97% van de mbo-instellingen heeft aan de benchmark – te vinden onderaan deze pagina – deelgenomen. Dat zijn 57 van de 59 mbo-instellingen. De benchmark geeft daarmee een betrouwbaar beeld van de stand van zaken rond IBP-E in het mbo. De benchmark is namens de regiegroep IBP in het mbo door Kennisnet en saMBO-ICT uitgebracht en is opgenomen in het ‘Framework IBP in het mbo’.
Benchmark IBP-E
De benchmark meet de volwassenheid van de instellingen op de 3 onderdelen Informatiebeveiliging, Privacy en Examinering aan de hand van in totaal 140 stellingen. De mbo-instellingen scoren hun volwassenheid voor elke stelling op een schaal van 1 tot 5, volgens het capability maturity model (CMM).
De mbo-sector heeft in 2020 als ambitie om gemiddeld op een 3,0 uit te komen. Dat is dit jaar net niet gehaald, hoewel er flinke stappen zijn gezet.
De gemiddelde score op de 3 onderdelen komt dit jaar uit op 2,8. Ten opzichte van de benchmark van vorig jaar is dit een stijging van 0,3. Sinds de eerste benchmark in 2015 is een stijgende lijn te zien en scoren mbo-instellingen steeds hoger op de verschillende onderdelen.
Onderlinge verschillen
Een nadere beschouwing van de clusters van het onderdeel Informatiebeveiliging legt onderlinge verschillen bloot.
Cluster 1 “Beleid en organisatie”, doet het gemiddeld genomen goed, omdat er in de afgelopen jaren door veel instellingen is ingezet op het ontwikkelen, laten vaststellen en het communiceren van beleid. Niet alleen omdat dit vaak als ‘laaghangend fruit’ wordt bestempeld, maar ook omdat dit het fundament is voor veel van de maatregelen die in het kader van de overige clusters gerealiseerd moeten worden. Ook de meer technische, beheersmatige clusters zoals “Ruimten en apparatuur” en “Continuïteit”, waaronder bijvoorbeeld het maken van back-ups, scoren relatief goed; de meeste instellingen hebben die technische zaken wel op orde.
Cluster 6 “Controle en logging” blijft door de jaren heen een punt van zorg. Ook dit jaar blijft het wat achter. Het beeld is dat er informatie wordt gelogd, maar dat die informatie nog niet wordt gebruikt om veiligheidsrisico’s vroegtijdig op te sporen en te beperken. Inmiddels zijn er ontwikkelingen op dit gebied, mede door de ransomware-aanval bij de Universiteit van Maastricht eind 2019.
Bekijk de benchmark IBP-E 2020
Wilt u meer weten over de benchmark IBP-E? De Regiegroep IBP in het mbo heeft het rapport van deze benchmark gepubliceerd in het Framework IBP. Ook is het rechtstreeks te downloaden via www.sambo-ict.nl/ibpdoc11f.