Digitale dijkverzwaring voor het waterschap

Waterschap Drents Overijsselse Delta

Het werkgebied van Drents Overijsselse Delta loopt van Assen tot Deventer en beslaat 7.001 kilometer aan rivieren, kanalen, wetering en sloten, 16 rioolwaterzuiveringen, 363 gemalen, 1.972 stuwen en ruim 1.000 kilometer aan dijken en kades.

NIS2 en BIO2

Het Nederlandse waterbeheer is van vitaal belang voor onze samenleving en economie. Waterschappen spelen een cruciale rol in het waarborgen van de waterveiligheid, het beheer van waterkwaliteit en de bescherming van onze natte infrastructuur. In dit digitale tijdperk zijn waterschappen echter ook blootgesteld aan toenemende cyberdreigingen. De Europese NIS2 (Network and Information Security) wetgeving en de daarvan afgeleide BIO2 (oktober 2024) zijn ontwikkeld om deze uitdagingen aan te pakken en de digitale weerbaarheid van essentieel aanbieders te versterken.

Bijdrage als Interim CISO

Na onvoorzien verloop in de CISO en ISO rol is het zaak om in korte tijd informatiebeveiliging als competentie op niveau te krijgen.

Beleidsontwikkeling: Robuust beleid ontwikkelen en implementeren dat voldoet aan de NIS2 vereisten.

Risicobeheer: Risicoanalyses om kwetsbaarheden te identificeren en te evalueren, en  maatregelen implementeren om deze risico’s te verminderen of te elimineren. Starten met continuïteit- uitwijk en herstel.

Incident Response: Het coördineren van de respons en herstelinspanningen om een operationele verstoring tot een minimum te beperken.

Bewustwording en Training: Ervoor zorgen dat het bestuur en medewerkers van het waterschap zich bewust zijn van de risico’s van cyberaanvallen.

Samenwerking: Ik werk samen met relevante overheidsinstanties, het Waterschapshuis en partners in de watersector om informatie en expertise uit te wisselen en de algehele cyberweerbaarheid van Waterschap Drents en Overijsselse Deltta te versterken.

Van actieplan naar een beheerst proces

Vroeg of laat krijgt iedere organisatie te maken met een cyber event van de buitencategorie. Voor Senzer was dat moment 9 maart 2021. Een ransomware aanval legde de organisatie lam. Gelukkig was een backup voorhanden en door adequaat handelen en ondersteuning van Northwave bleef de schade beperkt. Een omvangrijk actieplan is in de steigers gezet en tot uitvoering gebracht.

De vraag aan Takeshape: “Help ons het actieplan af te ronden en leidt de transitie naar een beheerst proces”.

Het actieplan hangt op de samenwerking met Northwave. Northwave verzorgt de Managed Detection en Response diensten voor Senzer. Het actieplan is medio 2023 afgerond en omgezet in een geplande beheerste meerjarige aanpak.

Focus – “Er is meer dan compliance”

Overheidsorganisaties zoals Senzer zijn onderhavig aan een streng compliance regime. De BIO, die wordt aangepast aan NIS2, zal meer verplichtend worden. Jaarlijkse externe audits zoals op het gebruik van de DigiD aansluiting en inzage in Suwinet zullen blijven doorgaan. Maar dit moet niet leiden tot het idee dat als de vinkjes zijn gehaald de organisatie ook daadwerkelijk veilig is.

De focus ligt daarom om het realistisch en continu in beeld hebben van de mate van informatieveiligheid en de risico’s (de security posture). Vervolgens die maatregelen nemen die de hoogste bijdrage leveren. De invoering van een ISMS moet bijdragen aan het overzicht en de werklast van het rapporteren sterk verminderen. In plaats van alles inzetten op het voorkomen van risico’s zal vooral aandacht worden besteed aan weerbaarheid en veerkracht van de organisatie.

Want een cyber event kan nooit met 100% zekerheid worden voorkomen.

