CIP-Post

CIP-post
Het CIP Cyber Security
Platform: samenwerking in
Mei 2014 nummer 5
uitvoering
in deze uitgave o.a.
Het CIP Cyber Security Platform (CSP) werd in augustus vorig jaar opgericht.
Sinds de “kick off”- bijeenkomst zijn er 3 inhoudelijke bijeenkomsten geweest.
Het betrof tweemaal samenwerking op het terrein van SOC’s (Security Operation
Centers) en eenmaal het onderwerp crisismanagement.
De bijeenkomsten worden gewaardeerd vanwege zowel de onderwerpen als
de sprekers met verstand van zaken. Maar ook het interactieve element dat
in alle bijeenkomsten wordt ingebracht en het faciliteren en ondersteunen van
het bereiken van samenwerking wordt zeer op prijs gesteld. Voorts is het ook
gewoon erg leuk om in de gelegenheid te worden gesteld met collega’s uit het
vakgebied van heel uiteenlopende organisaties, maar met eenzelfde interesse,
van gedachten te kunnen wisselen, te netwerken en elkaar te helpen. Dat blijkt
wel uit de levendige lunches en borrels waarbij het lastig is je “los te rukken” van
je gesprekspartners vanwege het vervolg van het programma of de reis naar huis.
Inmiddels is er een vaste kern van zo’n 20 trouwe CSP-gangers afkomstig
van onder andere SVB (Sociale Verzekeringsbank), RWS (Rijkswaterstaat),
Uitvoering Werknemers Verzekeringen (UWV), Centrum Indicatiestelling Zorg
(CiZ), het Centraal Administratie Kantoor (CAK), Dienst Justitiële Inrichtingen
(DJI), Bureau Keteninformatisering Werk en Inkomen (BKWI) en het Zorginstituut
Nederland (voormalig CVZ). Daarnaast zijn er “zusterorganisaties” zoals de
Taskforce BID en NCSC die steeds hun inbreng leveren en het CSP komen
ondersteunen. Dit gezelschap wordt aangevuld tot ongeveer 35 deelnemers per
keer van andere overheidspartijen en kennispartners (o.a. Capgemini, HP
en KPN). Zo ontstaat steeds een gevarieerd gezelschap van
inhoudelijke experts op tactisch niveau.
Lees verder op pagina 3
Wijnand Lodder,
algemeen directeur SSC-I,
ziet het CIP als kans tot
concrete samenwerking.
lees meer op pagina 4
Op weg naar meer
eenheid en structuur
in normenkaders in de
informatiebeveiliging.
lees meer op pagina 6
Secure Software
Development: hoe kom ik
in contact en in control?
lees meer op pagina 8 en 9
PIA in de praktijk:
wanneer is een assessment nu echt verplicht en
hoe pak je dat aan?
lees meer op pagina 17
Samenwerking is niet
vanzelfsprekend: zet in op
de factor mens om je doelstellingen te realiseren.
lees meer op pagina 20 en 21
Ook een aantal kennispartners is aangehaakt. CIP heeft
van de Rijks-BVA (Beveiligingsautoriteit) het verzoek
gekregen een trekkende rol te willen spelen bij een ISAC
voor het rijk. Aangezien ons CSP het karakter heeft van
zo’n ISAC is er alles voor te zeggen dit te verbreden naar
een ISAC-Rijk-functie. Gesprekken daarover vinden nu
plaats.
2
ISAC staat voor Information Sharing and Analysis
Center. In een ISAC wordt in een vertrouwde
omgeving gecommuniceerd over kwetsbaarheden
en incidenten, met het doel elkaar te informeren en
te helpen om snel tot oplossingen te komen.
door Ad Reuijl
Voorwoord
COOL zeg, leren van de financiële
sector! Ik zie de bonussen na 22 mei al
binnenstromen op m´n bankrekening!
Nu nog even zorgen voor een goede rente;
regelt de bank ook en ik ben eindelijk
binnen! Kortom: ik ben erbij!
Met deze woorden meldde Marlies van Eck van de
Belastingdienst zich aan voor de voorjaarsconferentie.
We moesten Marlies teleurstellen. Uit het vele dat er van
de financiële sector te leren is, beperken wij ons tot het
eigen vakgebied: de informatiebeveiliging en bescherming
van de privacy. Gelukkig was dat voor haar geen
hinderpaal om te komen.
Over dat vakgebied gesproken: in de eerste maanden van
dit jaar hebben zich enkele verheugende ontwikkelingen
voorgedaan binnen de CIP-samenwerking. Zo konden
we de methode Secure Software Development in een
eerste versie uitbrengen en op het iBestuurscongres
overhandigen aan Dion Kotteman, de nieuwe Rijks-CIO.
In lunchsessies, in diverse presentaties en op de sites van
een aantal kennispartners is dit verder onder de aandacht
gebracht. De methode wordt goed ontvangen. Enkele
organisaties zijn gestart met de implementatie.
Het Cyber Security Platform (CSP) mag zich verheugen
in een flinke belangstelling. Mensen van zo’n 25
overheidsorganisaties tonen belangstelling en doen mee.
Op het gebied van Normatiek is er ook veel beweging.
UWV en SVB hebben besloten over te gaan op de
Baseline Informatiebeveiliging Rijk (BIR) en starten nu
met de implementatie daarvan. ZBO’s hebben in het
verleden vaak hun eigen normenkaders ontwikkeld.
In de meeste gevallen zijn die gestoeld op de Code
voor Informatiebeveiliging, dezelfde grondslag als die
van de BIR. De verschillen zijn daarmee te overzien.
Aangezien overheidsorganisaties in ketens opereren, is
het desalniettemin verstandig om te gaan bewegen naar
een gemeenschappelijke baseline. In samenwerking
met de Taskforce BID (Bestuur en Informatieveiligheid
Dienstverlening) en het ministerie van BZK bevelen we dat
dan ook krachtig aan voor ZBO’s.
Die BIR blijft trouwens wel in beweging. Onze omgeving
verandert tenslotte ook voortdurend. Met die verandering
wijzigen ook de uitdagingen. Zo is voor dit jaar nog een
evaluatie van de BIR gepland. Het CIP heeft de ambitie
om de verschillende onderdelen van de BIR nader uit te
werken met behulp van de methodiek die ook gebruikt
is voor de normenkaders van zowel Secure Software
Development als de versie-2 van de NCSC-Webrichtlijnen.
Deze CIP-Post gaat weer wat dieper in op de
ontwikkelingen die ons bezighouden.
Het CIP Cyber Security Platform: samenwerking in uitvoering (vervolg)
Voor 2014 staat er het nodige op het programma voor het
CSP:
ISAC
Het Directoraat-Generaal Organisatie en Bedrijfsvoering
Rijk (DGOBR) heeft het CSP gevraagd samen met NCSC
een trekkersrol te vervullen bij het oprichten van een ISAC
Rijk. Information Sharing and Analysis Centers (ISAC’s)
zijn publiek-private samenwerkingsverbanden waarbij de
deelnemers onderling informatie en ervaringen uitwisselen
over cyber security. Deze samenwerkingsverbanden vallen
onder het NCSC en er zijn al ISAC’s voor bijvoorbeeld
Energie, Banken en Zorg. Maar ze zijn er dus nog niet voor
het Rijk.
Gezamenlijk SOC
Vanuit het CSP is een werkgroepje ontstaan van CAK,
UWV, SVB, DJI, HP, Capgemini en TNO dat zich tot doel
heeft gesteld om op de najaarsconferentie de eerste
samenwerking op het terrein van SOC’s te hebben
gerealiseerd en een plan te hebben hoe dit uit te bouwen
en anderen over te halen zich ook aan te sluiten. Kennis
en kunde op het terrein van SOC’s zijn schaars en
daarnaast zijn veel overheidsorganisaties met elkaar
verbonden in ketens, ook kunnen kosten worden bespaard
door samen op te trekken. Dit initiatief zoekt aansluiting bij
het onderzoek dat door de DGOBR is gedaan op dit vlak.
