Klant sinds 2019

Gemeente Leeuwarden

De gemeente Leeuwarden pakt de informatiebeveiliging en privacy van burgers en bedrijven uiterst serieus en professioneel aan.

Lees verder

Leeuwarden kan niet meer zonder een GRC-tool

De gemeente Leeuwarden pakt de informatiebeveiliging en privacy van burgers en bedrijven uiterst serieus en professioneel aan. Freddy Dijkstra, sinds drie jaar CISO bij de gemeente Leeuwarden, heeft een gedegen beveiligingsorganisatie neergezet. Samen met zijn team, de stakeholders binnen de gemeentelijke organisatie en collega’s van de IT-afdeling werkt hij hard om de gemeente Leeuwarden, Waadhoeke, Noardeast- Fryslânde Waddeneilanden en de Dienst Noardwest Fryslân nog veiliger te maken. We bevragen hem over een aantal onderwerpen op het gebied van informatiebeveiliging en privacy.

Even voorstellen

Freddy was voorheen werkzaam in het sociaal domein en vanuit die rol was hij al snel overtuigd van het belang van privacy. “Zeker in het sociaal domein heb je te maken met zeer privacygevoelige informatie en wil je de persoonsgegevens goed beschermen. Je wil niet dat de gegevens van deze kwetsbare groep op straat komen te liggen. Daar is mijn affiniteit met security begonnen.”

Leeuwarden is de hoofdstad van de provincie Fryslân en heeft een belangrijke centrumfunctie voor de regio. De gemeente heeft haar ondersteunende diensten omgevormd tot het Shared Service Center Leeuwarden (SSC). Het SSC levert diensten op het gebied van Financiën, Communicatie, Facilitair Beheer, P&O, Informatie Management en ICT.

Waarom een ISMS?

Leeuwarden heeft een samenwerkingsverband met meerdere gemeenten die allemaal hun ENSIA-verantwoording moeten afleggen. “Omdat we met het LIAS ISMS werken en allemaal met de dezelfde auditor maken we het onszelf een stuk makkelijker. Al deze gemeenten werken in dezelfde ICT-omgeving van het SSC. Op deze manier hoeven de aangesloten organisaties maar één keer te toetsen en voorkomen we daarmee dat we meerdere keren informatie moeten aanleveren.”

“Je kan niet meer zonder een GRC-tool”, aldus Freddy. “Ik ben van de school dat informatieveiligheid en privacy geen feestje van de CISO is maar een taak van ons allemaal. Daarom kan je jouw controls op dit vlak niet meer bijhouden op een Excelsheet, maar moet je een tool hebben die de stakeholders taken en verantwoordelijkheden geeft. Alleen op die manier houd je inzicht en overzicht.”

Freddy ligt zijn werkwijze verder toe. “We werken aan het ‘Three Lines of Defense-model (3LoD)’ voor security en privacy. Daarom hebben we ook een interne IT-Auditor en een ENSIA-coördinator. Het ISMS is hier een onlosmakelijk onderdeel van. We beginnen nu klein en breiden later uit naar verbijzonderde interne controles, meer normenkaders, ISAE3402 en VIC-controles.”

Hoe ondersteunt Inergy jou?

“Onze auditor is Ronald Driehuis. Ronald is een prettige man, uiteraard met ‘blauwe’eigenschappen zoals kritisch en weldoordacht zijn maar ook een meedenker. Hij brengt diversiteit in ons beleid. Hij denk met ons mee zodat wij kunnen verbeteren. Inergy brengt ons inhoudelijk echt verder. Soms komt het voor dat we een norm niet dreigen te halen.

Ronald put dan uit zijn ervaring, mede bij andere organisaties en geeft ons dan advies over de oplossing. Er is uiteraard een professionele afstand tussen mij en de auditor maar toch is het contact persoonlijk.

Ook al blijft de auditor op zijn strepen staan en beweegt hij niet zomaar met mijn wensen mee. Het voelt als een partnership. En dat heb ik wel eens anders meegemaakt.”

Visie op de organisatie van informatiebeveiliging

“Positioneer de CISO dicht tegen het bestuur en directie aan en laat hem strategisch adviseren en handelen. Vroeger was informatiebeveiliging en privacy een echt IT-ding. Dat is natuurlijk al lang niet meer. We kijken nu veel integraler naar bijvoorbeeld het fysieke component, de menselijke component en afspraken met leveranciers.”

Freddy staat achter de visie van de VNG en de IBD over het functieprofiel van de CISO. “In de praktijk is de CISO nog te vaak bezig met brandjes blussen en moet hij tactisch invulling geven aan BIO. Als je daarnaast ook strategisch beleid moeten maken. Dan werk je op drie lagen en dat is niet te doen.”

“Je moet in mijn ogen een aparte ENSIA-coördinator aanstellen. Die kan het proces van informatie ophalen coördineren. Omdat je als CISO ook informatie aan moet leveren moet je die dubbelrol niet willen spelen.

Daarnaast is een interne IT-auditor essentieel. Zij doet in Leeuwarden al het voorwerk voor de controles van de accountants zoals de IT-controls en application-controls van alle financiële pakketten die in scope zijn van de jaarrekening. Er is veel overlap in taken en verantwoordelijkheden met de CISO zoals logische toegang en beveiliging van ICT. We leunen op elkaars bewijsstukken en hebben een intensieve samenwerking.”

Grootste uitdagingen voor de komende jaren

De gemeente maakt zich niet meer alleen druk om de informatiebeveiliging binnen de muren van het gemeentehuis, maar ook van de burgers en het MKB in de gemeente. Het gaat om cybersecurity in de bredere zin. “In Leeuwarden hebben we een cyberagenda waarin cyberbewustzijn bij jongeren, MKB en de agrarische sector aan bod komen.

Ik werk als CISO samen met de adviseurs openbare orde en veiligheid om samen tot een integrale aanpak en preventie voor cyberveiligheid te komen.”

De bewustwording van medewerkers op dit vlak is en blijft belangrijk. Zij zijn het meest vatbaar voor bijvoorbeeld een configuratiefout, een phishing-mailtje of ander menselijk handelen. “Ik bekijk dit liever positief en ga uit van hun kracht. Zij zijn dan ook de sterkste schakel”, aldus Freddy.

De derde grote uitdaging is een cybercrisis voorkomen. “Het is niet de vraag of, maar wanneer je een cyberaanval krijgt. Daarom bouwen wij voortdurend aan onze cybercrisisorganisatie om ons weerbaar te maken tegen eventuele aanvallen. En we gebruiken de werkpakketten van de IBD om te oefenen op dit vlak.”

Freddy heeft nog een laatste droom. Hij zou, net als ‘Hâck The Hague’, een ‘Hack Fryslân’ willen organiseren. Wanneer de tijd het toelaat, gaat hij daarmee aan de slag.