Gemeente Rijswijk en het ICT-Beveiligingsassessment DigiD

Interview Wakil Ennaciri, Specialist e-Dienstverlening & Post, Gemeente Rijswijk

Gemeente Rijswijk is actief aan de slag met het jaarlijks verplichte ICT-Beveiligingsassessment DigiD. Het assessment bestaat uit zes stappen die door elke gemeente doorlopen dienen te worden om het assessment succesvol af te ronden.  Alle gemeenten dienen uiterlijk 31 december de assessment- rapportage te hebben ingeleverd bij Logius. Aangezien de doorlooptijd van het assessment aanzienlijk is, is nu starten aan te bevelen. Wakil Ennaciri, specialist e-Dienstverlening & Post, is bij gemeente Rijswijk één van de betrokkenen bij het ICT-Beveiligingsassessment DigiD. Gemeente Rijswijk bevindt zich inmiddels in stap 4 (oplossen van bevindingen uit de penetratietest) van het assessmentproces. We gingen met Wakil in gesprek over het verloop van stap 1; ‘Zelf toetsen aan de hand van richtlijnen’. Het werd een leerzaam gesprek met een enthousiaste gemeentelijke collega. Kortom, nuttige ervaringen om te delen met collega-gemeenten die aan de vooravond staan van het verplichte assessment.

Denk goed na over de samenwerking met betrokken partijen

De eerste stap ‘Zelf toetsen aan de hand van richtlijnen’ is nodig om helder te krijgen wat een gemeente allemaal moet doen voor het assessment. “Een belangrijke stap”, aldus Wakil. ”Het moet namelijk duidelijk worden wie het assessment gaat uitvoeren, welke partijen buiten je eigen gemeente hierbij betrokken moeten worden, wat van al die betrokkenen nodig is en niet onbelangrijk, welk onderdeel van de ICT-infrastructuur precies onder het assessment valt. En dat is een hele kluif.”

De Informatiebeveiligingsdienst voor gemeenten (IBD) raadt gemeenten aan om deze zelftoets af te sluiten door een quickscan in samenwerking met een auditor. Ook Wakil adviseert om de samenwerking met externe partijen op te zoeken en niet alleen voor de quickscan; “Wij hebben er zelfs voor gekozen om met drie externe partijen het assessment te doorlopen. En wel met KPN, Getronics en KPMG. Op deze manier vermijden we de discussie van ‘de slager die zijn eigen vlees keurt’. Een aanpak die ons het meest veilig lijkt. Zo is KPN verantwoordelijk voor stap 1, zelf-assessment, 2, maatregelen treffen, en 4, bevindingen penetratietest oplossen. Getronics voert de penetratietest uit (stap 3). En de daadwerkelijke audit en de auditrapportage worden verzorgd door KPMG (stap 5 resp. stap 6).”

Een uitgebreider onderzoek dan verwacht

“We hadden als gemeente eigenlijk geen idee wat we van het assessment en de quickscan in het bijzonder konden verwachten. Pas toen KPN ons tijdens de quickscan meer dan 100 vragen stelde, werd het pas duidelijk dat het om een uitgebreid onderzoek ging. Bijna alles wordt gecontroleerd. Van webtoegangscontrole, cookies tot de vraag of we gebruik maken van testplannen. En dat terwijl we jaarlijks binnen de gemeente Rijswijk ook penetratietesten laten uitvoeren.” Volgens Wakil is het  overigens absoluut positief om dergelijk onderzoeken in deze digitale wereld uit te voeren. “Want we hebben nu eenmaal als overheid de verantwoordelijkheid om de gegevens van burgers te beschermen. Na het beantwoorden van de meer dan 100 vragen van KPN, heeft KPN gecontroleerd of wij als gemeente voldoen aan de richtlijnen uit de Norm. En bovendien of het beeld dat wij als gemeente hebben van onze huidige ICT-infrastructuur, overeenkomt met de resultaten uit de quickscan. Dat was gelukkig het geval. De paar zaken die niet voldeden aan de richtlijnen uit de Norm, heeft KPN in een overzicht gezet.”

De uitdaging is vooral … discipline

“We hebben deze punten gezamenlijk kritisch bekeken en uiteraard opgepakt. Momenteel zijn we actief aan de slag met het op orde krijgen van de aandachtspunten die uit de quickscan naar voren zijn gekomen. De uitdaging hiervan is niet zozeer het op orde krijgen van deze zaken, maar gaat eerder om een stukje discipline dat van mensen wordt gevraagd. Eigenlijk gaat het om een andere manier van meer gestructureerd werken. Zo is bijvoorbeeld niet iedereen gewend om met een testplan te werken, terwijl dat momenteel wel van gemeenten wordt verwacht.”

Wat zijn de tips van gemeente Rijswijk aan collega-gemeenten?

Wakil deelt graag een aantal ervaringstips:

  • Start zo snel als mogelijk met stap 1 van het assessment. Liever gisteren dan vandaag.
  • Neem het assessment serieus. Denk niet dat je het assessment naast je reguliere werkzaamheden kunt doen.
  • Het assessment is een uitgebreid onderzoek, dus neem de tijd om zaken echt vanaf de start goed inzichtelijk te maken.
  • Gebruik zo veel als mogelijk de expertise van de externe partijen. Onze gemeente heeft daar baat bij gehad.
  • Houd rekening met de totale doorlooptijd, want daar kun je je als gemeente echt op verkijken.

Ook starten met het ICT-Beveiligingsassessment DigiD?

Wilt u ook starten en heeft u vragen over het ICT-Beveiligingsassessment DigiD? Neem dan contact op met de Informatiebeveiligingsdienst voor gemeenten via info@IBDgemeenten.nl of 070 373 8011. Of volg Wakil en de gemeente Rijswijk op onze community Informatiebeveiliging.