Klant: Ministerie van Volksgezondheid, Welzijn en Sport (VWS)
Sector: Overheid
Onze rol: Inzet van specialistische kennis en capaciteit op het gebied van informatiebeveiliging via I-share
Resultaten in het kort:
- Snelle versterking van het IB&P-Office met diepgaande expertise via I-share;
- Implementatie van dreigingsgestuurd risicomanagement;
- Meer inzicht, samenwerking en bewustwording binnen VWS;
- Duurzaam raamwerk voor toekomstgerichte informatiebeveiliging.
Introductie klant
Het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) werkt aan de missie “Samen gezond, fit en veerkrachtig”. Binnen het kerndepartement houdt de afdeling Informatiebeveiligings- en Privacy-Office (IB&P) zich bezig met het waarborgen van de beveiliging en privacy van gevoelige informatie.
Consultant Dennis Bonnmann ondersteunt het IB&P-Office als dreigingsanalist. In deze rol adviseert hij de organisatie over actuele dreigingen en helpt hij bij het opzetten van een dreigingsgebaseerde aanpak bij de implementatie van de overheidsrichtlijnen volgens de Baseline Informatiebeveiliging Overheid (BIO).
De uitdaging
Voor een effectieve implementatie van de BIO wilde het Ministerie van VWS het IB&P-Office versterken en zelfstandiger laten opereren. De organisatie liep echter tegen drie uitdagingen aan:
- Er was geen eenduidige methodiek voor gepast risicomanagement;
- Beveiligingsmaatregelen werden vaak onvoldoende onderbouwd;
- Door beperkte middelen ontbrak focus op de meest relevante dreigingen.
Bovendien was het team sterk afhankelijk van het concern, waardoor de capaciteit voor proactieve analyse ontbrak.
De oplossing
Via I-share werd snel de juiste expertise ingezet om de rol van dreigingsanalist te vervullen. Dennis kreeg de ruimte om deze functie zelf vorm te geven. Hierbij combineerde hij twee methodieken: Threat Modelling (naar binnen kijken: wat beschermen we?) en Cyber Threat Intelligence (naar buiten kijken: wat bedreigt ons?). Deze combinatie, geïnspireerd op Mandiant (Google), gaf VWS beter inzicht in risico’s en prioriteiten.
Omdat de IT grotendeels is uitbesteed, vertaalde Dennis de dreigingsanalyse naar beleidsmaatregelen en integreerde deze in bestaande processen, zoals awareness en beleidsontwikkeling. Dit wordt aangevuld door een procedure waarmee beleidsdirecties regelmatig hun belangrijkste risico’s kunnen inventariseren. Ook ontwikkelde hij een raamwerk voor het verzamelen en delen van actuele dreigingsinformatie, zodat kennis en continuïteit geborgd blijven.
De resultaten
De inzet van I-share heeft het Ministerie in korte tijd geholpen om het IB&P-Office te versterken met specialistische kennis en capaciteit. De aanpak heeft geleid tot meer inzicht, betere samenwerking en meer bewustwording binnen het Ministerie:
- Sterkere integratie van dreigingsanalyse in bestaande processen van het IB&P-Office;
- Toegenomen awareness: collega’s begrijpen beter waarom bepaalde maatregelen worden genomen;
- Snellere reactie: door een proactieve aanpak kan het team spoedig op optredende dreigingen reageren. Dit werd duidelijk toen het team een awarenesscampagne over het toenemende gevaar door nep-captcha's (de zogenoemde ClickFix-techniek) publiceerde, weken voordat zelfs het NCSC (Nationaal Cyber Security Centrum) organisaties daarvoor waarschuwde.
- Betere beleidskeuzes: risicomanagement is niet langer een papieren exercitie, maar gebaseerd op feitelijke dreigingen;
- Positieve feedback van het team en betrokken stakeholders op de vernieuwde, meer onderbouwde aanpak.
Dankzij de flexibele inzet van Dennis via I-share beschikt het Ministerie nu over een duurzaam raamwerk voor dreigingsgestuurd risicomanagement en sterker fundament voor toekomstige beveiligingsinitiatieven.
Kimberley Langeveld (Secretaris Informatiebeveiliging & Privacy bij Ministerie van VWS) over de samenwerking met Dennis via I-share:
‘’De samenwerking met Dennis heeft voor ons team duidelijke meerwaarde. Zijn sterke inhoudelijke kennis weet hij op verschillende niveaus binnen de organisatie te communiceren. Dennis is niet alleen een professioneel betrokken collega, maar heeft oprechte interesse in de mensen met wie hij samenwerkt binnen het team.’’