Community
Het CSP werkt hard aan het opbouwen van goede
samenwerking. Om dat te ondersteunen zal de CIPCommunitysite Pleio meer en meer worden ingezet als
middel om elkaar te kunnen vinden. We nodigen iedereen
uit zijn profiel in te vullen en aan te geven over welke
beveiligingsthema’s je kennis wilt inbrengen en in welke
informatie je geïnteresseerd bent.
Samen alert blijven
Het volgend inhoudelijk thema waar het CSP mee aan de
slag wil is het elkaar waarschuwen in het geval van een
(ernstig) beveiligingsincident. Daarvoor zal in de CSPCommunity goed moeten worden uitgezocht wanneer
zoiets nuttig is en hoe er dan naar elkaar zal worden
gecommuniceerd. Mogelijk is dit een onderwerp dat goed
past bij de plannen voor het Rijks ISAC.
Kortom het is een boeiende omgeving waarin veel gebeurt
en veel op stapel staat. Ben je nog geen lid van het
CSP, wil je een keer komen kennismaken of gewoon op
de hoogte gehouden worden van de bijeenkomsten en
activiteiten? Laat het weten aan Inez de Fluiter.Mail naar
[email protected], of bel 06-52353201.
Ik wens u veel leesplezier!
Op 18 maart organiseerde het CSP een bijeenkomst
over crisismanagement. Alle aspecten kwamen
aan bod: uitrukken als de crisis is uitgebroken (Fox
IT), praktijkervaringen van DUO (Dienst Uitvoering
Onderwijs), tips van de Taskforce BID, hoe bereid
ik mij goed voor op een crisis? (Secure Labs) en
ook het interactieve ontbrak niet. Wat doe je als de
inchecksystemen op Schiphol weigeren, er opstoppingen ontstaan juist als alle wereldleiders naar
Den Haag komen voor een top? (door Capgemini).
3
4
Het is van enorm groot belang
dat we elkaar vertellen
wat we doen
Wijnand Lodder, algemeen
directeur Shared Service
Center ICT (SSC-I) en Chief
Technology Officer van de
Dienst Justitiële Inrichtingen
(DJI), vindt het CIP een zeer
belangrijk netwerk. Het is een
platform waar partijen elkaar
kunnen vinden om samen
zaken effectief aan te pakken.
Dat begint met elkaar leren
kennen en elkaar op de hoogte
houden van waarmee je op het
gebied van informatiebeveiliging bezig bent.
SSC-I
Het Shared Service Center ICT (SSC-I) is de ICTdienstverlener van de Dienst Justitiële Inrichtingen.
SSC-I ontwikkelt, bouwt, implementeert en beheert
ICT-werkplekken, applicaties en infrastructuur.
Vanuit ervaring binnen het veiligheidsdomein van
de rijksoverheid, is SSC-I gespecialiseerd in veilige,
betrouwbare en innovatieve ICT-oplossingen. SSC-I
is een gedegen organisatie, die goed kan omgaan
met bestuurlijke, organisatorische en technologische
dynamiek.
Veiligheidsketen
DJI vervult een rol binnen de veiligheidsketen en heeft
daarom contact met Nationale Politie, Dienst Terugkeer
en Vertrek (DT&V), Immigratie en Naturalisatie Dienst
(IND) en Centraal Orgaan opvang Asielzoekers (COA).
Automatisering is van belang in de gegevensuitwisseling
tussen deze ketenpartners. Daarom haalt SSC-I in
eerste instantie de banden aan met organisaties die qua
bedrijfsproces goed aansluiten, zoals DT&V, de IND en
het COA. Maar onlangs is in het kader van de Compacte
Rijksdienst ook samen met RWS (Rijkswaterstaat) een
rekencentrum geopend.
Security is basisvoorwaarde
Beveiliging is cruciaal. “We kunnen het ons als overheid
niet permitteren dat onze data gecompromitteerd raken
of dat we door virussen belaagd worden”, aldus Wijnand.
“Bovendien is security in mijn visie een basisvoorwaarde
om professionele ICT-diensten te kunnen verlenen.” Hij
hoopt dat de overheid daarin steeds alerter en proactiever
gaat worden. Daarom zou hij bijvoorbeeld ook gedeelde
SOC (Security Operation Centre) activiteiten toejuichen.
“Het is goed om na te denken over gezamenlijke
knooppunten zodat niet iedereen voor zichzelf alles hoeft
in te richten en we ook van elkaars kennis gebruik kunnen
maken.”
Wijnand is erg enthousiast over het CIP-netwerk en ziet
het als een kans om concreter te gaan samenwerken
in overheidsland. SSC-I is ISO 27001 gecertificeerd.
Deze norm specificeert eisen voor het implementeren,
onderhouden en verbeteren van beveiligingsmaatregelen.
De ervaring die hiermee is opgedaan wil Wijnand graag
delen met anderen.
Vanuit zijn werk voor de Supply Board (zie kader) deelt hij
graag informatie over de ontwikkelingen op het gebied
van de Rijkswerkplek, een platform voor mobiele
apparaten, een oplossing voor Bring Your Own Device en
een veilige Rijkscloud. “Het is van belang hierin samen op
te trekken en het zou zonde zijn als iedereen het wiel voor
zichzelf gaat uitvinden”.
Kortom een uitnodiging om contact met Wijnand Lodder
op te nemen! Per mail [email protected],
of telefoon +31(0)88 071 64 78
Supply Board
De Supply Board bestaat uit de leveranciers van
generieke ICT-diensten binnen de Rijksoverheid.
Wijnand Lodder maakt deel uit van de Supply
Board die zich in opdracht van de CIO Rijk en de
kwartiermaker CTO Rijk, en in het kader van de
I-strategie overheid, bezighoudt met generieke
rijksbrede ICT-thema’s zoals beveiligen van informatie,
de samenwerking met de markt en voorzieningen als
de Rijkspas, gemeenschappelijke datacenters en de
gesloten Rijkscloud. Wijnand is portefeuillehouder
Enterprise Mobility Rijk en mede-portefeuillehouder
Security.
Meer grip op Security
Bijna alle grote organisaties maken gebruik van firewalls en voeren regelmatig penetratietesten uit. Desondanks heeft
men onvoldoende vat op security, getuige de explosieve groei van incidenten. In de praktijk blijkt dat 75% van die
incidenten hun oorzaak vinden in softwarefouten. Software Improvement Group (SIG) ontdekt veel van die softwarefouten
in haar advieswerk en constateert dat opdrachtgevers het moeilijk vinden om goed af te stemmen met leveranciers over
softwarebeveiliging.
Hoe stel je eisen op maat? Hoe blijf je daarover in dialoog
met de leverancier? Hoe toets je de softwarekwaliteit?
Wat doe je met risico’s die overblijven? Bij deze vragen
helpt de onlangs door het CIP gelanceerde methode
‘Grip op secure software development (SSD)’, waar SIG
nauw bij betrokken is. Deze methode beschrijft hoe een
opdrachtgever grip krijgt op het (laten) ontwikkelen van
goed beveiligde software.
SIG ziet in de praktijk dat de meeste leveranciers (of
ontwikkelafdelingen) uit zichzelf geen security by design
toepassen. Dat wordt beter als opdrachtgevers eisen
stellen, maar ook dan kunnen leveranciers het laten liggen
omdat, onder druk van de zaken waar ze wel op worden
afgerekend, niet of nauwelijks inhoudelijk getoetst wordt.
