'hWh aanjager en verbinder bij informatieveiligheid’

Wat als een zuivering of pomp door een hack niet meer goed werkt? Waterschappen bekijken in pilots risico’s van alle kanten. Jeroen Simons, Chief Information Security Officer (CISO) bij de Brabantse waterschappen: ‘Het Waterschapshuis is aanjager en verbinder voor volwassen, risico-gestuurde informatieveiligheid.’

‘Waterschappen hebben al 800 jaar ervaring met risico’s’, zegt Jeroen Simons. ‘Daar zijn we goed in. Maar het

Jeroen Simons

werken met digitale risico’s is nieuw. Dat staat nog in de kinderschoenen.’ 

Als systemen uitvallen, kan dat milieuschade, financiële en imagoschade opleveren voor waterschappen. Simons: ‘Als de besturing van een zuivering het begeeft, kunnen bewoners door overstort een open riool langs hun deur krijgen. Als pompen falen kunnen huizen verzakken en oogsten mislukken. Persoonsgegevens moeten ook in veilige handen zijn bij de waterschappen. Er wordt van ons verwacht dat de boel op orde is.’

Risicomethodiek

Daarom ontwikkelen waterschappen samen een uniforme risicomethodiek voor informatieveiligheid, zegt Arjen Meijer, projectleider Risicomanagement (programma Informatieveiligheid & privacy) van het Waterschapshuis. ‘Zowel voor de procesautomatisering als kantoorautomatisering en inclusief privacy. We ontwikkelen een gedragen, herkenbare en praktische sectormethodiek om risico-gebaseerd te voldoen aan de normen en die zo goed mogelijk aansluit op bestaande processen van de waterschappen.’

Meijer: ‘Het belangrijkste is dat we risico-gestuurd denken en werken. Je wilt geen turfsmurf zijn; enkel afvinken om aan een norm te voldoen. Je moet risico-gebaseerd denken over wat echt nodig is in een situatie en daarbij vooral gebruikmaken van kennis en kunde van inhoudelijke specialisten.’ 

Seminar

Binnen het project risicomanagement organiseerde het Waterschapshuis vorig jaar zomer een tweedaags seminar over samen risico’s beheersen. Doel was vooral om verschillende disciplines zoals assetmanagers, risicomanagers, concerncontrollers en specialisten informatiebeveiliging bij elkaar te brengen. Meijer: ‘Om elkaar beter te leren kennen, te ervaren dat er gedeelde doelen zijn en een gemeenschappelijk begrippenkader te ontwikkelen.’

Jeroen Simons: ‘Als een CISO vaktaal gebruikt, haakt de controller af en omgekeerd. Een controller praat vooral over financiële risico’s. Een milieutechnicus praat over risico’s voor de omgeving. Als de verschillende disciplines elkaar niet begrijpen, dan praat je net langs elkaar heen.’

Rol

Tijdens het seminar werden deelnemers zich extra bewust dat verschillende disciplines binnen een waterschap samen een rol hebben in risicomanagement. Risico’s liggen niet alleen op het bord van ICT’ers. Simons: ‘ICT’ers kijken in een risicoanalyse vooral met een ICT-blik naar systemen. Maar bij risico’s gaat het ook over mensen, maatschappelijke onrust, juridische aspecten en milieuschade. Heb je voldoende mensen om bij overstort over te schakelen op handbediening? Weten die wat ze moeten doen? Het raakt ook P&O. Of in geval van milieuschade de jurist. Bij integraal risicomanagement kijk je van alle kanten naar alle kanten. Daarom moeten er allerlei disciplines aan tafel zitten.’ 

Pilots

Waterschap Drents Overijsselse Delta startte eerder een pilot integraal risicomanagement en vertelde op het seminar over hun eerste ervaringen. Meijer: ‘Niet iedereen is zich direct bewust van zijn rol. Mensen kijken in het begin soms onwennig, maar het leidt wel tot eye-openers.’ 

Inmiddels lopen er ook pilots binnen drie andere waterschappen, waaronder waterschap De Dommel. Jeroen Simons, toezichthoudend CISO voor De Dommel: ‘Waterschappen hebben behoefte om hierin samen te werken, ervaringen te delen en van elkaar te leren. Het seminar kwam daaraan tegemoet. Het Waterschapshuis is aanjager en verbinder.’

Meijer: ‘We willen met de pilots een volgende stap zetten: ontwikkel de risico-methodiek en laten we samen gaan proberen of het werkt. Want je leert het beste door te doen.’ Simons: ‘De methodiek moet passen in de waterschapsprocessen, anders werkt het niet.’ Meijer: ‘De beste methode is er niet meteen; het is fijn slijpen. Het Waterschapshuis wil daarin facilitator en verbindingsofficier zijn. We gaan fysiek langs bij sessies van waterschappen om de pilots vooruit te helpen en ervaringen mee terug te nemen. Het Waterschapshuis start ook met een ondersteuningsteam als dienst dat waterschappen kan helpen bij implementatie.’ 

Praktijkverhalen

In november was er een drukbezochte terugkomdag als vervolg op het seminar. Met meer dan 100 aanmeldingen groeit de groep belangstellenden voor het thema. Meijer: ‘De praktijkverhalen uit de pilots zijn van grote waarde. Wat gaat goed of kan nog beter? Waar hebben we van geleerd? Die verhalen worden het meest gewaardeerd.’ Simons: ‘Een specialist procesautomatisering en twee controllers deden samen vlekkeloos hun verhaal. Er is al begrip waar het over gaat, we groeien snel.’

Volgens Arjen Meijer staan er meer waterschappen klaar om te beginnen met een pilot Meijer: ‘Het is een verandering in denken en doen. We willen daarom dit jaar zoveel mogelijk pilots starten om waterschappen kennis en ervaring te laten opdoen. Dit jaar volgen ook zeker nieuwe bijeenkomsten om de ervaringen uit de pilots met elkaar te delen en verdere stappen te zetten’, verzekert de projectleider. Simons: ‘We kijken er al naar uit.’