MBO instellingen verhogen digitale weerbaarheid en privacybescherming met programma Cyberveiligheid mbo

Het 5-jarig programma Cyberveiligheid mbo speelt een belangrijke rol in het verhogen van de digitale weerbaarheid en de privacybescherming van mbo-instellingen. Het programma is opgezet als reactie op een reeks cyberincidenten in de onderwijssector, waaronder een ransomware-aanval op de Universiteit van Maastricht en aanvallen op de Hogeschool Arnhem-Nijmegen, de Hogeschool van Amsterdam, de Universiteit van Amsterdam en ROC Mondriaan. Deze incidenten hebben veel losgemaakt bij de onderwijsinstellingen, het ministerie van OCW en in de Tweede Kamer, en hebben geleid tot de ontwikkeling van een plan van aanpak om de digitale weerbaarheid van de mbo-instellingen te verhogen.

Cyberveiligheid mbo – Europese aanbesteding van een GRC-applicatie

Een belangrijke activiteit binnen het programma Cyberveiligheid mbo is de Europese aanbesteding van een GRC-applicatie (Governance, Risk Management en Compliance). Deze applicatie helpt de instellingen om de volwassenheid te verantwoorden, de risico's te identificeren en acties voor verbetermaatregelen uit te zetten. Deze applicatie is cruciaal voor de versterking van de cyberveiligheid in het mbo, omdat het de mbo-instellingen in staat stelt om hun digitale omgevingen op een planmatige, risicogebaseerde manier te beschermen tegen cyberrisico’s. En het helpt de sector om overkoepelend een beeld te krijgen waar de grootste risico’s zitten en waar kansen liggen om samen te werken aan maatregelen.

Martijn Bijleveld, programmamanager van Cyberveiligheid mbo van MBO Digitaal, heeft de samenwerking met Victor Meerloo van M&I/Partners als heel waardevol beschouwd. Hij vertelt dat een aanbestedingstraject als die van de GRC-applicatie enorm spannend is, omdat de toepassing voor de komende vijf jaren voor alle 55 instellingen wordt ingekocht en uitgerold. De samenwerking van Victor binnen de werkgroep GRC-applicatie en zijn inbreng in de specificatie van eisen is cruciaal geweest om tot een degelijk pakket van eisen te komen.

Van compliancegebaseerd naar een meer risicogebaseerde aanpak van informatiebeveiliging

Victor heeft een grote rol gespeeld bij de specificatie van het programma van eisen en selectie van de juiste partner. Daarbij werden drie user stories uitgewerkt, van een basaal compliance-gebaseerd scenario tot een volledig risico-gebaseerde werkwijze voor de meer volwassen organisaties. Op die manier werd geborgd dat de applicatie bruikbaar is voor alle mbo-instellingen en dat deze een groeipad faciliteert, van compliancegebaseerd naar een meer risicogebaseerde aanpak van informatiebeveiliging. Dit aspect was cruciaal bij de selectie van een leverancier omdat de verschillen in het niveau tussen de mbo-instellingen groot is. Sommige instellingen zijn heel volwassen en sommige instellingen worstelen nog met het risicogericht werken.

Het meenemen van de mbo-instellingen bij de introductie van de GRC-applicatie is ook een belangrijke succesfactor geweest. De instellingen moeten de applicatie immers actief adopteren. Daarvoor heeft Victor het opleidingsprogramma opgezet waarbij het niet alleen ging om de instellingen te leren werken met de GRC-applicatie, maar ook om ze mee te nemen in het belang om risicogericht te werken.

Een succesvolle aanbesteding

De aanbesteding van de GRC-applicatie is succesvol verlopen en inmiddels is de landelijke SURFaudit benchmark op het gebied van informatiebeveiliging uitgevoerd. Hiervoor hebben alle mbo-instellingen hun volwassenheidsscores ingevuld en aangeleverd via de GRC-applicatie. Victor heeft met zijn expertise op een hele prettige manier een belangrijk bijdrage geleverd aan het bereiken van deze mijlpaal.

Meer weten over informatiebeveiliging en privacy? Lees er hier meer over.