Het is dan wachten op een eventuele penetratietest om
te zien welke lekken nog moeten worden gedicht. Van
structurele security is dan geen sprake. Het is daarom
belangrijk om reviews te doen, bij voorkeur vroeg in het
ontwikkelproces: laat onafhankelijke experts naar ontwerp,
broncode en bouwproces kijken om te zien of op de juiste
plaatsen de juiste security best practices zijn doorgevoerd.
Kantoor SIG
Rembrandt-toren Amsterdam
SIG heeft in samenwerking met universiteiten en met
subsidie van Economische Zaken een unieke methode
ontwikkeld die het beveiligingsniveau van software meet
conform ISO25010. Met die methode en speciale tools
analyseren SIG-experts (ketens van) systemen om te zien
of security goed is ingebouwd en de juiste voorzieningen
zijn getroffen - kijkend naar wat daarover is vastgesteld
door NCSC, OWASP, CWE/SANS en de BIR. Dit resulteert
in meetbare security (1 tot 5 sterren), inzichtelijke risico’s
en een roadmap die stap voor stap de security verbetert.
Bij het doorlichten van de software wordt ook gekeken
naar de bouwkwaliteit van het systeem. Immers, naast
aanvallen door hackers, vormen fouten door ontwikkelaars
de belangrijkste bedreiging. Door software goed in elkaar
te zetten wordt voorkomen dat onoplettendheid leidt tot
een nieuwe kwetsbaarheid of een datalek. Pas als de
bouwkwaliteit onder controle is wordt security houdbaar.
Rob van der Veer,
Senior Consultant bij SIG
5
6
Op weg naar één normbegrip:
al het goede komt in drieën
Makkelijker kunnen we het
niet maken, handiger wel
Wiekram Tewarie heeft wortels in India. Niet zo gek dus
dat hij het Hindoeïsme als inspiratiebron heeft gebruikt
voor zijn visie op normenkaders. De Hindoeïstische Drieeenheid wordt gevormd door Brahma (schepper), Vishnoe
(onderhouder) en Shiva (vernietiger). Oftewel het gaat hier
om de oercyclus: geboorte, leven en dood. Al het goede
komt in drieën en staat onderling met elkaar in verband.
Van normen (best practices en baselines) moet je zeker
geen religie maken, maar de hier geschetste cyclus is als
principe goed toepasbaar gebleken voor ons begrip van
normen.
Nadat een aantal grootgebruikers al in 2012 door de molen
ging, werd 2013 het jaar waarin overheidsland in brede zin
te maken kreeg met verscherpte regelgeving omtrent het
gebruik van de DigiD-koppeling. Audits werden verplicht
gesteld en aan een reeks van normen moest worden
voldaan, op straffe van afsluiting van DigiD. Van de 59
voorgestelde normen in de NCSC-Webrichtlijnen werden
er uiteindelijk slechts 28 verplichtend voor de audits.
Aanpassing van het normenkader
Oercyclus
Normen zijn bedoeld om een situatie in de werkelijkheid
te beoordelen en handreikingen te doen om die situatie
gericht te verbeteren. Het is van belang de relatie
tussen beleidsmaker (geboorte), professional/uitvoerder
(leven) en auditor (beoordelen, wedergeboorte), oftewel
beleid, uitvoering en control, hierin mee te nemen. “Veel
normenkaders zijn gefragmenteerd of niet geordend, of ze
besteden alleen aandacht aan het beleid, of juist alleen
aan de uitvoering of control. Daarmee zijn die kaders niet
in evenwicht en haal je niet de informatie op die je moet
ophalen. Je zult ook zien dat iedere auditor weer met een
andere uitslag, als normenset, zal komen, omdat het geen
consistent geheel is”, aldus Wiekram.
Maturity model
Samen met de CIP-Domeingroep Normen is Wiekram
bezig met een verbeterslag in het denken over
normenkaders voor informatiebeveiliging. Kern is dat
steeds de drie elementen meegenomen moeten worden
bij elk onderwerp dat wordt onderzocht. Onderwerpen zijn
bijvoorbeeld: netwerk, toegangsvoorzieningen, applicaties
of primaire processen. Naast het goed toepassen van
de drie invalshoeken wordt er ook een maturity model
ontwikkeld. Je wilt immers niet alleen weten of je aan een
bepaalde norm voldoet, maar ook op welk niveau je zit en
wat voor jouw situatie het juiste niveau zou zijn, zodat je
hierop (indien nodig) een groeiplan kunt zetten.
Tijdens de verbouwing blijft de winkel open
In dat verband lopen er op dit moment op initiatief van
het CIP meerdere ontwikkeltrajecten om normenkaders
om te vormen en te verbeteren. Het NCSC-normenkader
voor DigiD werd opnieuw uitgeschreven en is nu onder
regie van het NCSC in de reviewfase. Het normenkader
voor Secure Software Development (SSD) is opgeleverd
en is in implementatie bij UWV. Daarmee is al een aantal
te onderzoeken elementen zoals toegangsvoorziening
en netwerk (NCSC-kader) en applicaties (SSD-kader)
op fundamentele wijze beschreven. Uiteraard is het
werk hiermee niet af en zullen de kaders steeds
bijgewerkt moeten worden naar aanleiding van de laatste
ontwikkelingen. Denk bijvoorbeeld aan het gebruik van
clouddiensten. Een volgende stap is ook om de algemene
VIR/BIR-normenkaders op dezelfde manier een upgrade te
geven.
Het CIP hanteert hier de aanpak: tijdens de verbouwing
blijft de winkel open. Want naast het uitvoeren van
de desbetreffende ontwikkeltrajecten wordt er ook
gewoon geïmplementeerd. Zo ondersteunt het CIP de
implementatie van het SSD-normenkader bij het UWV en
trekt het CIP samen op met de Taskforce BID (Bestuur en
Informatieveiligheid Dienstverlening) bij het uitrollen van
de BIR bij de ZBO’s. Daarbij is het voornemen om voor
departementen een kick-offdag aan te bieden t.b.v. de
onder hen ressorterende ZBO’s. Als alles volgens plan is
verlopen, heeft de dag voor het ministerie van SZW met
SVB en UWV plaatsgevonden op 19 mei.
Bij de implementaties van de BIR worden nu de
normenkaders in de huidige vorm gehanteerd. Op het
moment dat belangrijke onderdelen van de BIR in de
nieuwe vorm gereed zijn, worden die aangeboden om
mee te nemen. Ze kunnen dan gebruikt worden als
nadere aanscherping en verduidelijking. Door de tijd heen
ontwikkelt zich zo een geleidelijke beweging naar één
begrip van normen binnen de overheid.
Parallel aan deze operatie heeft het CIP in samenwerking
met het NCSC een kwaliteitsslag ingezet. Daarbij zijn de
normen op fundamentele wijze herschreven en uitgewerkt.
Dit normenkader is bij het ter perse gaan van deze
nieuwsbrief in ‘externe review’ bij een aantal stakeholders
(Logius, auditberoepsgroep Norea, etc). De nieuwe versie
van het normenkader (ambitie is om die in te voeren voor
de audits van 2015) zorgt voor meer duidelijkheid op
het niveau van beleid, uitvoering en control. Daarnaast
betekent het een stap op weg naar een meer eenduidig
normbegrip door de dienstverleningsketens heen.
Uiteindelijk is dat dan dienstbaar aan de vergroting van
het vertrouwen van de afnemers in de (digitale) overheid.
Ontwerper van de methode (SIVA genoemd) is Wiekram
Tewarie. Als trekker van de CIP-domeingroep Normen
is hij de motor van de ontwikkeling om normenkaders
fundamenteler in te delen.
Informatiebeveiliging meetbaar maken
B-Able is als kennispartner actief in de domeingroep
normen en kon vanuit de praktijk bijdragen aan de
ontwikkeling. Mede door het testen van een praktijkcase
bij de gemeente Etten-Leur (zie het KING-artikel: http://
www.b-able.nl/nl/partners/customers/47/) is er ook vanuit
een praktische insteek gekeken naar het normenkader.
