Klant sinds 2022
Gemeente Waadhoeke maakt gebruik van CISO as a Service
Sybrand Doevendans van Waadhoeke over interim-CISO Jeroen Koster: ‘Goede match met zowel de organisatie als de mensen’
Gemeente Waadhoeke
Naast audits, oplossingen voor data-analyse en software voor planning en controle, helpt Inergy organisaties ook bij het waarnemen van functies op het gebied van informatiebeveiliging. Zo versterkte consultant informatiebeveiliging Jeroen Koster dit jaar het team van de gemeente Waadhoeke als interim-CISO. Hij werkte nauw samen met Sybrand Doevendans, toen nog de FG en inmiddels de nieuwe CISO van de gemeente.
“Onze gemeente ligt in het noordwesten van Friesland en is in 2018 ontstaan door samenvoeging van de toenmalige gemeenten Franekeradeel, het Bildt, Menaldumadeel en vier dorpen uit de gemeente Littenseradeel”, vertelt Sybrand. “De gemeentelijke organisatie kenmerkt zich door nuchterheid en korte lijnen. De rollen van FG en CISO zijn allebei goed gepositioneerd en hebben, mede door steun van directie en bestuur, veel slagkracht.”
Goede match
Waadhoeke maakt gebruik van het LIAS ISMS en laat Inergy ook audits afnemen. Sybrand: “Het is een toegankelijk bedrijf en de medewerkers denken goed mee met hun klanten. Toen bleek dat wij zonder CISO zaten, hebben ze aangegeven dat ze die rol ad interim zouden kunnen invullen. Vervolgens hebben ze voorgesteld om Jeroen Koster hiervoor in te schakelen. Dat was een goede match met zowel de organisatie als de mensen.”
“Vanaf het moment dat Jeroen hier kwam werken, hebben we samen opgetrokken. Zijn kennis van informatiebeveiliging en mijn kennis van de organisatie kwamen samen als in een goed bestuurde tweemansbob. Persoonlijk klikt het goed, Inergy heeft ook daar de juiste combinatie weten te maken.”
Dagdynamiek vs. langetermijnvisie
Omdat hij maar twee dagen per week aanwezig was, richtte Jeroen zich vooral op de dagdynamiek zoals het managen van de lijnorganisatie. “Denk bijvoorbeeld aan het toetsen van beveiligingsmaatregelen van nieuwe applicaties en het oppakken van incidenten. Daarnaast heeft hij de ENSIA-audit begeleid en het LIAS ISMS verder ingericht.”
Sybrand, die al jaren in dienst is bij de gemeente, bracht de langetermijnvisie in. “Zo heb ik een voorschot genomen op de invulling van mijn nieuwe functie als CISO, door ook de wensen van de organisatie en de strategische belangen alvast te agenderen. “
Bredere scope
“Als CISO heb je een bredere scope dan als FG”, constateert hij. “Informatiebeveiliging gaat immers veel verder dan de veiligheid van persoonsgegevens. Voordeel is dat je als CISO dwingender kunt optreden dan als FG, ook als het gaat om de keuze voor bepaalde software en het doorvoeren van technische oplossingen. Maar het is wel zaak dat je de grenzen bewaakt: als CISO constateer en adviseer je. Je voert niet uit.”
Integrale veiligheid
Samen met zijn collega’s wil Sybrand allereerst de risico’s die er nog zijn en kunnen ontstaan verder inventariseren. “Daarbij zijn de BIO en soortgelijke kaders belangrijk, maar integrale veiligheid is veel breder. Want hoe voorkom je dat medewerkers slachtoffer worden van social engineering? Wat gebeurt er als er iemand het gebouw binnenkomt? Hoe borg je de veiligheid dan? Ik neem dan ook regelmatig de tijd om te testen of en hoe ik die veiligheid kan doorbreken. Verder volg ik trends op de voet, onder andere door podcasts te beluisteren die de – soms duistere – wereld van informatiebeveiliging inzichtelijk maken en best practices ervan belichten. Denk bijvoorbeeld aan Darknet Diaries, Hacked en CISO Tradecraft.”
Last line of defense
Zolang alles goed gaat, ziet lang niet iedereen het belang van de – preventieve –maatregelen. “Daardoor is de CISO niet altijd de meest populaire functionaris”, zegt Sybrand lachend. “Ik probeer het dan uit te leggen door de risico’s die we als organisatie lopen te vertalen naar het persoonlijke. Vaak hoor je mensen zeggen dat ze niets te verbergen hebben. Maar iedereen heeft informatie die beschermd moet worden, zoals wachtwoorden, persoonlijke informatie en foto’s van jezelf of van je kinderen. Als iemand zich dat realiseert, kun je hem of haar op het gebied van informatiebeveiliging en privacy vaak intrinsiek motiveren om bewuster en bekwamer met gemeentelijke informatie om te gaan. Ik zie mijn collega’s dan ook niet als de zwakste schakel, maar juist als de last line of defense.”
Zien is geloven. Vraag een gratis demo aan.
In een gesprek en demonstratie wordt alles zoveel duidelijker.