De gemeente Zoetermeer is helemaal over op Het Nieuwe Werken. Wethouders en ambtenaren hebben geen vast bureau meer, maar maken gebruik van flexplekken. Ze kunnen er ook voor kiezen om in de stad, in de trein of thuis te werken. Om dit mogelijk te maken moest het complete werkplekconcept van de gemeente grondig worden getransformeerd. Om de thuiswerk-portal, de kantoorautomatisering en de onderliggende infrastructuur op veiligheid te testen, maakte de gemeente gebruik van de diensten van Computest.
In de centrale hal van het stadhuis van Zoetermeer met veel kleur, glas en open ruimtes heerst een enorme bedrijvigheid. De transparantie, flexibiliteit en dynamiek die het stadhuis uitstraalt, wilde de gemeente ook doorvoeren in de manier van werken; de ambtenaren moeten kunnen werken waar en wanneer ze dat willen. ‘Het idee is dat de ambtenaren meer de stad in gaan, letterlijk en figuurlijk. Maar ze moeten ook in de trein of thuis kunnen werken als ze dat willen. Gemakkelijk, maar wel veilig’, vertelt Daniel van Dijk, security- en netwerkspecialist bij de gemeente Zoetermeer.
Om ‘Het Nieuwe Werken’ mogelijk te maken, was het noodzakelijk het werkplekconcept te moderniseren zodat het aan de huidige eisen voldoet. Daarom kregen alle ambtenaren en medewerkers de beschikking over een hybride tablet. Op het stadhuis kunnen ze deze aansluiten op een docking station, en buiten de muren van het stadhuis kunnen ze via always-on VPN of de thuiswerk-portal bij alle applicaties en bestanden.
"Je kunt het zelf nog zo goed uitdenken en ontwikkelen, maar het is goed als een onafhankelijke partij met specialistische kennis dat controleert en test."
- Marc van Gaalen, ICT-manager bij gemeente Zoetermeer
Bedrijfskritische en privacygevoelige informatie
‘Uiteraard moet dit allemaal wel op een veilige manier gebeuren. Je wilt niet dat derden ongeautoriseerd toegang hebben tot je IT-omgeving’, stelt Marc van Gaalen, ICT-manager bij de gemeente Zoetermeer. ‘Binnen de gemeente wordt veel met bedrijfskritische en privacygevoelige informatie gewerkt. Los van de eisen die er onder meer zijn vanuit GDPR-wetgeving, willen we voor onze burgers de security optimaal hebben geregeld.’ Dit is ook de reden dat de gemeente op zoek ging naar een onafhankelijke specialist op het gebied van security testen. ‘Je kunt het allemaal zelf nog zo goed uitdenken en ontwikkelen, maar het is goed als een onafhankelijke partij met specialistische kennis dat controleert en test.’
De gemeente selecteerde Computest. ‘We waren op zoek naar een professioneel bedrijf met specialistische kennis op het gebied van security testing en dan blijkt dat we met Computest zo’n bedrijf praktisch om de hoek hebben zitten’, aldus Van Gaalen. Een prettige bijkomstigheid, aangezien de gemeente Zoetermeer er onder het mom van ‘Samen werken aan de stad’ naar streeft om zoveel mogelijk zaken te doen met bedrijven uit de eigen gemeente. ‘Maar de eerlijkheid gebied te zeggen dat we aanvankelijk niet wisten van hun bestaan. Dat veranderde toen Computest een ondernemersprijs won die in aanwezigheid van de burgemeester van Zoetermeer werd uitgereikt. Daarmee was het eerste contact gelegd. ‘Geen moeilijk gedoe, easy going en totaal niet pusherig. De klik was duidelijk aanwezig.”
Pentest op thuiswerk-portal
Die korte lijnen, openheid en het snelle schakelen, zijn dingen die ik bij Computest als zeer prettig heb ervaren
Marc van Gaalen, ICT-manager bij gemeente Zoetermeer
Maar kwaliteit en professionaliteit zijn voor de gemeente uiteraard belangrijkere selectiecriteria dan de vestigingslocatie. Daarom werd Computest gevraagd om eerst een pentest op het nieuwe werkplekconcept uit te voeren, om zo zijn kennis en kunde te etaleren. Van Gaalen: ‘Dit verliep in alle opzichten naar volle tevredenheid. We merkten aan alles dat we met Computest een professionele partij hadden binnengehaald die wist waar ze mee bezig waren.’
In het vervolgtraject gaan de testspecialisten van Computest aan de slag met de kantoorautomatisering, gebaseerd op VMware en een Windows-omgeving. Een Security Specialist heeft hiervoor een week bij de gemeente intern gewerkt om als een gebruiker met hacker skills het netwerk, de thuiswerkinfrastructuur en wifi na te lopen op zwakke punten en mogelijke risico’s.
Van Dijk: ‘Als er een issue was waar direct actie op vereist was, werd dat direct gemeld. Overigens is dat maar een keer voorgekomen. En verder was er dagelijks nauw overleg over de voortgang en op welke aspecten er nog aanvullende testen wenselijk waren. Die korte lijnen, openheid en het snelle schakelen, zijn dingen die ik bij Computest als zeer prettig heb ervaren.’
Focus op security
Ondanks dat er uit de testen niet hele grote issues naar voren zijn gekomen, hebben Van Gaalen en Van Dijk geen enkele twijfel als ze gevraagd wordt naar het nut om Computest in te schakelen. ‘Er komen altijd zaken uit de testen die je verder kunt optimaliseren, om daarmee een nog betere veiligheid te garanderen. Dat ze met ons meekeken, zorgt bovendien voor een bepaalde frisheid en scherpte aan onze kant. Het moet allemaal werken en tegelijkertijd veilig zijn. En zo’n focus is alleen maar goed’, vindt Van Gaalen.
Van Gaalen: ‘IT-veiligheid vraagt om continue aandacht. En daarbij is het zo dat er door het jaar heen allerlei aanpassingen en configuraties plaatsvinden. Vandaar dat we jaarlijks een securitytest laten uitvoeren. Het is geen verrassing dat Computest één van de partijen is die we vragen om ook daarin mee te denken.’