Juist vanuit die praktijktoepassing werd duidelijk waar
de knelpunten zaten en konden leereffecten worden
meegenomen.
B-Able heeft veel ervaring met de vertaling van
theoretische kaders naar praktisch werkbare methoden
en technieken. Doordat organisaties vaak beperkt ‘in
control’ zijn, kosten (verplichte) audits vaak veel tijd.
Om een en ander beter op orde te krijgen heeft B-Able
een applicatie ontwikkeld die methodisch auditen en
verslagleggen afdwingt. Deze applicatie, genaamd
SecuriMeter, zorgt enerzijds voor het inzichtelijk maken en
meten van het niveau van informatiebeveiliging, anderzijds
voor verslaglegging. Hiermee kan ook de actuele status
van wet- en regelgeving inzichtelijk worden gemaakt.
Niet alleen het huidige DigiD normenkader (inclusief de
uitgevoerde audits) is hierin opgenomen, maar ook het
nieuwe normenkader op basis van het SIVA-raamwerk.
De SecuriMeter is tevens gebruikt voor het testen van
dit nieuwe normenkader. Naast het DigiD-normenkader
zijn ook de BIG, BIR, WIBA, GBA, BAG, VIRBI en
Suwinet in de SecuriMeter opgenomen en is het mogelijk
om uitbreidingen te doen met andere normenkaders.
Denk bijvoorbeeld aan de Nederlandse Bank normen of
ISO27001/2.
Het uiteindelijke doel is om informatiebeveiliging in de
keten ordentelijk te organiseren en te auditen. Dit dient
op dusdanige wijze te geschieden dat het proces van
zelfregulering consistent in de organisatie en binnen
ketens wordt verankerd. Daarmee wordt bijgedragen
aan de verhoging van de informatieveiligheid van de
overheidsdienstverlening en - in het verlengde - aan het
vertrouwen van de afnemer in die dienstverlening.
Sjoerd Postuma
Business Information Security Consultant bij B-Able
7
8
Grip op Secure Software
Development: in contact en in
control
Wat is er mooier dan dat applicaties bij het ontwerp al veilig
zijn. Des te eerder in het proces beveiligingseisen worden
meegenomen des te beter. In samenwerking tussen het
CIP en UWV is onder leiding van Ad Kint (Projectmanager
CIP/UWV) en Marcel Koers (Senior Enterprise Architect
CIP) een methode ontwikkeld die dit mogelijk maakt.
De methode beslaat het complete voortbrengingsproces
van software en is gestoeld op drie pijlers.
1. Contactmomenten
In het traject van opdracht tot compleet product zijn er
meerdere contactmomenten. Dan is er mogelijkheid tot
waarnemen en desgewenst bijsturen.
2. Standaardiseren van beveiligingseisen
Het standaardiseren van eisen zorgt ervoor dat deze niet
bij ieder project of iedere release opnieuw vastgesteld
hoeven te worden.
3. SSD-processen
Het zorgen voor beschikbaarheid van middelen,
menskracht en een visie op wat bereikt moet worden.
9
Eén taal, één normenset en één methode
De droom van het SSD-team is het bereiken van één
taal, één normenset en één methode in overheidsland.
Veel overheidsorganisaties hebben immers dezelfde
leveranciers en het gelijk trekken van normen kan veel
efficiency voordelen opleveren. Daarnaast is dit ook een
verbeterslag voor auditors.
Het SSD- team organiseerde op 24 maart een
bijeenkomst om enerzijds uitleg te geven over de
methode en anderzijds kennis en ideeën uit te
wisselen met belangstellenden van zoveel mogelijk
overheidsorganisaties. Ruim 30 mensen waren naar het
hoofdkantoor van UWV gekomen om aan deze sessie deel
te nemen. Ook José Lazeroms was aanwezig namens het
bestuur van het CIP en UWV.
Het SSD- team had een enerverend en druk programma
voorbereid. Rob van der Veer, van CIP kennispartner
SIG (Software Improvement Group) nam het gezelschap
om te beginnen mee in de spraakverwarring die er nogal
eens ontstaat rondom beveiligingseisen aan software. De
applicatieleverancier denkt dat de hostingleverancier het
regelt, of andersom. Of begrippenkaders blijken niet op
elkaar aan te sluiten. Danwel gaat de opdrachtgever ervan
uit dat een pentest aan het eind toch meer dan voldoende is.
Practitioners
gezocht
Om de droom van verspreiding van de SSD- methode
te laten uitkomen heeft het SSD- team het plan
opgevat om een Practitioner Board te gaan starten die
regelmatig bij elkaar gaat komen om kennis te delen
en toevoegingen en aanpassingen op de methode te
verzamelen en door te voeren. Heb je hier interesse voor?
Meld je dan aan!
In een interactief vervolg komen we erachter hoe de
situatie, bij de organisaties die zijn vertegenwoordigd, er
aan toe is. Wie heeft zijn kader op orde? Wie toetst er nu
wat en wat zijn daar de belemmeringen bij? Met oranje en
blauwe “stemkaarten” kunnen de aanwezigen aangeven
of iets bij hen wel of niet geregeld is. Dit leidt tot goede
interactie en een levendige discussie.
het SSD-implementatieteam met sponsor José (bestuur CIP en UWV). Van links naar rechts:
Arie Franke, Ad Kint, Marcel Koers, José Lazeroms, Rob van der Veer, Bas Weber en Patrick van Grevenbroek
Daarna neemt Marcel Koers het stokje over en licht
de methode nader toe. SSD kan helpen doordat het
ondersteunt bij het maken van concrete afspraken.
Het stimuleert het helder maken van de taakverdeling
tussen klantorganisatie en leverancier. Daarnaast zet het
aan tot prioriteren doordat wordt nagedacht over welke
risico’s wel of niet acceptabel zijn, en op welke risico’s
maatregelen moeten worden ingezet. Het geeft ook
inzicht in welke partijen en/of afdelingen beter of slechter
scoren. Tot slot helpt het kader bij het vaststellen van het
volwassenheidsniveau en helpt het bij de groei naar een
hoger niveau. Hier voegt Wiekram Tewarie nog aan toe
dat deze methode zowel duidelijkheid schept over het
beleid, de uitvoering als de controle op het toepassen van
beveiligingseisen bij softwareontwikkeling.
Trainingen
Voor implementatie op de werkvloer is voor de SSDnormen een ICT security training en een Awareness
training ontwikkeld. Deze zal op korte termijn
beschikbaar gesteld worden.
Neem voor meer informatie contact op met
Ad Kint of Marcel Koers.
Implementatie bij UWV: gewoon doen
Tot slot leggen Ad Kint (Projectmanager), Bas Weber
(teammanager functioneel ontwerp en beheer UWV),
Arie Franke (leveranciersmanagement UWV) en Patrick
van Grevenbroek (Testservicecenter UWV) uit hoe de
implementatie van de SSD- methode bij UWV tot nu toe
verloopt. Omdat UWV een complexe IV-keten heeft met
1200 medewerkers is ervoor gekozen om de implementatie
te gaan aanzetten door met de leveranciers die de sofware
bouwen concrete afspraken te maken.
Dit is heel open ingestoken. Leveranciers hebben de
mogelijkheid gekregen te reageren en feedback te geven
op de af te spreken normen. Vervolgens is een datum
vastgesteld vanaf wanneer er op de eisen getoetst zou
gaan worden. Bas Weber vertelt hoe hij met zijn team
van functioneel ontwerpers en beheerders gewoon aan
de slag is gegaan om de methode te bespreken en hun
contactpersonen bij de leveranciers te betrekken. Hij
houdt de lijntjes kort, gaat aan de slag en stelt gaandeweg
bij. Het Testservicecenter toetst of bij oplevering van de
software aan de eisen is er voldaan en voert ook een
aantal eigen testen uit.
