Universiteit verbetert aandacht en kwaliteit van Informatiebeveiliging

Universiteit verbetert aandacht en kwaliteit van informatiebeveiliging

Universiteit werkt aan aandacht en kwaliteit van informatiebeveiliging

Organisatie

Een Nederlandse universiteit met circa 34.000 studenten en 6000 medewerkers. De universiteit is leidend in de wereld als het gaat om onderwijs en onderzoek. Onderwijs en onderzoek worden verzorgd en uitgevoerd door verschillende faculteiten vanaf meerdere locaties. De ICT wordt vanuit een centrale dienst gefaciliteerd.

Uitdaging

De universiteit had in de loop der jaren al meerdere initiatieven en activiteiten uitgevoerd op het gebied van informatiebeveiliging. Ook was er een hooggekwalificeerde fulltime CISO aanwezig, die overkoepelende activiteiten uitzette en coördineerde. De uitdaging bij de universiteit was dat de verschillende faculteiten en ondersteunende afdelingen een verschil in aandacht voor informatiebeveiliging en kwaliteit van informatiebeveiliging vertoonden. Daarnaast had de CISO al meer dan genoeg werk en bleek de audit afdeling nog niet voldoende geoutilleerd te zijn voor het uitvoeren van audits; kennis en mankracht ontbrak nog, hoewel er flink geworven werd om nieuwe collega’s te trekken.


De universiteit had behoefte aan een normenkader, auditraamwerk en een audit aanpak. Dit paste perfect bij de aanpak van Audittrail: Voor doen, samen doen, zelf doen.

Universiteit werkt aan aandacht en kwaliteit van informatiebeveiliging

Oplossing

Op basis van de BIHO (baseline informatiebeveiliging Hoger Onderwijs) en het auditstatuut van de universiteit heeft Audittrail een handzame auditaanpak en -normenkader opgesteld. Het normenkader is gebaseerd op de BIHO, maar passend gemaakt voor de universiteit, haar faculteiten en de ondersteunende diensten. De bedoeling van het uitbesteden van deze activiteit aan Audittrail was, dat wij de basis zouden leggen, en daarna de auditafdeling zelf met het de aanpak aan de slag kon. Ook moest het dermate duidelijk en flexibel zijn, dat het eventueel kon dienen als collegiale toetsing door – bijvoorbeeld – collega’s van andere faculteiten of universiteiten.


Om te toetsen of de auditaanpak wel werkt, zijn er drie pilots uitgevoerd. Twee bij faculteiten en een bij een ondersteunende dienst. Tijdens het de pilots hebben de nieuwe auditoren van de auditfunctie direct meegelopen. Naast het toetsen van de goede werking van de auditaanpak, waren de pilots bestemd als een nulmeting en werden de uitkomsten ook daadwerkelijk gebruikt. Een dubbel resultaat dus!

Resultaten

  • Normenkader op basis van de BIHO, pas gemaakt op de organisatie
  • Auditplan en – aanpak, gebaseerd op het auditstatuut
  • Herhaalbaar en door de organisatie zelfstandig uitvoerbaar.
  • Praktische auditresultaten uit de drie pilots
  • Gedegen nulmeting die als basis voor de resultaten van andere afdelingen gebruikt kan worden.

Quote

“ Dankzij het intern getoetste framework kunnen wij nu zelfstandig verder. Voor doen, samen doen, zelf doen in optima forma.”


CISO| Universiteit uit Nederland