Een dynamische club, de gemeenschappelijke regeling ICT West-Brabant West (ook wel ICTWBW genoemd), een automatisering samenwerking bestaande uit 5 gemeenten waar ik bijna 2 jaar geleden een opdracht kreeg om als tijdelijke CISO informatiebeveiliging verder te professionaliseren en een vaste medewerker als CISO op te leiden.
Als ik in januari 2019 aan mijn opdracht begin, bestaat de GR bijna 3 jaar. De gemeenten Moerdijk, Etten-Leur, Bergen op Zoom, Roosendaal, Tholen zijn de deelnemers en eigenaar van ICTWBW. . Daarnaast verleent ICTWBW nog de ICT-dienstverlening voor een tweetal Gemeenschappelijke regelingen en een tweetal stichtingen. ICT-medewerkers waren zich met allerlei projecten en programma’s aan het voorbereiden voor een transitie van de eigen bestaande ICT-infrastructuur bij elke afzonderlijke deelnemer naar een gemeenschappelijke infrastructuur in nieuwe datacenters. Met deze zogenaamde ‘lift & shift’-projecten, eerst upgraden en daarna verhuizen naar nieuwe datacenter, kwamen complexe problemen bovendrijven. Upgraden naar Windows 2016 servers en Windows 10 werkstations en dat met 5 gemeenten tegelijk blijkt gemakkelijker gezegd dan gedaan.
Van reactief naar proactief
Door het ontbreken van capaciteit van een CISO bij ICTWBW is er tot januari 2019 onvoldoende aandacht voor met de name de governance van informatiebeveiliging. Dit tot ongenoegen van de CISO’s van de deelnemende gemeenten. Zoals je in het verleden wel vaker zag bij automatiseringsafdelingen en automatiseringssamenwerkingen in het bijzonder ligt de focus op het helpen van klanten. Met name door incidentmanagement, het oplossen van problemen, changemanagement, een beetje releasemanagement en een stukje business continuïteit in de vorm van backup en recovery procedures. Op zich niks mis mee maar ook ICTWBW wil in plaats van reactief toch zeker ook proactief op kunnen treden door problemen aan te zien komen en ze op te lossen voordat de klant hiervan hinder ondervindt. Hier kan het implementeren van een goed informatiebeveiligingsbeleid van grote toegevoegde waarde zijn om de proactiviteit van de organisatie goed uit te kunnen nutten.
Wat eerst?
Eerst is er een IB-beleid, IB-governance en een IB-plan vastgesteld door het MT waardoor zij deelgenoot en verantwoordelijk zijn gemaakt voor informatiebeveiliging. ICTWBW schrijft zich in bij de IBD om geïnformeerd te blijven en indien nodig geholpen te worden als er zich majeure beveiligingsincidenten voordoen. Samen met de TISO (Technical Information Security Officer) maken we een vliegende start door heel snel de basis ICT-beveiliging met hulp van de gemeente CISO’s van buiten naar binnen in orde te krijgen. Naast dat we algemene bewustwording-sessies organiseren sluiten we ook regelmatig aan in een afdelingsoverleg. De informatiebeveiliging bewustwording stijgt met sprongen. Ook de Privacy Officer sluit regelmatig aan zodat privacy bewustwording mee lift met informatiebeveiliging. Daarnaast hebben we, CISO en TISO, zelf elke week een overleg met Privacy Officer, FG en MT.
En die CISO’s dan?
Elke 2 weken komen CISO’s van de deelnemende gemeenten en ICTWBW bij elkaar om allerlei zaken door te spreken. Hierbij zie je dat we het moeilijk hebben om afspraken te maken die voor alle gemeenten gelden en werken, maar dit gaat langzaam maar zeker beter. Je ziet dat communicatie en vertrouwen een groot aandeel hebben in de gemaakte afspraken. Ook de governance, wie doet wat en waar ligt de lijn, blijft een discussiepunt. We proberen nu alle procedures die ICT-gerelateerd zijn met alle gemeenten gezamenlijk vast te stellen.
En ICTWBW dan?
Ondertussen zijn we zelf over certificering aan het nadenken. Vanuit de deelnemende gemeenten die zelf aan de BIO (ISO27001) moeten voldoen is de wens ontstaan om door ICTWBW een TPM te laten leveren (thirth party mededeling). Hoewel deze juridisch gezien vanuit de gemeenschappelijke regeling niet noodzakelijk is, is er ook bij ICTWBW de wens om een certificaat te kunnen overhandigen aan de deelnemers als bewijs dat ICTWBW zijn zaken goed op orde heeft.
De TISO, een vaste medewerker van ICTWBW, is langzaam maar zeker naar een volwaardige CISO aan het groeien en met de ondersteuning van het MT komt dit vast goed. Alle medewerkers zijn bewust van informatiebeveiliging en privacy tijdens hun werkzaamheden en bij complexe zaken wordt de CISO geraadpleegd. Hierbij komt informatiebeveiliging by design en privacy by design steeds meer in het DNA van ICTWBW te zitten.
ICTWBW is een hardwerkende dynamische club geworden die inspeelt op de behoefte van de gemeente. Ze zijn zichzelf continue aan het verbeteren en groeien door naar een volgend niveau van professionalisering. Men durft zich kwetsbaar op te stellen, verbeteringen door te voeren en regie te nemen waar nodig. De komende tijd met de oplevering van de nieuwe datacenters zal er weer veel gevraagd worden van de medewerkers maar ik ben er van overtuigd dat ze samen met de deelnemende gemeenten deze verandering ook glansrijk tot een goed einde weten te brengen.
Meer weten?
Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.