De gemeente Amsterdam maakte de afgelopen jaren een transformatie door op het gebied van IT en security. ‘ Mijn functie bestond vijf jaar geleden nog niet binnen deze stad,’ zegt Chief Information Security Officer Marco van Beek. ‘Dat is nu niet meer voor te stellen.’ Hoe maakte Amsterdam de transitie van ‘decentrale IT’ naar centraal aangestuurde IT-organisatie?
‘Ik heb de leukste baan van heel Amsterdam,’ vertelt Van Beek. ‘Als CISO van een gemeente sta je midden in het sociale domein en heb je bijvoorbeeld te maken met de hulp aan burgers, met projecten zoals de Noord/Zuidlijn en met financiën. En binnen het domein van openbare orde en veiligheid moet je een antwoord vinden op toenemende dreigingen zoals cyberaanvallen op de vitale infrastructuur. Dan is de vraag wat voor organisatie je hebt klaarstaan en of je in staat bent om adequaat te reageren.’
‘Die CISO-rol kun je echter pas goed invullen als je één IT-omgeving hebt,’ vervolgt Maarten Bruinsma, bij de gemeente Amsterdam manager Ondersteuning primair proces ICT. Daar was volgens hem vijf jaar geleden nog geen sprake van. ‘We hadden binnen de gemeente Amsterdam veertig losse IT-omgevingen met allemaal verschillende werkomgevingen en verschillende e-maildomeinen en konden bijvoorbeeld geen afspraken in elkaars agenda’s plannen of documenten veilig uitwisselen.’
Standaardkoppelingen
‘Zowel op het gebied van IT als op het gebied van applicaties moesten we een centralisatieslag maken,’ constateert Van Beek. De veertig IT-afdelingen – die soms bestonden uit tien man – zijn enkele jaren geleden samengebracht op één locatie. ‘240 mannen en vrouwen zijn nu samen verantwoordelijk voor het beheer van 18.000 werkplekken en 450 applicaties die het altijd moeten doen. Dat vraagt van de gehele organisatie een andere manier van denken en werken volgens de kaders van ITIL. Medewerkers kunnen niet meer ‘Piet van IT’ roepen als de e-mail eruit ligt, maar moeten dit bij de servicedesk melden.’
‘Onze informatiebeveiliging heeft een metamorfose doorgemaakt’
‘De uitdaging is ook dat je continu stedelijk blijft denken,’ vult Bruinsma aan. ‘Je moet denken in stedelijke architecturen die ondersteunend zijn aan de informatievoorziening en de diensten die we leveren aan de stad. Je wilt geen specifieke koppelingen hebben tussen systemen, maar standaardkoppelingen die overal op dezelfde manier zijn ingericht en ook standaard blijven. Dat realiseer je door één centraal koppelvlak in te richten.’
De digitale stad
Een volgende stap in de IT-transformatie bij de gemeente Amsterdam was de sourcing van IT. ‘Door de centralisatie van IT kwam de discussie op gang over wat we met onze IT-diensten gaan doen. Houden we die in eigen beheer of kunnen wij de kwaliteit en continuïteit versterken door samenwerking met externe partijen te zoeken?,’ schetst Van Beek.
Het antwoord was snel gevonden. Bruinsma: ‘De gemeente Amsterdam werkt toe naar een digitale stad maar is geen IT-bedrijf. We verlenen diensten aan onze burgers. Daarom maken we gebruik van de standaard IT-diensten die op de markt beschikbaar zijn. Daarbij kijken we altijd eerst of we op landelijk niveau kunnen aansluiten op een voorziening. De volgende stap is samenwerken met commerciële marktpartijen. Als er sprake is van teveel maatwerk, of de inhoud van de applicatie of het ondersteunde proces leent zich naar ons oordeel niet voor inschakeling van marktpartijen, is het logischer om het zelf te doen. Dat beoordelen we per geval.’
‘Sourcing maakt je als organisatie wendbaarder. Bijvoorbeeld een eigen datacenter is veel moeilijker op en af te schalen dan een datacenterdienst,’ vervolgt Bruinsma. ‘Bovendien kun je gebruikmaken van de kennis van de sourcing partners waar je mee samenwerkt. Zelfs voor een grote gemeente is het lastig om kennis aan je te binden, zeker de specialistische kennis waar wij behoefte aan hebben. Bijvoorbeeld de medewerkers die een Security Operations Center daadwerkelijk operationeel houden, zijn voor ons lastig te vinden.’
Morele securityverplichting
De IT-transformatie heeft volgens Van Beek en Bruinsma ook haar weerslag gehad op de security-organisatie van de gemeente Amsterdam. ‘Ook onze informatiebeveiliging heeft een metamorfose doorgemaakt,’ aldus de CISO. ‘In het verleden hadden we één informatiebeveiliger per organisatieonderdeel. Door de centralisatie hebben we nu vijftien medewerkers met een zware controlfunctie die zich met hart en ziel inzetten voor security. En naast de informatiebeveiligers zijn inmiddels ook privacy officers aangesteld.’
‘Je hebt de morele verplichting om je security en privacy op orde te hebben’
‘Als overheid doe je alles voor de burgers, maar dat betekent ook dat je heel veel persoonsgegevens opslaat in allerlei processen en systemen,’ vervolgt Van Beek. ‘Dan heb je de morele verplichting om je security en privacy op orde te hebben. Dat wordt ook gecontroleerd aan de hand van ENSIA, de Eenduidige Normatiek Single Information Audit.’
‘Informatieveiligheid moet in de genen van je organisatie en van de medewerkers zitten,’ vult Bruinsma aan. ‘Technisch kun je op het gebied van informatiebeveiliging heel veel regelen, maar je hebt ook te maken met 18.000 collega’s die het werk doen. Die moeten zich bewust zijn van de waarde van de informatie waar ze mee werken en wat het betekent als waardevolle informatie uitlekt of niet meer beschikbaar is. Iedere manager heeft de verantwoordelijkheid om dat bewustzijn over te brengen. Dit geldt ook voor fysieke beveiliging, voor iedereen moet duidelijk zijn dat je niet zomaar iemand binnenlaat.’
Kasteel bewaken
‘Door ontwikkelingen in de IT zoals cloud werkt het kasteelmodel met slotgracht en ophaalbrug niet meer,’ schetst Bruinsma. In die nieuwe situatie wordt er gezorgd voor de ‘bewaking’ van het kasteel en slaat men alarm bij een geconstateerde dreiging van binnen of buiten.
Hiervoor heeft Amsterdam onder andere een gezamenlijk, federated SOC ingericht dat wordt bemand door medewerkers van de gemeente en van partner Motiv. Met uiteenlopende technieken – van virusscanning tot sandboxing en URL-filtering – ondersteund Motiv de gemeente en wordt er bovendien voor de beveiliging van de externe koppelingen gezorgd. Bruinsma: ‘De samenwerkende partijen houden de gemeente Amsterdam veilig voor de boze buitenwereld.’
Theo Veltman
innovation rainmaker zegt
top