10
Informatiebeveiliging bij de
Rijksdienst Uitgangspunten en
regelgeving
De overheid beschikt over en bewerkt veel en gevoelige
informatie van burgers en is net als andere organisaties
kwetsbaar als het gaat om haar (digitale) dienstverlening.
Dat is een reden om de informatiehuishouding en de
beveiliging daarvan goed op orde te hebben.
Daarvoor heeft de Rijksdienst sinds 1994 het (in 2007
geactualiseerde) Voorschrift Informatiebeveiliging
Rijksdienst (VIR) tot haar beschikking. Het VIR regelt de
verantwoordelijkheden voor informatiebeveiliging binnen
de Rijksdienst en wijze waarop de rijksoverheid omgaat
met de beveiliging van haar informatie. Belangrijke
elementen zijn de verantwoordelijkheid van de lijnmanager
en de verplichte risicoafweging die deze voor zijn
processen en informatiesystemen moet uitvoeren.
Naast het VIR is ook een Baseline Informatiebeveiliging
Rijksdienst (BIR 2012) opgesteld ter vervanging van vijf
rijksbrede normen en de baselines van de ministeries
en hun uitvoeringsorganisaties. Op basis van een
globale risicoanalyse is het basis- beveiligingsniveau
vastgesteld waaraan elk systeem binnen de rijksoverheid
moet voldoen. De BIR is gebaseerd op de ISO27001 en
ISO27002, en geeft op een aantal plekken nadere invulling
aan de ISO-normen. De BIR biedt bescherming voor het
vertrouwelijkheidsniveau Departementaal vertrouwelijk en
WBP risicoklasse 2, zodat de meeste informatiesystemen
voldoende aan de BIR hebben.
Implementatie van de BIR
De ministeries en de daaronder vallende
uitvoeringsorganisaties hebben afgesproken per 1 januari
2014 de BIR te gaan implementeren. Het betreft een
traject van zo’n anderhalf a twee jaar. De ministeries zijn
voor deze implementatie zelf verantwoordelijk. Wat hierbij
helpt/heeft geholpen, is dat tijdens de totstandkoming van
de BIR en gedurende het gehele implementatietraject
er continu nauw contact plaats heeft gevonden met en
tussen de ministeries. Denk hierbij bijvoorbeeld aan het
uitwisselen van best practices.
Om te toetsen of de ministeries daadwerkelijk stappen
zetten bij de implementatie van de BIR worden dit jaar (en
ook de volgende jaren) bij de ministeries audits uitgevoerd
op vijf thema’s uit de BIR. Gestart is met proefaudits bij
een kerndepartement en een Shared Service Centrum. De
audits staan dit jaar vooral in het teken van leren. Ook zal
het instrument van peer reviews worden ingezet voor een
enkel thema en enkele organisaties.
De QuickScan BIR
die het Directoraat-generaal Organisatie en Bedrijfsvoering
Rijk (DGOBR) van het Ministerie van BZK en de Taskforce
BID gezamenlijk hebben ontwikkeld. Het instrument
is ontworpen op basis van ervaringen binnen de
departementen van de rijksoverheid. De QSBIR kan ook
bruikbaar gemaakt worden voor de andere overheidslagen.
Doel van de Quickscan BIR
De Quickscan BIR stelt de manager in staat om in
een sessie van hooguit twee uur, stapsgewijs tot een
afgewogen en te verantwoorden oordeel te komen of de
desbetreffende risico’s voldoende door de BIR worden
afgedekt. Vanuit het inzicht in de belangen van zijn of
haar proces neemt de manager een beslissing of het
beveiligingsniveau van de BIR voldoende is.
Aansluiting met de IRAM risicoanalyse
methodiek
Eén van die handvatten is de QuickScan BIR (QS BIR),
Stappen voor risicoanalyse uit de BIR
Ja
Maatregelen BIR
Nee
De QuickScan BIR heeft aansluiting met de
binnen de rijksoverheid veel gebruikte IRAM
risicomanagementmethodiek. IRAM is een
risicoanalysemethode die kan worden toegepast voor
processen en informatiestromen in een organisatie en voor
signalering van beveiligingsrisico’s in de voorfase van een
ICT-ontwikkelingsproject. Blijkt uit de Quickscan,
dat de BIR niet voldoende bescherming biedt en een
diepgaandere risicoanalyse nodig is, dan kan met
hergebruik van de verzamelde informatie worden
overgestapt naar IRAM.
Momenteel werken DGOBR en de Taskforce met
ervaringsdeskundigen uit de verschillende
ministeries aan “parametrisering” van IRAM voor de
Rijksdienst, zodat de beoordelingselementen/risico’s beter
aansluiten bij die van de Rijksdienst. Als voorbeeld: van
dalende aandelenkoersen heeft de overheid geen last;
wel bestaat het risico, dat een minister zich bij de Tweede
Kamer moet verantwoorden.
Bundeling van jarenlange ervaringen
Optimaal
BIR + Extra
maatregelen
Afweging
maatregelen
(lijnmanager)
Acceptatie
restrisico
(lijnmanager)
bijdrage levert aan de onderlinge afstemming van de
beveiligingsniveaus binnen de overheid.
Vragen?
Voor vragen naar aanleiding van dit bericht, kunt u terecht
bij Carl Adamse via [email protected] of Fred van
Noord via [email protected].
Risicomanagement is bij de Rijksdienst het uitgangspunt
van de informatiebeveiliging. Voor de meeste processen
en hun informatiesystemen is het beveiligingsniveau van
de BIR voldoende. Om dit snel en eenvoudig te kunnen
vaststellen is de QuickScan BIR ontwikkeld.
De Taskforce Bestuur en Informatieveiligheid
Dienstverlening (Taskforce BID) ontwikkelt samen met
organisaties binnen de verschillende overheidslagen
een gericht opleidingsaanbod en concrete
verankeringsinstrumenten voor informatieveiligheid.
Dit heeft als doel het, mede hierdoor, realiseren
van een zichtbare én meetbare verandering binnen
overheidsorganisaties als het gaat om risicobewust
handelen en gericht sturen op informatieveiligheid.
Dat zijn handige handvatten voor bestuur en
topmanagement waarmee zij in staat zijn om te meten
of de eigen organisatie ‘in control’ is op het gebied van
informatiebeveiliging.
Quick Scan; ‘is de BIR voor deze situatie voldoende?
Risicoanalyse
11
Door de bundeling van de jarenlange ervaringen van
de departementen met soortgelijke instrumenten, heeft
de overheid met de ontwikkeling van de QuickScan BIR
straks één gemeenschappelijk toepasbaar instrument in
handen. Het betreft een instrument dat een wezenlijke
Mijn naam is Eric Nieuwland, getrouwd, vader van
twee, en inmiddels opa van één. Na een studie
informatica aan de UvA ben ik aan de slag gegaan
binnen de IT. Eerst als onderzoeker, beheerder
en ontwikkelaar, later ook als consultant en EDPauditor. Sinds maart 2006 werk ik voor Inspearit te
Bilthoven (ook bekend van de Cibit academy).
Wat mij in dit werk fascineert is dat we heel goed
in staat zijn om steeds complexere systemen te
bedenken en ontwikkelen, maar dat het maar
mondjesmaat lukt om de betrouwbaarheid te
verbeteren. Dat zie ik terug in de kwaliteit van
programmatuur, beheer, beveiliging en informatie.
Projecten waarin die aspecten een rol spelen
hebben mijn voorkeur.
Toen het CIP mij vroeg om mee te werken aan de
domeingroep Normen, hoefde ik dan ook niet lang
na te denken. Gelukkig laat dit werk zich goed
combineren met mijn andere werkzaamheden, dus
dat was snel geregeld.