Senzer – Gemeenschappelijke Regeling in Helmond en omgeving

Senzer voert de Participatiewet uit in opdracht van 7 gemeentes: Helmond, Laarbeek, Gemert-Bakel, Geldrop-Mierlo, Someren, Asten, Deurne met in totaal 250.000 inwoners. Er werken ruim 2000 mensen en Senzer is verantwoordelijk voor  de maatschappelijke participatie voor honderden mensen en inkomensondersteuning voor 4800 bijstandscliënten.

 

Adviseren Start Up – Leven lang leren portfolio

Een dierenarts is een dierenarts? Niet helemaal. Naast dat er verschillende specialisaties bestaan tijdens de studie, bestaan er talrijke vervolgopleidingen die zorgen voor verdere specialisatie. Echter, alles wat na het afstuderen plaatsvindt wordt nergens centraal geregistreerd. Ook geeft een examencijfer geen inzicht in hoe bedreven een professional is in een handeling. Wat als iedere afgestudeerde dierenarts een online portfolio bij zich kon dragen om al deze informatie bijenkaar te hebben?

Bijdrage Takeshape: Van POC naar Platform

Van dit online portfolio platform is een eerste versie verschenen die langzaam steeds verder uitbreidt. Ik heb de oprichters kunnen helpen een plan te maken om van proof of concept naar volwaardig IT platform te kunnen schalen. Het gaat hierbij soms om techniek, maar vaak ook niet. Kleine zaken, als het gebruik van freeware, dat in persoonlijke situatie toegestaan is, maar niet in commerciële zin, is zo’n voorbeeld.

  • Eigendomsrecht op software
  • Auteursrechtelijke bescherming van broncode
  • AVG en Verwerkersovereenkomst
  • Open source elementen v.s. licensering
  • Solide 2 factor authenticatie
  • Commercieel model.

 

Adviseren Start Up – Zero Emission Last Mile Delivery

De Last Mile… In logistieke termen verwijst dit naar het vervoer van producten naar de eindbestemming, meestal vanuit een distributiecentrum in een stad. Deze logistieke keten is nu nog hopeloos inefficient. Zo is op de Nederlandse snelweg 25% van de vrachtwagens leeg. De beladingsgraad is gemiddeld 45%. We vervoeren dus vooral lucht. Wat als deze veelal grote lege vrachtwagens hun lading aan de rand van een stad lossen en kleine emissieloze voertuigen deze spullen in de stad bezorgen? Dat scheelt veelt vervoersbewegingen van lege en vervuilende vrachtwagens in de stad. Schoner en veiliger. Rond Utrecht, in Bilthoven, is een dergelijke ‘hub’ gepland.

In eerste plaats denk je aan fysieke goederen, bestelwagens en pakketten. Het kloppend hart is echter een IT-systeem dat deze complexe keten aanstuurt. Complex omdat er 6.000 vervoerders zijn in Nederland en veel partijen hun eigen systeem gebruiken.

De software waar de Utrechtse Hub mee gaat werken is een redelijk nieuwe ontwikkeling die als laag boven alle Warehouse Management en Transport Management systemen heen kan worden gelegd om zo het totaal overzicht te houden.

De vraag aan Takeshape: “Vormt deze software een solide basis voor verdere groei?”.

In een kort maar krachtig onderzoek zijn de volgende aspecten doorgelicht

  • Functioneel; getoetst aan een Programma van Eisen
  • Niet-Functioneel; getoetst bij de Solution Architect
  • Juridisch; contract beoordeling
  • Commercieel/dienstverlening; contract en SLA beoordeling
  • Implementatie aanpak; voorstel van leverancier.

Op basis van deze analyse heeft de kwartiermakersgroep van de hub een onderbouwd besluit kunnen nemen.

IT Due Diligence – weet waar je op moet letten in 2022

IT-diensten verplaatsen zich in hoog tempo naar de cloud. Activa op de balans veranderen in kosten van abonnementen. Ransomware heeft aandacht op directieniveau. Datalekken kosten bedrijven miljoenen aan boetes, klantenbinding en verborgen kosten.

