De case beschrijft hoe HMS, na het zelfstandig worden, samen met Legian een integrale aanpak voor digitale beveiliging heeft opgezet om de continuïteit van afvalinzameling en daarmee een schoon Den Haag te waarborgen, met nadruk op de samenhang tussen techniek, organisatie en mens.
Algemene beschrijving (incl. samenvatting van onderstaande vier punten)
Na de verzelfstandiging van HMS vanuit Renewi hebben wij HMS ondersteund bij het inrichten van een eigen IT-omgeving en informatiebeveiliging. We zijn gestart met een CIS-assessment als nulmeting en hebben vervolgens ‘CISO as a Service’ ingezet om techniek, organisatie en bewustwording in samenhang aan te pakken.
Door periodieke evaluaties en samenwerking met ketenpartners hebben we informatiebeveiliging ingericht als continu proces. Dit heeft geleid tot een beter beheersbare IT-omgeving en meer inzicht in risico’s en prioriteiten.
Beschrijf hoe risico’s herkend worden, hoe kritische applicaties en data worden beschermd, hoe afwijkingen worden gedetecteerd, hoe er op gereageerd wordt en hoe het herstellen van toegang geregeld is
Risico’s worden herkend door het uitvoeren van een CIS-assessment als nulmeting, waarmee inzicht wordt verkregen in de huidige staat van informatiebeveiliging en kwetsbaarheden worden geïdentificeerd. Kritische applicaties en data worden beschermd door het opstellen van een roadmap en het implementeren van maatregelen op basis van de CIS-benchmark, waarbij zowel techniek als bewustwording bij medewerkers centraal staan. Afwijkingen worden gedetecteerd door periodieke assessments en regelmatige security-overleggen (elke twee weken), waarin voortgang en nieuwe risico’s worden besproken. Op afwijkingen wordt gereageerd door direct vervolgacties te koppelen aan de bevindingen uit assessments en door het inzetten van ‘CISO as a Service’ om continu te verbeteren. Herstel van toegang en continuïteit worden geborgd door het opstellen van een goed continuïteitsplan en het betrekken van ketenpartners, zodat maatregelen in de hele keten gedragen en uitgevoerd worden.
Beschrijf hoe het verlagen van risico’s, de financiële impact en het voorkomen van reputatieschade zijn vastgelegd in de cyber resilience-strategie
Het verlagen van risico’s, beperken van financiële impact en voorkomen van reputatieschade zijn bij HMS vastgelegd door informatiebeveiliging als integraal en continu proces te benaderen, waarbij niet alleen techniek maar ook mens en organisatie centraal staan. Door security structureel te agenderen in het managementteam en ketenpartners actief te betrekken, wordt bewustzijn vergroot en worden maatregelen breed gedragen. Regelmatige security-overleggen en het stapsgewijs verhogen van het beveiligingsniveau zorgen voor grip en tijdige bijsturing, waardoor verstoringen en de bijbehorende financiële en reputatieschade worden voorkomen. Security wordt niet als eenmalig project gezien, maar als vast onderdeel van de bedrijfsvoering, met voldoende middelen en aandacht voor continuïteit.
Beschrijf hoe innovatief het product of de strategie is
De innovatie zit in de integrale aanpak waarbij informatiebeveiliging niet alleen technisch wordt benaderd, maar juist de samenhang tussen IT, business en mens centraal staat. HMS heeft samen met Legian gekozen voor een bredere start met een CIS-assessment in plaats van direct een pentest, waardoor niet alleen technische kwetsbaarheden maar ook organisatorische en menselijke factoren in kaart worden gebracht. Door ‘CISO as a Service’ direct te koppelen aan de nulmeting, wordt continuïteit geborgd en blijft het proces niet hangen in analyses. De aanpak is iteratief en adaptief: elke twee weken vindt een security-overleg plaats, waarbij de lat steeds hoger wordt gelegd en het bewustzijn binnen de hele organisatie en bij ketenpartners actief wordt vergroot. Complexe materie wordt vertaald naar begrijpelijke taal voor alle medewerkers, waardoor security breed wordt gedragen. Deze strategie maakt informatiebeveiliging tot een continu, organisatiebreed proces en zorgt ervoor dat HMS wendbaar en weerbaar blijft in een snel veranderende digitale omgeving.
Beschrijf hoe de digitale autonomie wordt gewaarborgd in het product of de strategie
Digitale autonomie bij HMS wordt gewaarborgd doordat na het loskoppelen van Renewi een volledig eigen IT-omgeving is ingericht, inclusief eigen contracten, werkplekken en applicaties. HMS heeft de regie over haar digitale infrastructuur en security volledig in eigen hand genomen, waardoor afhankelijkheid van externe partijen is verminderd. Door samen te werken met Legian en te kiezen voor een aanpak die niet alleen techniek, maar ook organisatie en medewerkers centraal stelt, wordt de digitale autonomie versterkt. Security is structureel ingebed in de bedrijfsvoering en managementbesluitvorming, waardoor HMS zelfstandig kan sturen op digitale veiligheid en continuïteit, en flexibel kan inspelen op nieuwe risico’s en ontwikkelingen.