Bij gemeente Waalre staat informatiebeveiliging al enkele jaren op de agenda. Steeds een stap verder gedreven door audits en zelfevaluaties. Hierbij miste de gemeente de praktische invulling met een goed onderbouwd implementatieplan waarbij informatiebeveiliging wordt geborgd in de organisatie.
Janine Ficheroux, coördinator I&A en projectleider informatiebeveiliging geeft namens de gemeente aan Telengy de initiële opdracht: maak binnen 4 maanden een informatiebeveiligingsplan.
Aan de bak
Er waren in het verleden al meerdere gap analyses gemaakt. Waalre heeft zelf al diverse maatregelen in de voorbije jaren genomen. Maar dit gaf in combinatie met de eerdere gap analyses die zijn gemaakt geen reëel beeld van de huidige situatie. In een selecte groep is de gap analyse opnieuw gemaakt. Telengy heeft een vereenvoudigde methode van risico- en impactanalyse ontwikkeld die een enorme tijdsbesparing oplevert. Deze is ingezet bij Waalre om door afgevaardigden uit de diverse vakgebieden tot een goede analyse te komen. Binnen een maand had Waalre de stand van zaken in kaart, plan van aanpak, top10 van urgente punten en presentatie voor het MT gereed. Het MT staat unaniem achter het plan en verzoekt het projectteam de plannen uit te voeren. Verder wordt de opdracht uitgebreid met een selectie van een ISMS-tool ter ondersteuning van de CISO en een communicatieplan, zodat de CISO door kan pakken op de gestelde eisen die komende jaren op het pad van de gemeente gaan komen.
Janine Ficheroux, coördinator I&A en projectleider informatiebeveiliging:
” John Vloemans heeft ons de afgelopen 6 maanden een enorme boost gegeven waardoor Waalre volgens goede werkwijzen en afspraken, die zijn geborgd in de organisatie, door kan pakken op informatiebeveiliging en de BIG.”
En nu doorpakken
Het projectteam werd uitgebreid met gegevensbeheerder Farhad ShirinZabanAvar, die het eerdere informatiebeveiligingsbeleid heeft geschreven en financial controller Peter Ramaekers, op dat moment mogelijk CISO in spe.
Het huidige informatiebeveiligingsbeleid was opgesteld in 2013 door Farhad, geldig tot 2018, en voldeed op de organisatie-inrichting na nog prima. Hiervan werd wel besloten om volgend jaar een herziening op het beleid in gang te zetten. Los daarvan werd een nieuwe informatiebeveiligingsorganisatie ontwikkeld en vastgesteld. Peter zijn interesse en enthousiasme in de rol van CISO neemt elke week toe en hij besluit om de rol te aanvaarden.
Om niet alle uitvoerende taken op het bordje van de CISO te leggen, kiest Waalre voor een gedegen informatiebeveiligingsorganisatie waarbij Peter de taak heeft gekregen om deze mensen aan te sturen. Samen met een goed ondersteunend ISMS-systeem wordt de beheerlast en een deel van de bewustwording door de gehele organisatie gedragen. Tevens kan ook worden voorgesorteerd op de komende ENSIA- en AVG-werkzaamheden die ook zijn op genomen in het ISMS-systeem.
Ook is er een communicatieplan ontwikkeld om eerst de beveiligingsbeheerder in de vakgebieden en daarna de overige collega’s bewust te maken. Uiteindelijk doel is om in werkwijzen en procedures informatiebeveiliging by design vanaf het begin te borgen in de procedure.
En hoe verder?
Peter heeft er zin in om informatiebeveiliging verder vorm te geven in Waalre. Elk jaar wordt er een nieuwe plan en gap analyse gemaakt en gepresenteerd aan MT en bestuur. Het blijft natuurlijk nog steeds een grote klus, maar door o.a. een ISMS wordt het overzichtelijk en behapbaar. Hij is klaar om de volgende uitdagingen bij informatiebeveiliging zoals ENSIA aan te pakken.
Meer weten?
Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.