Als technologie snel verandert, geldt dat ook voor IT Due Diligence

Tenzij de overname een technologiebedrijf betreft, speelt IT Due Diligence meestal geen grote rol. IT is complex en de integratie kan na de deal worden geregeld. Maar omdat ook de toekomst van niet-tech bedrijven steunt op digitalisering en omdat informatiebeveiliging en privacy niet langer kunnen worden genegeerd, moeten deze worden meegenomen in het Due Diligence proces. IT Due Diligence moet zich richten op het beoordelen van de technologische achterstand die in de deal zit, en de risico’s die onder de oppervlakte schuilgaan. Technologische achterstand vertraagt de realisatie van een digitaliseringsstrategie. Risico’s kunnen worden gekwantificeerd. Dit levert informatie die je wilt meenemen in het waarderen van de deal.

IT Due Diligence moet zich richten op het beoordelen van de technologische achterstand die in de deal zit, en de risico’s die onder de oppervlakte schuilgaan.

IT Due Diligence vereist een andere aanpak

IT is geen gereguleerde industrie. Er is geen vaste manier van organiseren of een rapportage regime  waaraan moet worden voldaan. Er zijn best practices en ISO-normen, maar die laten veel keuzeruimte. En met trends als virtualisatie en cloudcontracten rijst de vraag, wat is een ‘asset’ eigenlijk? IT Due Diligence is niet langer een oefening waarbij een junior in het team simpelweg een nietszeggende checklist verwerkt. Het resultaat is een lijst van acroniemen en netwerkdiagrammen die details en expertise suggereren, maar iedere interpretatie ontberen.

IT draait niet langer om technologie, maar veel meer om data en beveiliging

IT gaat niet langer over technologie, maar veel meer over data en beveiliging. Het is zo abstract geworden dat het vaardigheid en vakkennis vergt om te weten waarnaar je moet zoeken.

Echte risico’s en technologie-achterstand kunnen worden blootgelegd door te kijken naar:

  • Software
  • Contracten and licenties
  • Informatiebeveiliging
  • Privacy and AVG
  • Geplande IT-Investeringen
  • Human Capital
  • Hardware and Network Ontwerp

Waar moet IT Due Diligence in 2022 op letten?

Risicogebaseerd, afgestemd op de transactie, moet dit ten minste omvatten:

Software

Bij standaardsoftware ligt de nadruk op software compliance; is alle software gelicenseerd? Bij op maat gemaakte software kan een Quick Scan van de code of een grondige code review nodig zijn. Is de software gebouwd om lang mee te gaan, of een hoop spaghetti die alleen begrepen wordt door de lokale held die het gebouwd heeft? Degene die over een jaar met pensioen gaat. Bepaal ook de eigendom van het intellectuele eigendom. Wie is eigenlijk de eigenaar van de code? Bij SaaS-software draait alles om de contractvoorwaarden.

Contracten en licenties

Begin met het overzicht van alle lopende contracten (…), bepaal de verlengingsmomenten van contracten, en controleer voor geselecteerde contracten de Algemene Voorwaarden op clausules die verwijzen naar overdracht van eigendom. Dit is niet vanzelfsprekend. Ook zijn de meeste softwareproducten en clouddiensten afhankelijk van onderliggende diensten van Big Tech. Dit resulteert in soms onopgemerkte back-to-back contracten. Zijn deze op elkaar afgestemd?

Informatiebeveiliging

Schat het risicoprofiel van de organisatie in door een van de vele beschikbare frameworks toe te passen, zoals het NIST Cyber Security Framework, de SANS Top 20 Critical Controls of ISO27002. Dit is nog steeds een desk research benadering. Indien kritisch, zou een RED-team of ethische hackers de praktische sterkte van de beveiligingscontroles kunnen testen. 