Mijn hoop is dat we in staat
blijken iets neer te zetten
wat voor managers en
techneuten begrijpelijk is,
wat bouwers en auditors
op het goede spoor zet
en wat daarmee de basis
kan vormen voor een
vertrouwde (digitale)
samenwerking.
Betere software door komende
meldplicht datalekken
12
In het voorjaar heeft in CIP-verband een
tweeluik Privacy plaatsgevonden, met name
gericht op het fenomeen 'PIA': de privacy
impact assessment. Twee kennispartners
van het CIP tekenden voor de organisatie en
de inhoud.
Het zijn twee heel verschillende sessies
geworden. De eerste, op 4 maart verzorgd
door Privacy Management Partners, had
als deelnemers de (actieve) leden van de
domeingroep Privacy: een deskundig, goed
geïnformeerd en kritisch publiek.
Te gast bij het Zorginstituut Nederland werd
het een levendige sessie met veel interactie,
die uitmondde in het invullen van de Privacy
Compliance Toets. Opvallende maar kennelijk
vaker voorkomende uitslag: mensen uit
verschillende lagen of 'beroepsgroepen'
van dezelfde organisatie geven nogal eens
verschillende beoordelingen. De ene Pia is
dus kennelijk de andere niet, differentiatie is
noodzakelijk.
Dat werd bevestigd door CIP-kennispartner
Considerati in de tweede bijeenkomst, op
1 april: een Pia is niet zomaar even een
afvinklijstje nalopen. Als doel en context niet
steeds weer vooraf heel duidelijk worden
bepaald, dan blijft het een flets en weinig
efficiënt instrument.
Deze sessie had een heel andere
invalshoek en een breed publiek: meer dan
40 organisaties waren vertegenwoordigd.
Dankzij gastheer KPN was dat geen
probleem. Er is kennelijk een brede behoefte
aan informatie over Pia. De toehoorders
hoorden ook een verhaal, dat klonk als een
spannend jongensboek, over achtergronden
bij operaties van de High Tech Cybercrime
Unit van de Nationale Politie. Een en ander
is overigens niet vrij van privacy-dilemma's.
Het CIP streeft naar uitbouw van dit concept:
kennispartners met onderscheidende
expertise organiseren 'kennissessies' voor
het CIP-netwerk. Deze bijeenkomsten
worden bij voorkeur georganiseerd
door eveneens bij het CIP aangesloten
organisaties.
Zo kan het werken: als iedereen wat bijdraagt
dan gaat het netwerk swingen!
Ruud de Bruijn
CIP
Privacy en privacyschendingen krijgen steeds meer
aandacht. Momenteel zijn er de nodige ontwikkelingen
op het gebied van het melden van datalekken. Het
Europees Parlement heeft na lang wikken en wegen,
ondanks grote druk van lobbyisten en met de nodige
aanpassingen, inmiddels het voorstel voor de nieuwe
“Data Protection Regulation” geaccepteerd. Dit voorstel
ligt nu ter goedkeuring bij de Raad van Ministers. De
Eerste Kamer zal zich in Nederland binnenkort ook
buigen over aanpassingen aan de Wet Bescherming
Persoonsgegevens (WBP), deze aanpassingen lopen
vooruit op de Europese ontwikkelingen. Voor beide
voorstellen (of wetswijzigingen) is de hoofdlijn dat
elektronische gegevensuitwisseling steeds belangrijker
wordt. Hierbij wordt ook rekening gehouden met het feit
dat steeds meer persoonsgegevens worden verzameld
en gedeeld, mede in een internationale context, en dat
daarom ook de grote verantwoordelijkheid voor het
correct omgaan met deze informatie steeds lastiger wordt.
Daarom stellen beide voorstellen hogere eisen aan partijen
die met onze privacygevoelige informatie omgaan en
worden daarnaast ook algemene meldplichten ingeval
van datalekken geïntroduceerd. Voorts worden zwaardere
boetes geïntroduceerd, oplopend tot zelfs 5% van de
wereldwijde omzet van een organisatie.
Gezamenlijk kader
Mijns inziens leidt de nieuwe wetgeving tot het besef
dat de kwaliteit van bijvoorbeeld software-ontwikkeling
moet verbeteren, omdat het onvoldoende invulling geeft
aan informatiebeveiliging zo krijgt informatiebeveiliging
opeens een veel duidelijker en hoger prijskaartje. Daarbij
helpt het als er vanuit een gezamenlijk normenkader
wordt geopereerd. Dit leidt namelijk voor alle betrokken
partijen tot een duidelijk “level playing field” waarbij de
extra inspanning ook transparant is voor alle partijen.
Daarom juich ik initiatieven toe zoals de handreiking voor
Secure Software Development. Deze handreiking bevat de
benodigde elementen om software op een veilige manier
te ontwikkelen en draagt zo bij tot het beheersbaar maken
van de kans op en de impact van ondermeer datalekken.
De afgelopen jaren is gebleken dat “de markt” niet in staat
is zelf zaken altijd optimaal in balans te krijgen. Als het
nodig is om door middel van juridische druk, in combinatie
met een pragmatische aanpak, onze data een stukje
veiliger te maken dan is dit een eerste stap.
Boete als motivatie
Deze juridische ontwikkelingen hebben een grote
impact op organisaties die werken met privacygevoelige
informatie, waaronder ook overheden en semi-overheden.
Want wat gebeurt er als een datalek plaatsvindt en men
moet aan een desbetreffende burger verantwoorden
waarom een dergelijke boete moet worden betaald? Had
men niet beter vooraf de kwaliteit van software kunnen
verbeteren tegen een fractie van de boete?
In de praktijk blijkt dat informatiebeveiliging, waaronder
veilige softwareontwikkeling nog een ondergeschoven
kindje vormt in het verwerven en ontwikkelen van
systemen. De redenen daarvoor zijn legio. Vaak worden
keuzes eerst gemaakt op basis van functionaliteit
en kosten. Daarbij valt aan een datalek nog niet een
duidelijk bedrag toe te wijzen. Informatiebeveiliging leidt
binnen de context van een ontwikkelproject tot extra
kosten en ook tot een beperking van functionaliteit of
gebruiksgemak. In veel gevallen is de IT-afdeling ook niet
in staat om aan de business concreet uit te leggen welke
informatiebeveiligingsmaatregelen van toepassing zijn.
Wouter Bas van der Vegt,
Senior Principle Consultant bij Ordina
13
14
Kennissessie Privacy
Management
Op dinsdag 4 maart verzamelden een aantal leden
van de Domeingroep Privacy zich bij het College voor
Zorgverzekeringen (CVZ) in Diemen-Zuid voor een
kennissessie over privacy management, verzorgd door
ondergetekenden, werkzaam bij Privacy Management
Partners.
De sessie begon met een toelichting op de Privacy
Management Matrix hiernaast. Linksonder bevinden zich
de organisaties die privacy geen issue vinden: zij zijn
onbezonnen bezig. Rechtsonder vinden we organisaties
die zich beperken tot privacy symboliek: mooi, zo’n
privacy statement op de website, maar als er verder niets
achter zit, dan zegt dat weinig over wat er écht gebeurt
met je persoonsgegevens. Het interessantste kwadrant
is rechtsboven: daar zitten de organisaties die dénken
dat ze hun privacy compliance prima voor elkaar hebben.
Maar is dat ook zo? Wij vinden nadrukkelijk van niet:
wie privacy juridiseert, loopt een levensgroot risico dat
sommige echt belangrijke issues onderbelicht blijven,
terwijl hij tegelijkertijd het zichzelf vaak onnodig moeilijk
maakt en zich onnodig beperkingen oplegt. Waar je als
organisatie wilt zitten is in het kwadrant linksboven: privacy
wordt effectief en efficiënt gewaarborgd dankzij een
risicogedreven aanpak die verder kijkt dan de letter van de
wet.
