Vanaf januari zijn de Chief Information Security Officers (CISO’s), Randy Baerts en Reza Razai, aan de slag gegaan met een inventarisatie van de situatie per schoolbestuur voor de pilot van CISO as a Service. Bij elke schoolbestuur is een nulmeting op de eerste vier domeinen van het Normenkader IBP uitgevoerd of is er gekozen voor het uitwerken van het groeipad fase 1. In dit artikel brengen we je op de hoogte van de laatste ontwikkelingen rondom de pilot. De bevindingen zijn mede gebaseerd op evaluatiegesprekken met de deelnemende schoolbesturen.
Na de eerste maand van de pilot CISO as a Service werd al snel duidelijk dat de schoolbesturen baat hebben bij praktische en begrijpelijke templates. Waar gestart is met een nulmeting of een stappenplan voor groeipad fase 1 van het Normenkader, werd er al snel overgegaan tot de aanpak. Het Amstelveen College en de Willem de Zwijgerschool, beide deelnemer aan de pilot, geven aan dat het ontwikkelen van dergelijke hulpmiddelen de implementatie van het Normenkader IBP FO kan versnellen. Ook de vertaling van het werk van een CISO naar de praktijk blijkt van grote waarde. “Het is prettig dat we tijdens deze pilot kunnen rekenen op de ondersteuning van de CISO, die ons met zijn expertise en praktische adviezen helpt om concrete stappen te zetten.“
De betrokken IBP-teamleden en managers geven aan dat de ondersteuning van een CISO heeft geholpen om de domeinen, normen en eisen van het normenkader concreter te maken. Zo uitte het Amstelveen College: “Jullie vermogen om zaken terug te brengen tot concrete acties en vanuit jargon te vertalen, werkt voor ons heel prettig.” Stichting Portuur, een van de deelnemende schoolbesturen, ziet de inzet van CISO Randy Baerts als een stok achter de deur is. “We maken eindelijk echt meters,” vertelt Gertjan van der Molen, bestuurder bij Stichting Portuur. “De ‘roadmap IBP’ (gericht stappenplan) richting 2027 biedt een overzichtelijke termijn en een houvast om gefaseerd stappen te zetten.”
Deze ervaringen laten zien dat er in het onderwijs een tekort is aan expertise. Initiatieven zoals deze pilot en de Deep Dive Workshops over het Normenkader IBP helpen om dit tekort (tijdelijk) op te vullen.
Ervaringen en feedback
De eerste reacties op de pilot zijn overwegend positief. Besturen ervaren eindelijk een praktische vertaling van het normenkader, waardoor IBP tastbaarder wordt. “Het normenkader is niet langer een abstract document“, gaf Astrid Bosman van Attendiz aan. “Het wordt onderdeel van onze dagelijkse praktijk.”
Toch zijn er ook verbeterpunten. Zo wordt het ontbreken van praktische, begrijpelijke en duidelijk invulbare templates als een struikelblok ervaren. Daarnaast geven besturen aan dat er behoefte is aan meer inzicht in de vervolgstappen. Het Adelbert College gaf aan dat een visuele roadmap kan helpen om duidelijk te maken welke acties nog nodig zijn.
Ook wordt duidelijk dat de betrokkenheid van het personeel nog verbeterd kan worden. Verschillende bestuurders en IBP-teamleden gaven aan dat IBP nog te veel als een losstaand project wordt gezien en niet als een integraal onderdeel van de organisatie. Hier ligt een kans om het normenkader als hulpmiddel te gebruiken en het bewustzijn en de betrokkenheid van alle medewerkers te vergroten.
Vervolgstappen
De eerste maand van de pilot CISO as a Service laat zien dat de dienst een waardevolle bijdrage levert aan de informatiebeveiliging en privacy binnen de deelnemende scholen. Met deze update hopen we ook de niet-deelnemende schoolbesturen te inspireren en hen indirect te ondersteunen.
Uit de eerste maand van de pilot blijkt dat veel besturen moeite hebben met de vertaalslag van beleid naar uitvoering. Het is duidelijk dat externe ondersteuning voor focus en voortgang zorgt. De doelgerichte aanpak helpt IBP in de dagelijkse praktijk te integreren.
Daarnaast ontwikkelt Kennisnet samen met SIVON templates die besturen helpen om direct aan de slag te gaan. Denk aan invulbare formats en praktische richtlijnen die het makkelijker maken om het normenkader structureel binnen de organisatie te integreren. Zo kan bestaande kennis optimaal worden benut en kunnen gerichte stappen worden gezet richting digitaal veilig onderwijs.