De wereld verandert, de wet verandert. En die boot wil Dennis Stakenburg, ICT-architect bij de Gemeente Breda, niet missen.
De laatste maanden kwam InSpark, in de vorm van lead consultant security Derk van der Woude, regelmatig over de vloer in Breda. Stakenburg: “Onze filosofie is dat medewerkers anytime, anywhere, on any device moeten kunnen werken.” Lang leve de vrijheid, maar die brengt automatisch meer risico’s met zich mee. “Waar vroeger de beveiliging van de apparaten op een vaste werkplek het aandachtspunt was, verschuift de focus nu naar gebruikers en data. Daar gaat het ICT-architectuurlandschap van de Gemeente Breda langzaam maar zeker naartoe. Een aantal jaar geleden kozen we voor de software van Microsoft Office 365 om die functionaliteiten en faciliteiten te kunnen gaan bieden. De producten die beschikbaar zijn om de veiligheid van informatie, data en gebruikers te kunnen waarborgen, heeft InSpark nu in basis bij ons geïmplementeerd.”
Implementeren en daarvan leren
Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) van kracht. Die datum heeft Stakenburg helder in het vizier. “Ik ben ervan overtuigd dat we binnen nu en een jaar iets moeten doen met informatiebeveiliging. Dankzij de demo-omgeving met live data die InSpark op touw heeft gezet, kan ik enerzijds aan het management laten zien wat dat inhoudt en hoe het eruitziet en anderzijds ontdekken wat wel en niet voor ons werkt. Een aantal producten is net verkrijgbaar, dus ook voor mij hagelnieuw. Hoe veelbelovend features er ook uitzien in een kennismakingsvideo, de vraag blijft hoe ze in ons werkveld uitpakken. Voor één product geeft onze firewall bijvoorbeeld te weinig informatie mee om er optimaal gebruik van te kunnen maken; dan kun je overwegen om die koppeling eruit te laten.” Implementeren en daarvan leren, vindt Stakenburg verreweg de fijnste volgorde. “Vaak denken mensen toch eerst in processen en procedures. Het liefst ga ik gewoon uit de startblokken om inzichtelijk te krijgen waar we tegenaan lopen. Ik kan me voorstellen dat we over een paar maanden vragen of Derk nog een keer naar Breda wil komen om ervaringen uit te wisselen en te finetunen.”
De proef op de som
In oktober startte Stakenburg en zijn team een proef met Microsoft Advanced Threat Analytics (ATA) om te kijken hoe identiteiten worden gebruikt en misbruikt. “Onze beheerders en security architect zetten er hun vraagtekens bij: hebben we procesmatig geregeld hoe we met meldingen omgaan? Ja en nee, we hebben ATA gewoon aangezet binnen ons standaard incidentenbeheer en stuitten vanzelf op incidenten die extra aandacht verdienden. Op basis daarvan hebben we het proces ingericht en fijngeslepen. Het loopt nu op rolletjes en de rust is teruggekeerd. Het is misschien niet helemaal volgens het boekje, maar ik ben groot voorstander van deze manier van werken. Ga het gebruiken en de meest pragmatische meldingen komen boven water. Daarmee kun je aan de slag.”
Compliant aan de GDPR
De Gemeente Breda werkt met twee datacenters: on-premise en in de Cloud. “Voor alle twee moeten we de processen gaan inrichten om aan de wetgeving te voldoen. De discussie binnen de Gemeente Breda is of je ergens veel tijd, energie en geld in moet steken als betrokken partijen het ook niet voor de deadline voor elkaar krijgen. Onder andere Centrix en Getronics hebben al aangegeven hun applicaties niet honderd procent compliant te kunnen krijgen voor 25 mei 2018. We zijn bezig om een data protection officer aan te stellen, dus in overleg met hem of haar zal een knoop worden doorgehakt over de termijn waarop we de GDPR gemeentebreed willen naleven. Als je het míj vraagt: we hebben alle middelen in huis om het on-premise datacenter compliant te maken, dus dat gaan we de komende maanden herinrichten. Voor de Cloud, Microsoft Office 365, moeten we inderdaad extra geld uitgeven, maar als de baseline staat, de processen zijn ingericht en we de kennis in huis hebben, is het een kwestie van een druk op de knop: de licenties aanzetten.” Kortom, de Gemeente Breda is er klaar voor. “Vooruitblikken is mijn werk. Binnen de techniek moet je altijd proberen om twee jaar vooruit te lopen op vragen, zodat je bij een ‘GO’ vliegend van start kunt.”