Sergej Katus adviseert sinds 1993 op het gebied
van informatiebeleid en privacy compliance. Hij
behartigde de belangen
van bedrijven bij de
totstandkoming van
privacywetgeving vanuit
VNO-NCW. Ook was hij
functionaris voor de
gegevensbescherming
voor de ICT-sector en het
basisonderwijs.
Mr. Sergej Katus
Koen Versmissen werkte ruim acht jaar bij het
College Bescherming Persoonsgegevens in
verschillende beleids- en leidinggevende functies.
Daarbij had hij zowel met de overheid als met het
bedrijfsleven te maken. Koen is een gepromoveerd
informaticus en Certified
Information Privacy
Professional / Europe
(CIPP/E). Ook is hij
geaccrediteerd als
juridisch én technisch
expert voor de EuroPriSe
privacywaarborg.
15
Dr. Koen Versmissen
CIPP/E
Vervolgens werd het belang van privacy management
toegelicht. Sleutelwoorden zijn onder andere:
reputatiemanagement, organisatie-autonomie, vertrouwen
van burgers en van andere organisaties, efficiëntie, license
to operate, (rechts)zekerheid en grip (in control). Uit de
Wet Bescherming Persoonsgegevens blijkt overigens nu al
dat privacy management een onderdeel is van behoorlijk
bestuur. De komende tijd wordt de regelgeving bovendien
aangescherpt. De nieuwe EU-privacyverordening gaat
hoge boetes mogelijk maken (tot honderd miljoen euro!),
en de hoogste boetes komen niet zozeer te staan op
gebrekkige privacy compliance maar juist op gebrekkig
privacy management. Overigens zal het College
Bescherming Persoonsgegevens naar verwachting al per
1 januari aanstaande een algemene boetebevoegdheid
krijgen (dus niet alleen voor overtredingen van de
meldplicht datalekken - bent u daar trouwens al op
voorbereid?).
Vervolgens gingen de deelnemers aan de slag. Aan de
hand van een Quick scan van tien vragen brachten zij in
kaart hoe het bij hun organisatie gesteld is met het privacy
management. De resultaten toonden een wisselend beeld.
Op sommige aspecten bevindt het merendeel van de
deelnemers zich al in kwadrant vier, bijvoorbeeld waar
het gaat om de verantwoordelijkheid voor privacy (die
hoort primair in de lijn te liggen) en het belang van een
risicogedreven aanpak. Op andere punten bestaat nog
de nodige ruimte voor verbetering, bijvoorbeeld als het
gaat om serieuze aandacht voor privacy op het hoogste
managementniveau en het formuleren en communiceren
van privacybeleid.
Maar belangrijker dan deze momentopname van privacy
management op zich waren de discussies die zich
ontsponnen naar aanleiding van de verschillende vragen
en antwoorden, en de tips over goed privacy management
die wij daarbij konden meegeven. Wij hadden het idee dat
de meeste deelnemers met de nodige ‘stof tot nadenken’
de terugreis aanvaardden.
Benieuwd hoe uw organisatie het doet op het gebied van
privacy management? De Privacy Management Quick
Scan is ook online te doen, op: http://www.pmpartners.nl/
quickscan.
Koen Versmissen en Sergej Katus
Gedreven door verandering: Informatiebeveiliging
is een mooi maar weerbarstig onderwerp. Keer
op keer wordt duidelijk dat techniek makkelijker
te sturen is dan de mensen die er (veilig) mee
omgaan. Kennis, houding
en gedrag zijn factoren
die doorslaggevend zijn
bij het op orde krijgen
en houden van de
informatiebeveiliging. Daar
beweging in krijgen (hoe
klein ook) is mijn ding.
Kees vd Maarel
Auditmanager ADR
Seminar Privacy Impact
Assessments voor Overheden
16
Op 1 april vond de door het CIP en CIP-kennispartner
Considerati georganiseerde bijeenkomst “Privacy Impact
Assessments voor overheden in de praktijk” plaats. De
meeting werd gehost door KPN.
Achtergrond
Sinds september 2013 zijn overheden verplicht om een
zogenaamde Privacy Impact Assessment (PIA) uit te
voeren wanneer zij nieuw beleid maken of nieuwe diensten
en toepassingen ontwikkelen waarbij persoonsgegevens
worden verwerkt. Maar in welke gevallen is een PIA nou
eigenlijk echt verplicht? En hoe pak je dat aan? En dan
misschien nog wel de belangrijkste vraag: hoe kan je het
meeste uit je data halen zonder problemen met compliance
te krijgen?
Spraakmakende zaken
Marcus bremer
Ruud vriens
Localbox: veilig gegevens
uitwisselen
Ruim een jaar na de Snowden-onthullingen werd duidelijk
hoe relevant de risicotoets was die in 2012 door Bureau
Informatisering en Projecten van de Tweede Kamer was
opgesteld voor het gebruik van onder meer social media
en applicaties waarop dataopslag van toepassing is.
Op dat moment waren er contacten met andere Hoge
Colleges van Staat en organisaties, waaruit bleek dat ook
daar behoefte was om op een veilige manier gegevens
uit te wisselen en om volledige controle te hebben over
die eigen gegevens. Voorts is het van belang dat ook
leveranciersonafhankelijk gewerkt kan worden en dat
het volledig helder en transparant is hoe versleuteling
plaatsvindt. Om die reden is op basis van open source
software, LocalBox ontwikkeld als veilig alternatief voor
Dropbox.
Een organisatie kan ervoor kiezen om LocalBox als hosted
solution bij een bedrijf af te nemen. Als er echter bij dat
bedrijf veranderingen plaatsvinden die nadelig zijn dan
moet men, zonder enige beperking, naar een andere
leverancier kunnen overstappen of LocalBox in de eigen
omgeving kunnen plaatsen. Het is juist deze vorm van
controle die essentieel is.
We draaien al enkele jaren open source projecten. Kennis
delen, hergebruik van code, kostenbesparing en controle
staan daarbij centraal. Bij LocalBox is dat niet alleen een
voorkeur maar een intrinsiek onderdeel van de oplossing.
De Snowden-zaak maakte ons duidelijk dat geen enkele
gesloten oplossing uiteindelijk veilig bleek.
Succesvolle samenwerking
Door een volledig open en transparante code, waardoor
geen back doors kunnen ontstaan, is het project als veilig
te bestempelen. Het project LocalBox kan alleen met open
source een succes worden. Wij dagen iedereen uit om ons
ongelijk te bewijzen.
Het LocalBox-project bevat alle elementen zoals eerder
geschetst: samenwerken tussen diverse organisaties,
het delen en de kostenbesparing omdat alle organisaties
bijdragen. Doordat enkele Hoge Colleges van Staat,
enkele rijksonderdelen en ZBO's hebben samengewerkt
is er in korte tijd een veilige en gebruikersvriendelijke
oplossing met meerdere App's gerealiseerd. Bovendien is
er zelfs een vergaderfunctionaliteit aan toegevoegd.
Naast het feit dat data minder snel gecompromitteerd zijn,
is er nog een andere belangrijke reden om een project als
LocalBox te stimuleren. LocalBox is een innovatie die in
een later stadium kan worden uitgedragen naar andere
Europese landen.
Na een ontvangst op de spectaculaire locatie van KPN,
het Security Control Centrum waar monitoring van
datastromen plaatsvinden, werden de deelnemers welkom
geheten door Ad Reuijl van het CIP en Eric Dorrestein
en Rence Damming van KPN. Daarna vertelde Jaya
Baloo van KPN iets over de Blackphone, een telefoon
waarbij privacy en controle centraal staan en waarmee
het mogelijk is om beveiligd te bellen, browsen, sms’en en
bestanden te delen.
