Templates bedrijfscontinuïteitsbeheer: samen werken aan weerbaarheid 

Wat gebeurt er als een cyberaanval je onderwijsinstelling stillegt? Hoe snel kun je herstellen na een crisis? Met de juiste bedrijfscontinuïteitsplanning ben je voorbereid op het onverwachte en herstelt je instelling sneller na een incident. Daarom heeft SURF samen met experts praktische templates ontwikkeld om jouw instelling weerbaarder te maken.

Kees Kamphuis (functionaris informatiebeveiliging / CISO, Hogeschool Windesheim) en Erik Post (security consultant, Hanze) ontwikkelden samen met SURF diverse templates op het gebied van bedrijfscontinuïteitbeheer (BCM) die alle bij SURF aangesloten leden kunnen gebruiken.

Wat is bedrijfscontinuïteit?

Bedrijfscontinuïteit is het vermogen van de organisatie, om na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus. Bedrijfscontinuïteitsbeheer (BCM) is het proces waarmee bedrijfscontinuïteit bereikt wordt. Zoals gezegd: een goed ingericht BCM-proces waarborgt de continuïteit van het onderwijs en onderzoek door snel te kunnen herstellen na aan incident. Belangrijk dus.

Als sector samen werken aan weerbaarheid

Elke hogeschool, universiteit en mbo werkt aan weerbaarheid. ‘Dit is geen onderwerp waarop onderwijsinstellingen met elkaar concurreren. Waarom dan allemaal zelf het wiel uitvinden wanneer je hierop ook kunt samenwerken?’ zegt Kamphuis. Het is volgens hem een win-winsituatie. ‘Ten eerste omdat je zelf kennis opdoet over het onderwerp en het voor je eigen organisatie meteen geregeld hebt. Ten tweede omdat je kennis – deze keer in de vorm van templates – beschikbaar stelt en zo andere onderwijsinstellingen sneller op weg helpt. Ten derde omdat je publiek geld zeer efficiënt besteedt en het geld dat je hierdoor bespaart, kunt gebruiken om nog meer te doen om de digitale weerbaarheid te vergroten. En ten vierde de samenwerking tussen instellingen. Je leert elkaar beter kennen en kunt een beroep doen op elkaar als je een keer wilt sparren of in de problemen zit. Je weet elkaar beter te vinden. Door samen te werken, worden we als sector weerbaarder.’

Templates bedrijfscontinuïteitsbeheer: ISO-gecertificeerd en praktisch toepasbaar voor de onderwijssector

Kamphuis: ‘We hebben verschillende templates ontwikkeld, te weten BCM-beleid, bedrijfsimpactanalyse (BIA), bedrijfscontinuïteitsplan (BCP), scenariokaarten en een stappenplan voor implementatie. Allen zijn gebaseerd op de ISO 22301, de norm voor BCM. Daardoor zijn de templates herkenbaar voor wie ISO-normen gebruikt. Ook voor leveranciers en partners is het beter herkenbaar.

Post: ‘Daarnaast hebben we de templates zo eenvoudig mogelijk gehouden. Dat doen we door middel van begrijpelijk taalgebruik, niet meer opschrijven dan strikt noodzakelijk en praktische toepasbaar- en herkenbaarheid voor het onderwijs. Dit maakt het voor andere instellingen eenvoudig om hier direct mee aan de slag te kunnen.’

Werkgroep bedrijfscontinuïteitsbeheer

Kamphuis deed in 2024 mee aan een workshop BCM bij SURF. Daarna is hij binnen Windesheim begonnen met het opstellen van BCM-beleid en heeft hij vervolgens ervaring opgedaan met het uitvoeren van een bedrijfsimpactanalyse (BIA) op een van de bedrijfskritieke processen. Kamphuis: ‘Toen vanuit de HBO-CISO’s de oproep kwam wie wilde meedoen in de werkgroep-BCM kon ik dat dan ook niet weigeren. Naast mijn inhoudelijke betrokkenheid ben ik ook de kartrekker geweest op dit onderwerp.’

Erik Post is inmiddels drie jaar als consultant betrokken bij onderwijsinstellingen, vanuit Cybersecurity Challengers. De eerste twee jaar bij de Rijksuniversiteit Groningen (RUG) en inmiddels bijna een jaar bij de Hanze Hogeschool. ‘Tijdens mijn opdracht bij de RUG hebben we veel gespard over beleid en hoe we dat voor onderwijsinstellingen zouden kunnen verbeteren. Dat leidde tot een verkennende sessie met John Strijker, voorheen CISO RUG en nu CISO bij de Hogeschool Utrecht en Ed de Vries van SURF over een andere vorm van beleid schrijven. Dit mocht ik in mijn opdracht bij de Hanze verder uitbouwen omdat ik hier ook voornamelijk bezig ben met schrijven en implementeren van beleid, zegt hij. ‘Op deze onderwijsinstelling ben ik betrokken bij een project wat als doelstelling heeft de weerbaarbaarheid te vergroten. Dit was ook deel van mijn opdracht bij de RUG.’

De samenwerking binnen de werkgroep verliep buitengewoon goed,’ vervolgt Kamphuis. ‘Met z’n drieën - dat zijn Erik, Ed de Vries van SURF en ik - hebben we de templates ontwikkeld. Daaromheen was een groep van zo’n acht vertegenwoordigers van het mbo, hbo en wo die de stukken kritisch hebben gelezen en van feedback hebben voorzien. Dit werkte erg goed en heeft ervoor gezorgd dat we in slechts drie maanden tijd templates hebben kunnen opleveren.