De uitdaging
Uitvoeringsinstellingen bij de overheid worden steeds digitaler en afhankelijker van technologie. Werkt die technologie niet goed of vallen kritieke systemen uit, dan heeft dat direct bijzonder nadelige gevolgen voor burgers. Het risico daarop groeit nog eens extra doordat geopolitieke spanningen en cyberdreigingen toenemen. Dat heeft niet alleen ernstige gevolgen voor de dienstverlening, maar ook voor de reputatie van de organisatie en bestuurders. Digitale weerbaarheid is daarom een topprioriteit.
De betreffende organisatie wilde het niveau van cybervolwassenheid structureel verhogen, kritische informatiesystemen extra beschermen en vanaf 2025 voldoen aan de nieuwe cybersecurityrichtlijn NIS2.
Binnen de organisatie leefde specifiek ook een aantal taaie securityvraagstukken die moesten worden opgepakt t.a.v. netwerksegmentatie, het verbeteren van Identity & Access Management (IAM) en het uitbreiden van technologie om sneller security-dreigingen bij kritische informatiesystemen vast te stellen.
De aanpak
Eraneos heeft de organisatie geholpen bij de aanpak en inrichting van een meerjarenprogramma om de digitale weerbaarheid structureel te verhogen. Dit is onderverdeeld in projecten op het gebied van netwerkzonering, verbeterde Identity & Access Management, verhogen weerbaarheid tegen cyberaanvallen, security by design (DevSecOps), doorontwikkeling security monitoring en implementatie van de nieuwe NIS2-cybersecurityrichtlijn.
De besturing van het programma is over de directie heen ingericht. In een maandelijks program board nemen directeuren van de verschillende bedrijfsonderdelen deel. Dat zorgt voor een flinke toename en een verhoogd bewustzijn op directieniveau. Door inhoudelijk de doelstellingen met de directeuren te bespreken en learning on the job toe te passen, is er draagvlak en commitment gecreëerd voor de belangrijke thema’s.
Dankzij meer bewustzijn, nieuwe technologie en verbeterde samenwerking is de cybervolwassenheid toegenomen
Eraneos heeft ook specifieke inhoudelijke projectondersteuning geleverd bij onder meer het security-by-design project en de implementatie van de NIS2-richtlijn. De doelen zijn concreet en meetbaar gemaakt door elk kwartaal duidelijke en haalbare resultaten vast te stellen. De projectdashboards zijn op een heel visuele manier op basis van Obeya ingericht, wat de voortgang en dilemma’s voor alle betrokkenen heel zichtbaar maakt.
Het was daarbij een uitdaging om de samenwerking tussen de verschillende stakeholders vanuit Business, IT, Security, Risk & Compliance te verbeteren. Dit is gerealiseerd door inhoudelijke kennissessies te organiseren. Stakeholders die in het verleden niet altijd gewend waren om met elkaar aan één doel te werken, hebben nu meer die focus op gezamenlijke doelstellingen in plaats van naar elkaar te wijzen voor het bereiken van de doelstellingen.
Medewerkers doen meer kennis op en de projectactiviteiten worden goed vastgelegd in de organisatie. Zo kan de uitvoeringsinstelling het werk ook voortzetten nadat projecten zijn afgerond.
Het resultaat
Eraneos heeft samen met de uitvoeringsorganisatie concrete stappen gezet om de digitale weerbaarheid te vergroten. Het verbeterde Identity & Access Management (IAM) zorgt voor goede beheersing van toegang tot systemen, terwijl een nieuwe zoneringsarchitectuur zorgt dat een aanval niet direct het hele IT-landschap raakt. De implementatie hiervan is in volle gang.
Aanvullende noodmaatregelen zorgen ervoor dat kritieke functies en processen operationeel kunnen blijven bij een cyberaanval, essentieel voor de continuïteit van de dienstverlening. Daarnaast maken nieuwe monitoring-use cases afwijkingen in kritieke systemen direct inzichtelijk, wat de weerbaarheid tegen cyberdreigingen versterkt.
Om security verder te verankeren, is een security-community opgericht waarin ontwikkelteams security by design omarmen. Dit wordt ondersteund met duidelijke regels en controles. Tot slot zorgt een strategische aanpak ervoor dat de organisatie in 2025 volledig NIS2-compliant is, met concrete kwartaaldoelen en visuele projectdashboards om voortgang inzichtelijk te houden.
Deze verbeteringen leggen een stevige basis waarmee de organisatie haar digitale weerbaarheid zelfstandig kan blijven ontwikkelen.
Samen werken aan een duurzame verandering?
