7/9
  • Pages
01Home
02Voorwoord
03De Gemeentelijke Werkomgeving
04Het nieuwe werken
05Multi-cloud voor een efficiënte werkomgeving
06Verduurzamen met IT
07Security
08De kracht van samen
09Contact

Security

‘Wacht niet tot je gedwongen wordt om te moderniseren’

Roel Wijnands Chief Information Security Officer (CISO)

De werkplek – thuis of op kantoor – is het startpunt voor elke organisatie en elke medewerker. Tegenwoordig is die werkplek veelal de computer. De computer bewaart informatie, zorgt dat je kunt communiceren en samenwerken en nog veel meer. En het is niet alleen het apparaat zelf, daaromheen zit een complex van standaarden, veiligheidsmaatregelen en (gedrags)regels. Een goede werkplek is veilig en vertrouwd voor gebruikers en organisaties.

Roel Wijnands is chief information security officer (CISO) bij Centric. Gezien zijn functie is het niet verwonderlijk dat vertrouwen wat hem betreft heel dicht tegen veiligheid aanzit. “Security is overigens niet hetzelfde als geheimzinnigheid, een misverstand dat ik vaak tegenkom. Centric is open over wat we zelf aan beveiliging doen. Onze stelling is: we kunnen onze klanten alleen veilig houden als we dat zelf ook zijn. Dus staan we open voor kritiek. Het is niet erg om te weten waar het niet goed gaat, want dan kun je daarnaar handelen. Het is erger als je het niet weet.” Datzelfde bewustzijn ziet Wijnands ook graag bij gemeenten, zeker waar het gaat om de veiligheid van de werkplek. Is er dan reden tot zorg? “Sommige gemeenten blijven wat hangen in traditionele werkwijzen en inrichtingen. Beslissingen over een moderne werkplek worden vaak op de lange baan geschoven. En dat begrijp ik, gezien de hectiek van de gemeentelijke praktijk. Maar de digitale wereld verandert dagelijks. Dan is wat je hebt misschien prima voor het nu, maar zeer waarschijnlijk niet voor de toekomst.”

Houd zelf grip

De overgang naar een moderne werkplek moet niet ingegeven worden door het moeten veranderen om het veranderen. Het heeft alles te maken met toekomstbestendig zijn. Wijnands geeft een voorbeeld: “Authenticatie en autorisatie vinden vaak nog plaats op een lokale server. Maar door de vele nieuwe applicaties en technieken rondom dat proces, kan dat straks gewoonweg niet meer lokaal. De transitie naar de cloud is al langer ingezet, bijvoorbeeld met Microsoft Azure Active Directory: een veelgebruikte authenticatieservice. Daarom is het advies: start het traject om naar de cloud te gaan. Er komt een moment dat je gedwongen wordt. Houd zelf grip en controle op die verandering.”

Nog een voorbeeld: iedereen met een computer of smartphone weet dat er regelmatig updates beschikbaar komen. “Zowel in de privéomgeving als in een werkomgeving gebeurt dat steeds vaker. In toenemende mate heb je zelf niet eens meer de keuze of een update wel of niet wordt uitgevoerd. Voor SaaS-applicaties worden updates namelijk door de leverancier gedaan en bij elke update verandert er wel wat. Het is daarom ook van belang dat bedrijfsprocessen zo zijn ingericht dat ze wendbaar zijn. Want de enige constante is de verandering.”

Dure Frisbee

Een veelgehoorde opmerking is dat de mens de sterkste en de zwakste schakel is als het over security gaat. Wijnands beaamt dat. Maar hij pleit tegelijkertijd voor mildheid jegens het menselijk gedrag. “Op een phishing-link klikken is niet dom; het kan ons allemaal gebeuren. Als organisatie moet je ervoor zorgen dat door zo’n incident niet het hele serverpark omvalt. Dat doe je door een layer of defence te bouwen en te werken aan zero-trust. Het hebben van een moderne werkplek helpt hierbij. Op het moment dat een laptop vervangen moet worden, moet je die veilig kunnen weggooien, een nieuwe laptop pakken en vandaaruit weer verder kunnen werken. Bestanden opslaan in de cloud en niet meer lokaal op laptops helpt hierbij. Ik zeg altijd, een laptop is net een dure frisbee: je pakt hem op en gooit hem weg. Het moet geen boemerang zijn die in je gezicht terugkomt.”

Over menselijk gedrag gesproken: levert het geen weerstand op als medewerkers geen baas meer zijn over de eigen laptop? “Dat is niet de basis van de moderne werkplek. De werkgever kan niet zomaar meekijken met wat je allemaal doet. En laten we wel wezen, de werk-pc is een zakelijk device. Dus moet je als goed huisvader voldoen aan de richtlijnen en kaders die jouw organisatie stelt. De werkgevers moeten van hun kant transparant zijn over die kaders; dat geeft vertrouwen.”

In samenspel

Uiteindelijk is het de gemeente die verantwoordelijk is voor de digitale veiligheid van de gemeentelijke werkplek. “Je moet weten wat je kritische processen zijn en welke maatregelen je moet nemen om die te beschermen. De maatregelen moeten wel in verhouding staan met wat je wilt beschermen. De risico’s zijn trouwens niet voor elke gemeente hetzelfde. Centric kan, in samenspel met de gemeente, helpen om de juiste dingen te doen. Een groot voordeel is dat wij ISO 27001 gecertificeerd zijn, dat we voldoen aan standaarden als de Baseline Informatiebeveiliging Overheid (BIO) en aan relevante wet- en regelgeving. Wij zorgen ervoor dat de werkplekken die wij inrichten aan die normen voldoen. We weten bovendien wat er speelt bij gemeenten. En met Microsoft hebben we een partnership voor onder andere de moderne werkplek. Je moet je als gemeenten dan ook afvragen: willen we dit allemaal zelf regelen of doen we dit samen met een partij aan wie we dit kunnen toevertrouwen?”

Wendbaarheid en samenhang

“Er komt namelijk echt wel wat kijken bij de inrichting van de moderne werkplek, zeker gezien die continue verandering,” aldus Wijnands. “Je krijgt steeds kleinere processen die ingeregeld worden. De oude legacy-applicatie waaraan vijf jaar lang werd ontwikkeld, is niet meer van deze tijd. Het gaat nu om kleinere applicaties in je landschap die samen één oude vervangen. Daarbij is enerzijds wendbaarheid een must, anderzijds samenhang. Het moet technisch integraal worden geïmplementeerd en ingericht en aansluiten bij de processen eromheen.”

Tot slot ziet Wijnands behoorlijke verschillen in verandertempo bij de gemeenten. “Er zijn gemeenten die erg actief zijn. Andere vinden het goed zoals het nu is en weer andere hechten erg aan hun huidige leveranciers. Bij veel gemeenten sneeuwt het nadenken over modernisering van de werkplek onder in de hectiek. Allemaal begrijpelijk, maar je kunt er niet omheen dat je met een traditioneel ingerichte werkplek je gegevens niet meer goed kunt beschermen. Kijk naar de grote hacks die de afgelopen periode in het nieuws waren. Het is geen kwestie van óf maar wanneer je aan de beurt bent. Mijn boodschap: kom in actie en wacht niet tot het te laat is.”