Hoe verhoog je je informatiebeveiliging met behulp van risicomanagement? 

Hoe zorg je ervoor dat jouw onderwijsinstelling beter bestand is tegen cyberdreigingen? Risicomanagement is dé sleutel om cyberrisico’s inzichtelijk te maken en beheersbare keuzes te maken. Daarom sloegen CISO’s van verschillende hbo-instellingen de handen ineen om praktische tools en inzichten te ontwikkelen.

Risicomanagement: mitigatie en acceptatie

Wat is risicomanagement? Simpel gezegd: het helpt je om cyberrisico’s te identificeren en aan te pakken. René Sterken, CISO van de Zuyd Hogeschool in Heerlen, Sittard en Maastricht, en voorzitter van de Werkgroep Risicomanagement, vertelt hoe risicomanagement in het geval van cybersecurity in zijn werk gaat. Er zijn volgens hem twee paden die je kan bewandelen: mitigatie en acceptatie. “Als je eenmaal weet hebt van een risico, dan kun je ervoor kiezen het risico te mitigeren, of het te accepteren, dat is een kosten/baten-afweging. Bij mitigatie betekent het dat je het risico wegneemt, of deels, en dan accepteer je een restrisico,” zegt Sterken.

In het geval van acceptatie heb je volgens hem een goede cultuur nodig om dat als zodanig uit te voeren. Bij zijn eigen onderwijsinstelling hebben ze dat - gelukkig, aldus Sterken - kunnen bereiken, tot en met het college van bestuur. “Die risico-acceptatie is dan schriftelijk vastgelegd, in een zogenaamd risico-register. Zodat altijd helder is wat besloten is en wie de verantwoording draagt.

Transparant risicomanagement

Deze aanpak is heel transparant. En maakt dat je er ook als bestuurder goed over moet nadenken. “Vroeger trok die bestuurder zijn schouders op, verhaalt Sterken. Zo van: de mensen van security houden het wel veilig en laat de CISO het verder maar uitzoeken. Nu zien de board de werkvloer ook in dat het niet een puur technische aangelegenheid is, maar dat de mens ook een belangrijke factor is, misschien wel de belangrijkste. ”

Het hbo meet, net als het mbo en het wo, hun volwassenheidsniveau op het gebied van informatiebeveiliging aan de hand van het SURFaudit Toetsingskader. Dat getal gaat over veel meer dan alleen risicomanagement, benadrukt Sterken. “Het toetsingskader bestaat uit 69 controls, verdeeld over 15 domeinen. We streven naar een gemiddeld volwassenheidsniveau 3 op alle domeinen. Daar zijn we als sector op dit moment nog niet.”

Hoe verbeter je risicomanagement?

Wil je risicomanagement binnen jouw onderwijsinstelling verbeteren? De werkgroep verzamelde handige tools en best practices om je hierbij te helpen. Je moet bijvoorbeeld denken aan een training, bijvoorbeeld via een Powerpoint-presentatie waarmee je aan het management duidelijk maakt wat risicomanagement precies is. Verder hebben we een risico-analyse methodiek met elkaar gedeeld en een zogenoemd uitrolstappenplan gemaakt: welke stappen moet je zetten als je risicomanagement wilt gaan implementeren, hoe ga je verder en waar wil je op uitkomen.” Daarnaast is er gekeken naar tooling: software om het proces te ondersteunen en te monitoren. Want, zo zegt Sterken, risicomanagement ‘doe’ je liever niet op papier. “Het leek ons wel handig dat je hier tools voor hebt, waarin je de risico’s opvoert, ze rapporteert en kunt opvolgen.”

“De producten zijn ontwikkeld voor het hbo, maar we hopen dat ook andere instellingen en sectoren er hun voordeel mee kunnen doen. En mogelijk is ook de samenwerking voor anderen een voorbeeld. De werkgroepleden weten elkaar bijvoorbeeld nu makkelijk te vinden”, aldus Sterken.