Privacy en AVG

Dit is een van de meest onbegrepen en verkeerd geïnterpreteerde onderwerpen rond informatiesystemen. Velen hebben een mening over de AVG, weinigen hebben de tijd genomen om de EU- en lokale wetgeving te lezen. Maar het is niet zo ingewikkeld. De AVG schrijft een reeks maatregelen en controles voor die moeten worden uitgevoerd om persoonsgegevens te beveiligen. Deze kunnen op een gestructureerde manier worden gecontroleerd. Geen tovenarij vereist.

Geplande IT-investeringen

Beoordeel de huidige IT-architectuur en de projectportefeuille. Leveren de geplande investeringen waarde op, of is het “het licht laten branden”? Hoe groot is de kloof tussen het As-Is en To-Be IT landschap. Wees op uw hoede voor ERP implementaties en Integration Layer projecten. Deze zijn berucht om het feit dat ze te weinig waarde creëren. 

Human Capital

Beoordeel de professionaliteit van de afdeling IT. IT is slechts zo goed als de mensen die het organiseren. Een snelle blik is voldoende als uitgangspunt; geïdentificeerde functies en gemiddelde anciënniteit, intern opleidingsmateriaal en -procedures, certificaten en formele opleidingen. Wie zijn de sleutelfiguren en staan zij op de loonlijst of zijn zij freelance?

Hardware en netwerkontwerp

Een lijst van alle activa moet gemakkelijk uit het inventarissysteem of de CMDB kunnen worden gehaald. Een eenvoudige analyse geeft al gauw een indruk van de volledigheid en nauwkeurigheid ervan. Bedenk dat als niet alle assets in beeld zijn, je ook niet kunt weten of deze adequaat beveiligd zijn. De IT-afdeling zou overigens bedenkelijk moeten kijken als naar hardware wordt gevraagd. De meeste IT-hardware zal zijn gevirtualiseerd (om vervolgens te draaien op andere, krachtigere computers).

Hoe het netwerk is ontworpen zegt veel over het volwassenheidsniveau van de IT-organisatie. Moderne netwerken zijn net als de hardware, ook virtueel, het zogenaamde ‘software gedefinieerde netwerk’. Een beoordeling van dit onderwerp geeft een duidelijke indicatie van een eventuele technologische achterstand.

Als een overzicht van alle assets niet snel kan worden aangeleverd, dan is er rook en dus ook vuur…

Ik heb jarenlang leiding gegeven aan IT-afdelingen en IT-programma’s in verschillende sectoren. Ik ben een gecertificeerde Informatie Architect en een Certified Information Systems Security Professional (CISSP). Met een uitgebreid netwerk van gespecialiseerde professionals en bedrijven op wie ik een beroep kan doen, houd ik het team klein en toegewijd. Een kleine organisatie zonder overhead om korte doorlooptijden te garanderen.

Als u het risico en de technologische achterstand in uw volgende M&A-deal wilt inschatten en dat snel moet gebeuren, ik sta klaar.

Efficiënter samenwerken met TenneT

TenneT is de enige beheerder (TSO) van het Nederlandse hoogspanningsnet. In Duitsland is TenneT de grootste elektriciteitstransporteur en beheert een tracé van de Noordzee tot  in de Alpen. TenneT bedient rond de 40 miljoen huishoudens. De energietransitie vraagt om een versnelde versterking en uitbreiding van de huidige infrastructuur. Het investeringsprogramma van TenneT behelst tientallen miljarden euros in de komende decennia. Deze programma’s uitvoeren vraagt een enorme coördinatie tussen TenneT en haar aannemers.

Aanleiding 

Via een Europese aanbesteding is in mei 2021 het contract gegund aan een Indiase partij om software en ondersteuning te leveren voor project samenwerking. De SaaS software wordt inmiddels beschouwd als cruciaal onderdeel van de informatievoorziening. Zowel de IV organisatie als het applicatielandschap ontwikkelen zich razendsnel. Het project collaboration systeem moet hierin naadloos passen en op alle in ontwikkeling zijnde datastandaarden aansluiten. Intussen gaat de evolutie van document gedreven werken naar data gedreven werken veel sneller dan voorzien. Het systeem moet beide werelden aankunnen.

