De BIO-standaard onder controle krijgen
Te veel apps, geen overzicht
Zoals elke gemeente biedt Waterland een breed scala aan diensten voor haar inwoners, van huisvesting en ruimtelijke ordening tot lokale bedrijven en het sociale domein. Elk leunt op zijn eigen software, en het resultaat was een uitgestrekt IT-landschap, veel applicaties om te beveiligen, en een IT-team dat veel kleiner was dan een stad als Amsterdam zou kunnen inzetten. Om aan de BIO-standaard te voldoen, had de gemeente een ISMS nodig dat uiteindelijk elke vereiste maatregel in één overzicht kon samenbrengen.
Jimmy Voskuil, CISO bij Waterland, herinnert zich het startpunt: "Het implementeren van de maatregelen voor onze ISO- en BIO-certificering was erg ad hoc. Wat we het meest misten, was één applicatie die het hele plaatje liet zien. Er waren geen automatische herinneringen, geen meldingen over de controles die we nog moesten implementeren, en geen echt Plan-Do-Check-Act-ritme."
NIS2 zette de klok
NIS2 zette een goede intentie om in een deadline. De wetgeving trad in maart 2024 in werking en de handhaving startte in oktober 2024, en zodra deze van kracht is, wordt een ISMS verplicht voor gemeenten, samen met maatregelen zoals tweefactorauthenticatie. Waterland had een pragmatisch ISMS nodig, en wel op tijd.
Operationeel in vijf maanden
Waterland koos voor de combinatie van ISOPlanner™ en Instant 27001, een ISMS dat wordt geleverd met ingebouwde sjablonen en voorbeelden, wat het tempo mogelijk maakte.
Voskuil vult aan: "We zijn in augustus 2022 gestart en het ISMS was in december live, operationeel binnen vijf maanden, terwijl dit organisaties doorgaans een jaar kost. De sjablonen maakten het veel eenvoudiger om te beslissen hoe elke norm geïmplementeerd moest worden; het is altijd makkelijker om te reageren op een uitgewerkt voorbeeld dan alles vanaf nul te bedenken. Het sjabloon voor de verplichte stakeholderanalyse was bijvoorbeeld een grote hulp. We hebben het proces in de eerste afdeling afgerond, en de komende maanden zullen we de andere afdelingen er ook doorheen leiden."
Het moest in Microsoft draaien
Voskuil vervolgt: "Voor een kleine gemeente zoals de onze is informatiebeveiliging net zo belangrijk als voor een grote, maar een groot, duur ISMS was nooit een optie. We hebben de aanbestedingsprocedure gevolgd en met vier partijen gesproken over de implementatie van een ISMS."
Hij vervolgt: "We wilden een snelle implementatie waarbij veel voorwerk al gedaan was, en het moest voldoen aan onze beveiligingseisen, waaronder single sign-on. Microsoft-integratie was niet onderhandelbaar, omdat dit de Plan-Do-Check-Act-cyclus aanstuurt. De andere drie hadden geen Microsoft-integratie, waardoor documenten vastzaten in een leveranciersomgeving. Met ISOPlanner™ en Instant 27001 komen taken en triggers via die integratie direct in Outlook terecht, en dat is wat de uiteindelijke implementatie van onze maatregelen waarborgt."
Prijzen die met u meegroeien
De prijs speelde ook een belangrijke rol bij de keuze voor ISOPlanner™ en Instant 27001. Voskuil legt uit: "Als kleinere gemeente paste een model gebaseerd op het aantal gebruikers ons perfect. We konden zelf nieuwe mensen toevoegen, zonder telkens terug te hoeven naar de leverancier. We hadden nog geen ISMS, dus de eerste fase ging puur over het opbouwen ervan; pas later waren we klaar om meer gebruikers en afdelingen toe te voegen.
Dat model stelt ons in staat om elke stap rustig voor te bereiden, één voor één. Een volledig afgerond ISMS vooraf doet wonderen voor de acceptatie van een nieuw systeem, en het betekent dat we eventuele problemen kunnen oplossen voordat we de volgende afdeling aansluiten."
Een Voorsprong op Risico
Een andere echte bonus waren de 40 standaardrisico's die ingebouwd waren. Voskuil: "Certificering komt uiteindelijk neer op risicovermindering: je neemt een maatregel, stelt het effect ervan vast, implementeert deze correct en controleert vervolgens of het oorspronkelijke risico acceptabel is geworden.
Instant 27001 en ISOPlanner™ gaven ons standaard ongeveer 40 risico's. We gebruikten deze als uitgangspunt en vormden van daaruit onze eigen risicoanalyse. Zelfs waar onze risico's anders waren, was het veel gemakkelijker om te besluiten tegen iets dat al bestond, dan om het hele traject vanaf een blanco pagina uit te stippelen. Dat bleek vooral waardevol in interne discussies, en het hielp mensen de maatregelen te accepteren."
Klaar vóór de Factuur
Omdat zoveel van het voorbereidende werk al gedaan is, is het platform prettig in gebruik. De stappen volgen een logische volgorde en de standaardrapporten zijn precies wat een kleinere gemeente nodig heeft, zonder dat er extra werk nodig is. Het veelzeggende detail: de app was klaar voor gebruik voordat de factuur zelfs maar betaald was, en de basis voor certificering was al gelegd.
Eén keer vragen, voorgoed opgelost
Het team van ISOPlanner™ is gemakkelijk te bereiken en updates verschijnen in een gestaag tempo. Wanneer een gebruiker een vraag stelt, wordt deze niet alleen beantwoord, maar ook ingebouwd, zodat de volgende persoon nooit tegen hetzelfde probleem aanloopt.
Onder de Aanbestedingsgrens
De kostenstructuur was op zich al een pluspunt. Waterland volgde nog steeds de volledige aanbestedingsprocedure, maar de prijs bleef ruim onder de grens van €12.500.
