9 tips voor een succesvolle GGI-veilig uitvraag voor gemeenten

De toenemende noodzaak voor gemeenten om informatiebeveiliging op orde te hebben, tezamen met de wens om slimmer en meer samen te werken, heeft ertoe geleid dat vanuit de Vereniging Nederlandse Gemeenten (VNG) een initiatief is gestart om een Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) op te zetten. GGI-Veilig is daaruit voortgevloeid en faciliteert in het aanbestedingsproces waarmee gemeenten producten en diensten op het gebied van informatiebeveiliging afnemen.

9 tips

In het eerste contractjaar heeft BDO diverse gemeentelijke uitvragen beantwoord en uitgevoerd. We merken dat het succesvol inkopen van cybersecuritydiensten en het selecteren van een passende leverancier niet eenvoudig is en diverse uitdagingen kent. Desondanks is het opstellen van een heldere uitvraag en een accurate behoeftebeschrijving essentieel voor een succesvolle(re) invulling van de opdracht. In dit artikel delen we 9 tips voor IT-managers en security officers van gemeenten die aan de vooravond van een GGI-veilig aanvraag staan.

 

1. Breng huidige situatie en vervolgstappen in kaart
Voorafgaand aan het opstellen van de uitvraag en later aan de keuze voor een oplossing, leverancier, en zeker de implementatie van tools en diensten, is een goede analyse van de huidige status van de omgeving onontbeerlijk. Wat is de huidige status van bestaande security controls en processen? Moeten bijvoorbeeld nieuwe elementen geïmplementeerd worden, of kan er met lichte aanpassingen van bestaande controls worden volstaan?

Een zogenaamde Security Maturity Assessment (SMA) helpt hierbij. Het assessment geeft goed inzicht in uw huidige status en brengt behoeften en vervolgstappen in kaart. Of deze passen in uw gewenste situatie blijkt ook uit het SMA. Scoort de huidige status van een onderdeel volgens de waarderingssystematiek van het SMA bijvoorbeeld rond de 2,5 en is uw doel een score van 3,0, dan licht het SMA de te nemen stappen uit.

 

2. Formuleer doelstelling en uitgangspunten helder
Het lijkt vanzelfsprekend, maar ervaring leert dat het helder formuleren van doelstelling en uitgangspunten van de aanvraag lastig is. Welke onderzoeksdoelstelling staat centraal en welk probleem dient opgelost te worden?

Een doelstelling kan breed zijn, zoals BIO compliance, maar ook specifiek, zoals bijvoorbeeld het uitvoeren van ICT hardening voor de IT-infrastructuur of een test van een specifieke applicatie. Het karakter van de doestelling bepaalt in hoge mate welke eisen er aan de uitvoering en uitvoerder gesteld moeten worden.

3. Stel open vragen
Ondanks dat kaders helder zijn en gesloten vragen vaak makkelijker vergelijkbaar zijn, adviseren we tóch een open uitvraag op te stellen. Gesloten vragen leiden tot gesloten antwoorden. Daag leveranciers uit om te komen tot de meest optimale of originele invulling. U krijgt hierdoor vanuit verschillende perspectieven en leveranciers inzicht in diverse oplossingsmogelijkheden. De vergelijking van verschillende oplossingen wordt hierdoor echter lastiger, maar dit ondervangt u (gedeeltelijk) door het stellen van vragen bij de beoordeling van de verschillende aanbiedingen, mits dit tijdens het proces wordt gefaciliteerd.

4. Ontbrekende expertise bij aanvraag? Vraag leveranciers of VNG om hulp
Ontbreekt de benodigde expertise bij specifieke onderdelen van uw aanvraag? Het kan nuttig zijn om vooraf expertise in te winnen bij één of meerdere leveranciers of bij de VNG zelf. Het is zeker niet vreemd om meerdere leveranciers uit te nodigen en vooraf naar hun visie te vragen.

5. Duidelijkheid over doorlooptijden is geboden

Duidelijkheid over doorlooptijden is een belangrijk onderdeel. Stel uzelf de volgende vragen.

1. Moet het traject snel afgerond zijn en is het belangrijk dat meerdere specialisten tegelijkertijd werken?
2. Zitten er in deze keuze commerciële voordelen voor de gemeente, en zo ja, kunt u deze specificeren zodat leveranciers hierop  kunnen inspelen?
3. Dient één specifiek onderdeel voorrang te krijgen, bijvoorbeeld een forensisch onderzoek?
4. Is er binnen uw eigen organisatie ook voldoende beschikbaarheid om een snelle uitvoer te realiseren?

Hoe duidelijker deze vragen beantwoord worden, hoe beter leveranciers hierop inspelen.

6. Koop niet té zwaar in
Het is van belang te bepalen welke specifieke expertise en ervaring u wenst in te kopen. Sluiten de gevraagde kwalificaties van een leverancier goed aan bij de uit te voeren opdracht of onderzoek? We zien bijvoorbeeld relatief vaak dat gemeenten seniore profielen met zware certificeringseisen aanvragen, terwijl het uit te voeren werk die zwaarte niet vereist. Dit resulteert echter in hogere kosten.

7. Kies diverse leveranciers
Het is raadzaam om over de diverse GGI-veilig percelen (1, 2 en 3) verschillende leveranciers te kiezen. Dit zorgt ervoor dat u informatie vanuit diverse gezichtspunten ontvangt en daarmee een completer beeld van mogelijke risico’s krijgt. Kies dus binnen perceel 1 voor leverancier X en binnen perceel 2 voor leverancier Y.

8. Voorkom vertraging; zorg voor een heldere motivatie na gunning
Zorg bij de keuze van een leverancier voor een goede motivatie richting alle leveranciers, zodat partijen uw keuze niet kunnen betwisten. Dit zou voor een mogelijke vertraging in het proces zorgen.

9. Wijs een tweede leverancier aan
Het komt helaas wel eens voor dat een gemeente en de geselecteerde leverancier er na gunning contractueel gezien niet uitkomen. Om in zo’n situatie een nieuw RFP-proces en tijdsverlies te vermijden, kunt u overwegen om op voorhand afspraken te maken met de VNG, zodat de leverancier die als 2e is geëindigd, alsnog gekozen kan worden.

Concreet stappenplan

Bent u los van de bovenstaande tips benieuwd welke stappen u in een GGI-veilig traject concreet dient te zetten? Bekijk ons stappenplan. Voor meer informatie kunt u contact opnemen met een van onze adviseurs.

 

BEKIJK STAPPENPLAN

Contactpersonen

Drs. Kees Plas, Partner Technology

CCISO, CCSK, CEH, CISA, CISM, CISSP

Frank van der Lee, Partner Advisory, BDO Publieke Sector

Drs. Mr. Jeffrey de Bruijn, Senior Manager Cyber Security & Privacy