Bijdrage Takeshape – Naadloze overgang van Aanbesteding naar Contract en Realisatie

Een Europese aanbesteding is een project op zichzelf. Het is niet ongebruikelijk dat het projectteam na de contractering van de winnaar uit elkaar valt en dat er voor de implementatie een geheel nieuw team wordt opgesteld. Door zowel de aanbesteding als de implementatie te begeleiden heeft er geen licht kunnen komen tussen de intentie van de aanbesteding en de uitvoering van het contract. Hierbij houdt TenneT de maximale regie. 

De SaaS software is een off-the-shelf pakket. Hierin zit niet de uitdaging. Een greep uit de karakteristieken van deze opdracht:

  • Harmonisatie van werkprocessen binnen TenneT
  • Multi cultureel – internationaal team
  • Volledig remote werkend –  Nederland, Duitsland, India
  • Van document gedreven naar data gedreven
  • Agile governance 

 

 

Quality Assurance voor Gemeente Amersfoort

Het dossier Digitaal Zaakgericht Werken kende een stroeve start. Niets is zo ingrijpend als een systeem dat het dagelijks werk verandert. Het gebruikte systeem was ‘end-of-life’ maar bleek moeilijk uit te zetten. Het nieuwe systeem beloofde veel maar was technisch complex. De Directie had de behoefte aan een kritische blik van buiten om te mee te kijken met dit programma. Als ‘verzekeringspremie’.

Bijdrage Takeshape – Quality Assurance op het programma Amersfoort Digitaal

De afgelopen jaren heb ik in opdracht van de Directie van de Gemeente Amersfoort de Quality Assurance rol uitgevoerd op het programma Digitaal Zaakgericht Werken, dat intussen is overgegaan in “Amersfoort Digitaal”. Vanaf de zijlijn heb ik het programma kunnen bijstaan met mijn ‘blik van buiten’. Een unieke kans om aan mijn eigen stad een bijdrage te kunnen leveren. Veel waardering voor de uitdagingen waar de IT/IV organisatie van een gemeente mee te maken heeft.

 

CISSP – Certificaat Informatiebeveiliging behaald!

Het is een regelmatig terugkerende discussie binnen organisaties. Wanneer heb je ergens nu echt verstand van? Het organiseren van informatievoorziening is enorm complex geworden. Opdrachtgevers kunnen dit woud aan drieletterige afkortingen niet overzien en moeten afgaan op adviezen. Ik zie teveel vakbroeders zich door het veld bluffen met als basis ‘een dosis gezond boerenverstand’ en een gladde babbel. Ik ga graag een spade dieper. Toen een klant mij in 2019 vroeg of ik hen kon begeleiden bij het ISO27001-proof maken van de organisatie antwoordde ik; “ja, maar”. Ja, maar ik ga eerst het examen Certified Information Systems Security Professional halen. Ik studeer voor mijn plezier en dit was een middel om mijzelf te dwingen bij te blijven. Zo gezegd zo gedaan. Bij FOX-IT in Delft ingeschreven en van januari tot juli 2020 de training gevolgd. Heerlijk om je onder te dompelen bij zo’n ubergeek organisatie.

Een CISSP certificering is drie jaar geldig. Tijdens die drie jaar dient de professional aantoonbaar zijn of haar vak bij te houden door zelfstudie en training. Een CISSP certificaat is dus geen eenmalige prestatie, maar een bewijs van een leven lang leren.

Update (aug 2023): CISSP certificering verlengd tot augustus 2026

De juiste software voor TenneT projecten on- en offshore

Voor het aansluiten van een windpark op het vaste hoogspanningsnet van TenneT zijn al snel meer dan 40 partijen aan het werk. De hoeveelheid afstemming die nodig is om een dergelijk project tot een goed einde te brengen is fenomenaal. Het Project Management Office van Offshore NL voert hierop de regie. In opdracht van het PMO onderzoek ik welke systemen er nodig zijn om het PMO optimaal te ondersteunen en hoe deze systemen op de rest van de TenneT systemen moeten worden aangesloten.

