IBP, die op 15 maart moet zijn ingeleverd. Tijdens de presentatie van Henk Links werden de vervolgstappen verkend: welke mogelijkheden biedt de GRC-applicatie aanvullend en hoe willen we daar in het het mbo gebruik van gaan maken. De presentatie van Henk kun je hier terugkijken.
SOC van de toekomst
Jeffeny Hoogervorst van SURF en Klaske Bouma van de regiegroep IBP namen het publiek mee op ontdekkingsreis naar het Security Operations Center van de toekomst. De twee keken 1 tot 3 jaar vooruit en spraken over de rol die AI dan mogelijk speelt bij incidenten. Ook gingen ze in op de behoeftes waaraan een toekomstige SOC-dienst moet voldoen, zoals een modulaire dienstverlening en geautomatiseerde incident response. De presentatie van Jeffeny en Klaske kijk je hier terug.
Samenwerken aan bedrijfscontinuïteitsmanagement
De bijdrage van Henk Links, Rob Gerritsen (regiegroep IBP) en Charlie van Genuchten (SURF) over samenwerken aan bedrijfscontinuïteit sloot hier goed op aan. Want ook al doet een instelling het maximale aan preventie, dan nog is het mogelijk om getroffen te worden. Een goede voorbereiding is essentieel om na een aanval snel weer in de lucht te zijn, om zowel financiële als imagoschade te beperken. Als crisisplannen en scenariokaarten klaarliggen, zijn rollen en verantwoordelijkheden duidelijk en is het makkelijker om adequaat te reageren. De presentatie van het drietal kun je hier terugkijken.
Externe audits
Tot slot sprak Niels Dutij over externe security audits. Binnen het mbo maken instellingen al sinds 2015 gebruik van zelfassesments om de volwassenheid van informatiebeveiliging te meten. Inmiddels is het mbo toe aan de volgende stap: verplichte externe security-audits door onafhankelijke IT-auditors, te starten medio 2024. Volgens Niels helpt deze meer objectieve beoordeling organisaties om de volgende stap te zetten en tot een hoger volwassenheidsniveau te komen. Het programma Cyberveiligheid is een aanbesteding begonnen om te komen tot een leverancier en financiert de onafhankelijke audits. Kijk de presentatie van Niels hier terug.