Samen groeien in cyberweerbaarheid: deze lessen trekt Aventus uit de security-audit door Deloitte
Aventus is een van de eerste mbo-scholen waar Deloitte een security-audit heeft uitgevoerd. Bestuursvoorzitter Ellen Marks en security officer Fung Yee Poon vertellen waarom Aventus koploper wilde zijn. ‘De security-audits helpen ons gericht te groeien in cyberweerbaarheid. En ze laten medewerkers zien dat dat een gezamenlijke verantwoordelijkheid is.’
Voor Aventus was de security-audit door Deloitte de logische volgende stap binnen zijn beleid voor informatiebeveiliging en privacy. ‘Vanwege de toenemende digitalisering van het onderwijs zijn informatiebeveiliging en privacy belangrijke dossiers voor ons’, vertelt Ellen Marks over het belang van de onafhankelijke toetsing. ‘We verwerken dagelijks grote hoeveelheden persoonsgegevens van studenten en medewerkers. Tegelijkertijd worden scholen steeds vaker geconfronteerd met cyberdreigingen, zoals phishing, ransomware en datalekken. Daarom besteden we bij Aventus veel aandacht aan cyberveiligheid. En toetsen we regelmatig de vorderingen van ons beleid. Dan past het om zo nu en dan ook vreemde ogen te laten controleren of we inderdaad het goede doen.’
Extra kritische blik op processen
Aventus voert al jaren als onderdeel van de jaarrekeningencontrole IT-audits uit. Fung Yee: ‘En met de benchmark IBP beoordelen we zelf al elk jaar waar de grootste risico’s liggen en waar we kunnen verbeteren. De security-audit door Deloitte is gebaseerd op hetzelfde NBA-toetsingskader, en gaf ons een extra kritische blik op onze processen. Door er met een externe partij over te praten, kregen we nog scherper wat de statements precies betekenen voor informatiebeveiliging en privacy en hoe we ze nog beter in de praktijk kunnen brengen.’
Van audit naar actie: structureel verbeteren
De externe audit past bij Aventus’ ambitie om procesmatiger en meer risico-gebaseerd te werken. ‘We willen structurele verbeteringen doorvoeren om te voorkomen dat we geleefd worden door incidenten. We gingen ervan uit dat we zouden zakken ten opzichte van de Benchmark IBP – de ervaring leert dat een externe audit vaak een kritischer beeld geeft. We zijn dan ook blij dat deze audit vooral laat zien dat we goed op weg zijn. Deloitte’s aanbevelingen komen overeen met belangrijke onderdelen van ons jaarplan, waarmee we proactief werken aan cyberveiligheid. De externe blik heeft ons geholpen om nog gerichter keuzes te maken en prioriteiten te stellen.’
Audit brengt bredere betrokkenheid
De security-audit draagt volgens de twee ook bij aan draagvlak voor cybersecurity bij stakeholders in de organisatie. ‘Cyberveiligheid is niet alleen een feestje van de IT-afdeling,’ licht Fung Yee toe. ‘ Sommige statements van het NBA-toetsingskader hebben betrekking op bijvoorbeeld HRM, Finance en risicomanagement. Ook deze afdelingen moesten dus vragen beantwoorden. Dat vergroot de bewustwording dat informatiebeveiliging een gezamenlijke verantwoordelijkheid is, en verder gaat dan alleen de IT-afdeling. Het is belangrijk dat die bewustwording er binnen de hele organisatie is. Een onafhankelijke, externe toetsing heeft dan toch meer lading dan een eigen assessment.’
Commitment voor cybersecurity
Ellen vult de security-officer aan: ‘Door deze objectieve toets weten we nu dat we een realistisch beeld hebben van de staat van onze informatiebeveiliging. Dat we in ons jaarplan op de juiste punten gas geven en prioriteiten stellen. Zo helpt de audit om meer commitment voor cybersecurity te krijgen, niet alleen bij de stakeholders binnen onze instelling. Het rapport van Deloitte helpt ook om richting de Raad van Toezicht en de externe accountant te verantwoorden dat we de juiste stappen ondernemen.’
Gestructureerde aanpak
Een security-audit door een externe partij vraagt om een goede voorbereiding. ‘We hebben daar bewust voldoende energie in gestoken’, vertelt Fung Yee. ‘Gelukkig hadden we al veel bewijsmateriaal van andere audits, maar het kost tijd om alle documenten, inclusief argumentatie, bij de juiste statements in Trustbound te plaatsen. Het hielp dat ik kon terugvallen op Henry (de CISO as a Service vanuit het programma Cyberveiligheid, red.). Ik hoefde dus niet helemaal zelf uit te zoeken hoe je een audit in Trustbound voorbereidt.’
Stakeholders vooraf én achteraf informeren
Het informeren van de stakeholders is een essentieel onderdeel van het auditproces en de voorbereiding daarop. ‘Om de audit vlekkeloos te laten verlopen, zijn betrokkenen vooraf op de hoogte gesteld van de bedoeling en het proces van de audit. En hebben we met de bestuurder en directeuren afgestemd over hoe de audit ons helpt groeien in volwassenheid.’ Voor Fung Yee was het ook cruciaal dat alle betrokken stakeholders op de hoogte werden gebracht van de resultaten. ‘Daarom hebben we ook alle betrokken directeuren uitgenodigd voor de presentatie door Deloitte. Dat verhoogt de commitment binnen alle geledingen van Aventus over wat ons volgens het jaarplan te doen staat.’
Lessen voor andere mbo-instellingen
Zowel Ellen als Fung Yee is ervan overtuigd dat de security-audits ook andere mbo-instellingen helpen om hun cyberweerbaarheid te verhogen. ‘Zie de audit vooral niet als last, maar als een hulpmiddel om te groeien’, is het advies van Fung Yee aan haar collega’s bij andere instellingen. ‘Het geeft je een objectief beeld van waar je staat en waar je kunt verbeteren. En begin op tijd met de voorbereidingen en schakel vooral de hulp in die vanuit het programma Cyberveiligheid beschikbaar is!’
Heldere boodschap voor bestuurders
Ook Ellens boodschap voor mbo-bestuurders is duidelijk: ‘Cyberveiligheid is chefsache. Als je dit strategische thema niet op orde hebt, heeft dat brede impact. Digitale weerbaarheid is een organisatiebrede verantwoordelijkheid, want het raakt niet alleen IT maar ook HR, finance en inkoop. Een security-audit helpt om dit op de agenda te zetten en structureel te verbeteren.’ Daarnaast komen de mbo-brede audits volgens de bestuursvoorzitter van Aventus de hele sector ten goede. ‘We kunnen ze gebruiken als benchmark, om van elkaar te leren en de best practices te delen. Daarmee maken we samen het hele mbo digitaal weerbaarder.’
Informatie over security-audits
Wil je meer weten over de security-audits vanuit het programma Cyberveiligheid? Of wanneer Deloitte de audit bij jouw instelling uitvoert? Neem dan contact op met Evie-Janne van Noorel.