Bijdrage Takeshape – Projectleiding Europese Aanbesteding

Na een marktconsultatie heb ik de Europese aanbesteding geleid die in mei 2021 resulteerde in een contract met een Indiase partij. Dat ging zoals dat bij Takeshape en complexe projecten gewoon is, niet in een rechte lijn. Tijdens de aanbesteding bleken er meer business units interesse te hebben om mee te doen. Onder de OneTenneT ontwikkeling is de aanbesteding hoger in de organisatie verankerd zodat het systeem een TenneT brede generieke dienst gaat worden. Alle toekomstige projecten bij de grote projectafdelingen en bij Grid Field Operations zullen van het systeem gebruik maken.

In nauwe samenwerking met de IT afdeling, architecten en service managers hebben we een toekomstbestendig contract met maktconforme prijsstelling kunnen opstellen. Intussen moesten we met het hele team in maart 2020 online gaan samenwerken. In het kleine goed ingewerkte team ging dat fantastisch. Onderhandelingen met grote teams van softwareaanbieders gaat ook prima, zelfs nog beter, online.

Inmiddels ligt het contract in de kast en is de implementatie in volle gang.

 

 

 

Een eigen IM-organisatie voor de Nederlandse Transplantatie Stichting

Zelf regie gaan voeren, maar hoe dan?

Als je dagelijks te maken hebt met overlijden en met de wensen van overledenen en nabestaanden dan weet je dat de foutmarge klein moet zijn. De wereld van orgaan- en weefseltransplantatie vraagt om juiste en betrouwbare informatie. Het wordt dus spannend wanneer de Nederlandse Transplantatie Stichting in 2018 besluit om applicatieontwikkeling en datamanagement te gaan insourcen. Sinds de oprichting van de NTS in 1997 maakt het gebruik van IT-ondersteuning van Eurotransplant, de overkoepelende Europese Stichting. Beide stichtingen besluiten om het ontvlechtingsproces op IT gebied af te maken. Maar hoe dan? En, welke capaciteiten moet de NTS dan ontwikkelen? Kan dat met de beperkte omvang van de NTS?
Veel tijd heeft de NTS niet want de invoering van de wet op de Actieve Donorregistratie op 1 juli 2020 nadert snel en tussendoor moet er worden verhuisd naar een nieuw pand in Leiden. Beide hebben een grote impact en een hoge IT  en data-component. Het is van belang dat er snel duidelijkheid komt!

Visieontwikkeling

In de zomer van 2018 heb ik voor en vooral met de Nederlandse Transplantatie Stichting een visie ontwikkeld over het onder eigen regie brengen van informatie- en datamanagement. Welke capaciteiten hebben we nodig, wat doen we zelf, wat besteden we uit? Op welke technologie zetten we in en hoe raken we hierin bedreven? Welke prioriteiten kiezen we? Dit plan, dat ook personele gevolgen heeft, is goedgekeurd door de ondernemingsraad van de NTS.

De daad bij woord

In het najaar van 2018 heb ik het plan daadwerkelijk uitgevoerd. In een interim management rol heb ik de afdeling Informatie-management opgebouwd en is het Management Team uitgebreid met de rol van Informatie Manager. Er is een nieuwe technologie gekozen en met hulp van externe specialisten is een opleidingstraject ingezet.

Het is gelukt om via werving twee cruciale nieuwe rollen, die van informatiemanager en van lead developer in te vullen. Eigen mensen gaan de regie voeren, een kernelement uit het plan! Mijn missie zit erop als in het voorjaar van 2019 de structuur staat en alle honken zijn bezet. Na een maand van overdracht aan de nieuwe informatiemanager verlaat ik met professionele trots en persoonlijke bewondering de NTS en haar betrokken medewerkers.