De uitdaging: IT en security op eigen kracht
”Tot voor 2024 was HMS een onderdeel van Renewi. De gemeente Den Haag besloot als enig aandeelhouder van HMS om afscheid te nemen van Renewi. Hierdoor moest HMS zelfstandig verder. Waar HMS voorheen grotendeels leunde op de IT- en securityvoorzieningen van Renewi, moest er in korte tijd een eigen IT-omgeving worden ingericht. Dit bracht direct uitdagingen met zich mee. Contracten moesten worden aanbesteed en gegund, werkplekken en applicaties ingericht en de collega’s moesten worden meegenomen in deze verandering. Dit alles gebeurde onder hoge tijdsdruk, aangezien de volledige omgeving binnen zes maanden operationeel moest zijn.
Hoewel de focus logischerwijs lag op de transitie en operationele continuïteit, ontstond al snel een cruciale vraag: hoe staat het eigenlijk met onze digitale veiligheid? Welke risico’s lopen we als zelfstandige organisatie? En hoe goed is de informatiebeveiliging in onze gehele keten geborgd? Het was cruciaal om dit inzichtelijk te krijgen.
Om deze vragen te beantwoorden, heb ik mijn netwerk geraadpleegd. Daarbij viel de naam Legian meerdere keren. Een groot voordeel was dat zij al eerder met Renewi hadden samengewerkt. De collega’s die destijds bij die samenwerking betrokken waren, waren zeer positief over de expertise en dienstverlening van Legian.”
De gewenste oplossing: juiste aanpak, inzicht en roadmap
“Het eerste gesprek was met Hasan Demir (sales lead). Ik was ervan overtuigd dat we moesten beginnen met een pentest. Zijn reactie was niet: “Nee, dat is een slecht idee,” maar eerder: “Waarom wil je dat?” Vanuit zijn expertise en praktijkervaring stelde hij voor om breder te kijken. “Als jij een pentest wilt, regel ik dat voor je. Maar is het niet passender om te starten met een CIS-assessment dat breder kijkt?”
In het volgende gesprek introduceerde hij Legian Legend Michael van Stokrom (cyber security consultant). Michael gaf aan vaker met dit vraagstuk te maken te hebben gehad en zijn visie op onze opdracht deelde, gebaseerd op onze situatie. Wat mij direct aansprak was dat hij niet primair naar techniek keek, maar juist naar de samenhang met de mensen en de organisatie. Toen dacht ik: dit is precies wat we zoeken. We kunnen beginnen.”
Het resultaat: resultaat, grip en bewustzijn
“De aanpak was tweeledig. We startten met het CIS-assessment voor de nulmeting. De resultaten van het eerste assessment vielen mij aanvankelijk wat tegen, maar dit kon na nadere analyse samen met Michael in perspectief geplaatst worden. Gezien de snelheid waarmee we de transitie moesten realiseren, was een aantal componenten nog niet geborgd volgens de CIS-benchmarking. We koppelden de nulmeting direct aan ‘CISO-as-a-Service’. Zo konden we na het assessment direct doorpakken en voorkomen dat het proces na de eerste analyse stil zou komen te liggen. Inmiddels hebben we enorme vooruitgang geboekt: bij het tweede assessment scoorden wij ruim hoger.
Michael is vanuit zijn rol nauw betrokken bij het gehele proces. Hij helpt niet alleen om de weerbaarheid te verhogen, maar ook om het bewustzijn te vergroten en onze ketenpartners mee te nemen. Het spreken van ‘HMS-taal’ is essentieel om complexe technische materie begrijpelijk te maken voor iedereen. Michael vraagt niet: “Wat is technisch nodig?”, maar: “Hoe kan ik collega’s helpen inzien hoe belangrijk security is?” Dankzij deze aanpak landden bijvoorbeeld de NIS2-bestuurstrainingen bij het managementteam. Daarnaast is de samenwerking met ketenpartners cruciaal; het gedeelde advies over te nemen maatregelen zorgt voor een verhoogde veiligheid in de gehele keten.
En nu? We gaan door op de ingeslagen weg. Elke twee weken hebben we een security-overleg. Dit dient als voorbereiding op de NIS2-richtlijnen en als aanloop naar het volgende assessment. Daarbij leggen we de lat telkens weer een stukje hoger.”
''Michael vraagt niet: “Wat is technisch nodig?”, maar: “Hoe kan ik collega’s helpen inzien hoe belangrijk security is?”.''
Mohammed Ismail, coördinator ICT bij HMS
Tip(s) voor anderen: maak er geen IT-show van
“Maak van informatiebeveiliging geen technisch IT-feestje, maar betrek de business er vanaf dag één bij. Maak ook direct duidelijk dat security geen project is met een vaste einddatum, maar een continu proces dat onderdeel wordt van de dagelijkse bedrijfsvoering.
Je kunt in één keer van A naar B willen, maar dat brengt vaak veel stress met zich mee. Door kleine stappen te zetten houd je grip op het proces en de voortgang. Dit maakt het proces overzichtelijker en geeft je de ruimte om de reis echt te beleven. Bovendien dwingt het je om een goed continuïteitsplan op te stellen en voldoende middelen beschikbaar te stellen.
Accepteer dat het begin wat stroef kan zijn, bijvoorbeeld bij een eerste assessment. Onze ervaring is dat het de volgende keren veel soepeler gaat: je weet waar je de informatie kunt vinden en welke aanpak het beste werkt,” aldus Mohammed.
