Benchmark IBP-E 2020 gepubliceerd

vrijdag 18 december 2020 Martijn Bijleveld

Vanaf 2015 wordt binnen de mbo-sector jaarlijks de Benchmark IBP-E uitgevoerd; een gecombineerd zelfassessment met betrekking tot Informatiebeveiliging (IB), Privacy (P) en Examinering (E). De benchmark is dit najaar voor de zesde keer afgenomen en laat opnieuw een groei in volwassenheid zien. Maar er is ook ruimte voor verbetering.

De benchmark meet de volwassenheid van de instellingen op Informatiebeveiliging, Privacy en Examinering aan de hand van in totaal 140 statements/beheersmaatregelen. De instellingen scoren hun volwassenheid voor elk statement op een schaal van 1 tot 5, volgens het capability maturity model (CMM). De mbo-sector heeft als ambitie om gemiddeld op een 3,0 uit te komen. Dat wordt dit jaar net niet gehaald, hoewel er opnieuw een flinke stap in die richting is gedaan.

De gemiddelde volwassenheid op elk van de drie hoofdonderdelen komt dit jaar uit op 2,8. Ook de deelname is toegenomen naar 97%; 57 van de 59 mbo-instellingen hebben meegedaan en dat mag gezien worden als een hele prestatie in dit turbulente jaar.

Een nadere beschouwing van de clusters van het onderdeel Informatiebeveiliging legt onderlinge verschillen bloot. Cluster 1; “Beleid en organisatie”, doet het gemiddeld genomen goed, omdat er in de afgelopen jaren door veel instellingen is ingezet op het ontwikkelen, laten vaststellen en het communiceren van beleid. Niet alleen omdat dit vaak als ‘laaghangend fruit’ wordt bestempeld, maar ook omdat dit het fundament is voor veel van de maatregelen die in het kader van de overige clusters gerealiseerd moeten worden. Ook de meer technische, beheersmatige clusters zoals “Ruimten en apparatuur” en “Continuïteit” (waaronder bijvoorbeeld het maken van back-ups) scoren relatief goed; de meeste instellingen hebben die technische zaken wel op orde.

Cluster 6; “Controle en logging” blijft door de jaren heen een punt van zorg en we zien ook in dit jaar dat het wat achterblijft. Het beeld is dat er wel van alles wordt gelogd, maar die informatie nog niet wordt gebruikt om veiligheidsrisico’s vroegtijdig op te sporen en te beperken. Inmiddels zijn er wel ontwikkelingen op dit gebied, mede getriggerd door de ransomware-aanval bij de Universiteit van Maastricht, eind 2019.

Meer lezen? De Regiegroep IBP in het mbo heeft het rapport van deze benchmark gepubliceerd in het Framework IBP en het is rechtstreeks te downloaden via www.sambo-ict.nl/ibpdoc11f.

Meer informatie over deze benchmark of over IBP in het algemeen? Neem contact op met Martijn Bijleveld.

Reacties (0)
Geef een reactie