Betere beveiliging dankzij een integraal beleid

“Samen met de gemeente zijn we in staat geweest om het beveiligingsniveau te optimaliseren door het implementeren van een integraal beleid, zowel op het gebied van fysieke beveiliging als op het gebied van informatiebeveiliging.”

Een Nederlandse gemeente met ruim 20.000 inwoners had te maken met toenemende eisen en uitdagingen op het gebied van informatiebeveiliging. Binnen de organisatie was de CISO-rol een deeltijdfunctie; één medewerker mocht een beperkt deel van zijn tijd besteden aan informatiebeveiliging. Omdat dat onvoldoende was om hier goed invulling aan te kunnen geven, werd Sincerus om hulp gevraagd.

Leo Westra, security consultant bij Sincerus, is al sinds de eerste contacten met de gemeente (in 2008) bij dit project betrokken. Westra: “Om te kunnen bepalen wat de voornaamste uitdagingen waren op het gebied van beveiliging binnen de gemeente zijn we begonnen met het uitvoeren van een risicoanalyse. Dit gaf ons inzicht in de voornaamste risico’s waar de gemeente  mee te maken heeft. We hebben daarbij niet alleen gekeken naar ICT-risico’s, maar ook naar de fysieke risico’s. Kort voor aanvang van het traject was een gemeentehuis in een andere, nabijgelegen gemeente afgebrand. Zou dat hier ook kunnen gebeuren? Ook maakte de gemeente zich zorgen over haar relatie met bepaalde bevolkingsgroepen en wilde ze daar gepaste maatregelen op nemen. Daarnaast zouden industriële activiteiten in de omgeving van de gemeente risico’s met zich mee kunnen brengen.”

Sincerus heeft gecertificeerde medewerkers in dienst die in staat zijn analyses uit te voeren op het gebied van fysieke veiligheid. Westra: “Op basis van deze analyses hebben we een totaal risicobeeld voor de gemeente geschetst. Vervolgens hebben we een set van maatregelen opgesteld, die ook daadwerkelijk zijn geïmplementeerd. Het implementeren van deze maatregelen viel samen met een tijdelijke verhuizing van het gemeentehuis naar een nabijgelegen bejaardencentrum vanwege een grootschalige verbouwing. Hierdoor was het mogelijk om rekening te houden met de aanbevelingen die Sincerus had gedaan. De voorgestelde maatregelen konden direct bij de verbouwing worden meegenomen. Tegelijkertijd moest echter ook het tijdelijke onderkomen van de gemeente veilig worden gemaakt. Om dat te realiseren hebben we maatregelen getroffen om het bejaardencentrum tijdelijk aan te passen, zodat de fysieke veiligheid ook daar op het gewenste niveau was.“

Het integraal beveiligingsplan

Het uitvoeren van de risicoanalyse en het implementeren van de maatregelen vormde het begin van de relatie van Sincerus met de gemeente. Sincerus had inmiddels aangetoond een kundig en betrokken partner te zijn. Daarom werden Westra en zijn collega’s gevraagd een integraal beveiligingsplan op te stellen voor de gemeente. Zowel voor de fysieke beveiliging als de ICT-beveiliging. Westra: “We hebben een goed doordacht advies uitgebracht. De gemeente kon zich hierin vinden en vroeg ons te helpen om de mensen binnen de gemeentelijke organisatie te trainen en op te leiden, zodat zij het beveiligingsplan op de juiste manier konden uitdragen en uitvoeren.

Op advies van Sincerus was een jurist als privacy officer aangesteld; de controller moest toezicht houden op de invoering van de beveiligingsmaatregelen en informatie hierover opnemen in de jaarrekening; de CISO was verantwoordelijk voor de daadwerkelijke implementatie en uitwerking van de maatregelen. Ook medewerkers binnen het sociale domein speelden een belangrijke rol in het borgen van de informatieveiligheid. Dit vanwege de gevoelige informatie waarmee zij in aanraking komen. Binnen dit domein bestaat bovendien de noodzaak om toegang te hebben tot bijzondere persoonsgegevens, waardoor specifieke beveiligingsrichtlijnen en extra toezicht vereist is. Alle direct betrokken personen binnen de organisatie werden door Sincerus bij de hand genomen en getraind, zodat zij over de noodzakelijke kennis en kunde zouden beschikken.”

Bewustwordingscampagne voor medewerkers

Niet alleen de direct betrokkenen, maar ook de overige gemeentemedewerkers moeten het belang van informatiebeveiliging en fysieke beveiliging inzien. De gemeente vroeg Sincerus om een bewustwordingscampagne op te starten, zodat ook zij zich hiernaar zouden gedragen. Deze campagne zou moeten leiden tot een verandering in kennis, houding en vaardigheden. Westra: “Samen met de gemeente hebben we een programma opgesteld, welke bestond uit verschillende trajecten, waarbij we zeer gedifferentieerd te werk zijn gegaan. De taal die mensen spreken is namelijk niet voor iedereen gelijk. Het programma is daarom aangepast aan de rollen van de medewerkers. Om de resultaten meetbaar te maken, hebben we KPI’s opgesteld, op basis waarvan we veranderingen in bewustwording objectief zouden kunnen staven.

Het aantal incidenten op het gebied van informatiebeveiliging is een goede graadmeter. Denk hierbij aan incidenten met wachtwoorden, zoals het aantal keren dat medewerkers hun wachtwoord kwijt zijn. Maar we hebben ook fysieke penetratietesten uitgevoerd in de vorm van mystery guest-bezoeken. Worden mensen die niks in het gemeentehuis te zoeken hebben aangesproken door medewerkers of kunnen zij zich vrijelijk bewegen? Mystery guests werden in een eerder stadium geen strobreed in de weg gelegd. Soms konden zij zich zelfs toegang verschaffen tot gevoelige informatie. Na de invoering van het bewustwordingsprogramma werden zij al in een vroeg stadium aangesproken en tegengehouden. Op basis hiervan konden we concluderen dat de bewustwording sterk gegroeid was dankzij de invoering van het programma.”

Bedrijfscontinuïteitsplan als vervolg

Een interessant uitvloeisel van het door Sincerus opgestelde informatiebeveiligingsplan was het bedrijfscontinuïteitsplan. Westra: ”Op basis van de GBA-wetgeving is de gemeente verplicht om in staat te zijn de dienstverlening binnen 24 uur te herstellen, als zich een calamiteit heeft voorgedaan. Om aan deze eis te kunnen voldoen heeft Sincerus de gemeente geholpen een uitwijklocatie in te richten. Vervolgens is deze uitwijk uitgebreid getest.”

De samenwerking tussen de gemeente en Sincerus begon met een analyse en het implementeren van een set maatregelen. Deze is uitgegroeid naar een strategische samenwerking op het gebied van beveiliging. Westra: “Deze relatie is voor ons erg interessant. Samen met de gemeente zijn we in staat geweest om het beveiligingsniveau te optimaliseren door het implementeren van een integraal beleid. Zowel op het gebied van fysieke beveiliging als op het gebied van informatiebeveiliging.”