Vervolgens kregen de deelnemers eerst een interessante
presentatie te zien van Bas Eikelenboom van de Nationale
Politie. Hij legde uit hoe een aantal spraakmakende zaken
binnen de politie zijn aangepakt en hoe men door het
analyseren van enorme hoeveelheden persoonsgegevens
tot steeds betere opsporingsmethoden komt. Eikelenboom
liet zien hoe de Nationale Politie vanaf het prille begin
goed heeft nagedacht over de privacyaspecten en welke
voordelen deze aanpak heeft gehad.
Nuttige tips
Mr. Dr. Bart Schermer, partner bij Considerati en
universitair docent privacyrecht aan Universiteit Leiden,
werkt al jarenlang nauw samen met overheidsinstanties en
heeft daarom kennis van de specifieke problematiek die
zich voordoet bij het verwerken van persoonsgegevens
binnen dit soort instanties. In zijn presentatie gaf hij een
goed overzicht van het nut en de mogelijkheden van PIA’s
en gaf daarbij veel nuttige tips voor hen die zelf overwegen
een PIA te gaan doen. Hierbij werd de focus gelegd op
mogelijkheden in plaats van problemen. Hij maakte ook
duidelijk dat een PIA geen op zichzelf staand middel is,
maar onderdeel van de gehele privacy governance van
een organisatie.
Privacycultuur
Daarnaast is de privacycultuur binnen een organisatie van
belang: ziet men het belang van het uitvoeren van een PIA
in, in hoeverre houdt men zich op de werkvloer bezig met
privacy, wordt de jurist vanaf het begin af aan betrokken
bij het ontwerp van systemen om problemen achteraf te
voorkomen? Een organisatie moet zelf het belang van
privacy inzien en er echt iets aan willen doen om de
privacy governance en compliance te verbeteren. Tijdens
de paneldiscussie met Ton Wagemans van Considerati,
Bart Schermer van Considerati, Ruud de Bruijn van het
CIP, Bas Eikelenboom en Rence Damming kwam naar
voren dat veel overheden zich er wel van bewust zijn dat
er een PIA gedaan moet worden en ook het belang ervan
inzien, maar dat er veel onduidelijkheid heerst over hoe
het gedaan moet worden. Deze sessie heeft daar hopelijk
verandering in gebracht.
Met meer dan zeventig deelnemers van meer dan 45
verschillende organisaties, een levendige discussie en
een prachtige locatie was het seminar zeer geslaagd te
noemen en er blijkt duidelijk behoefte aan kennis- en
ervaringsuitwisseling over PIA’s.
Om na te gaan of u een PIA moet laten uitvoeren kunt
u een kijkje nemen op de website www.privacychecker.
nl. Considerati heeft op deze website een gratis tool ter
beschikking gesteld waarmee kan worden onderzocht of
het uitvoeren van een PIA wenselijk of noodzakelijk is. Met
deze tool heeft Considerati afgelopen jaar een Privacy
Innovation Award gewonnen, die is uitgereikt door de
International Association of Privacy Professionals (IAPP).
Mocht u naar aanleiding van het seminar nog vragen
hebben, dan kunt u contact opnemen met Ton Wagemans
van Considerati: ([email protected]).
17
18
Keten Service Library – een
naslagwerk voor veilig
samenwerken in ketens
In de tegenwoordige ‘vernetwerkte’ wereld is vaak een
keten van partijen betrokken bij het leveren en in stand
houden van kritische IT-diensten. Er is dan sprake van
complexe afhankelijkheden en soms wisselende relaties
tussen publieke en private partijen. In dergelijke situaties
is het belangrijk om duidelijke afspraken te maken over
het voorkomen en oplossen van incidenten in de keten.
Want een organisatie kan het nog zo goed voor elkaar
hebben, als dit bij een andere partij niet zo is dan kan dat
vervelende gevolgen hebben voor andere partijen in de
keten.
Vermijden risico’s
In de domeingroep Ketens van het CIP wordt gekeken
naar voorwaarden voor robuuste vernetwerkte
dienstverlening. Uit een door het CIP georganiseerde
workshop met bestuurders van ketenpartijen over dit
onderwerp kwam duidelijk naar voren dat het door de
toenemende complexiteit steeds moeilijker wordt om
alle afhankelijkheden in kaart te brengen. Hierdoor is
het lastig om de risico’s in de keten inzichtelijk te maken
en passende maatregelen te treffen. Deze maatregelen
richten zich op zowel het vermijden van risico’s als
het ontwikkelen van slimme fall-back scenario’s voor
de situaties waarin die risico's zich daadwerkelijk
manifesteren.
Niet alleen het CIP, maar ook de Taskforce BID (Bestuur en
Informatieveiligheid Dienstverlening) en partijen als Logius
zijn de mogelijkheden op deze vlakken aan het verkennen.
Gezien de uitkomsten van de CIP-workshop en het feit
dat de Taskforce BID medio 2014 met aanbevelingen
voor risicobesef en verplichtende zelfregulering in ketens
komt, is het wenselijk om te komen tot een gezamenlijke
bron van informatie voor integrale ketenbeheersing: een
Keten Service Library. Een dergelijk naslagwerk dient als
hulpmiddel voor verschillende functiegroepen binnen een
netwerkorganisatie of ketenpartij om te komen tot heldere
afspraken met andere partijen in de keten en voor het
treffen van passende maatregelen om ketenrisico’s te
mitigeren.
De CIP-kennispartners Novay en InnoValor hebben een
eerste aanzet voor een Keten Service Library gemaakt. De
Keten Service Library biedt een systematisch overzicht van
bestaande hulpmiddelen voor ketenbeheersing variërend
van normenkaders, best practices en methodieken tot
tools en positioneert ze binnen de visie die het CIP en de
Taskforce BID hiervoor hebben ontwikkeld. In dit verband
is de volgende indeling in een aantal deelgebieden
gemaakt: beveiliging en privacy, transparantie,
besturing, risicobeheersing en incident management.
De hulpmiddelen zijn geclassificeerd als zijnde van
strategisch, tactisch of operationeel niveau waardoor
de verschillende doelgroepen efficiënt te bedienen zijn.
Daarnaast biedt de Keten Service Library verwijzingen
naar de originele bronnen waar de geïnteresseerde
gebruiker meer informatie over het desbetreffende
hulpmiddel kan vinden.
Ketenbeheer
Een aantal zaken valt op als we de balans opmaken van
deze eerste opzet van de Keten Service Library. Ten eerste
zijn er tal van hulpmiddelen voorhanden voor bestuurders,
managers, security professionals en beheerders van
ketenorganisaties. Opnieuw het wiel uitvinden is in veel
gevallen niet nodig. Door slim hergebruik te maken van de
beschikbare middelen en ze vervolgens op maat te maken
voor de eigen organisatie en ketensituatie is veel winst te
behalen.
Wat verder opvalt, is dat niet alle strategische, tactische
en operationele facetten van ketenbeheer per deelgebied
even goed zijn voorzien van hulpmiddelen. Vooral op
strategisch vlak ontbreken hulpmiddelen voor het maken
van afspraken over beveiliging, transparantie en incident
management. Het ketenbreed inrichten van incident
management komt als slechtste uit de bus. Hiervoor
lijkt het aantal hulpmiddelen beperkt. Voor het CIP is dit
aanleiding om hier nog eens goed naar te kijken en er
vervolgens werk van te gaan maken.
Bob Hulsebosch
Senior adviseur bij InnoValor B.V. op het gebied van
risicoanalyses, informatiebeveiliging, digitale identiteiten en
privacy in ketens.
Beveiliging en Privacy moeten een
vanzelfsprekende zaak zijn, ze moeten in de genen
van de medewerkers zitten.
Wat mij drijft als Coördinator Beveiliging en Privacy
is het warm houden van regels en
afspraken rondom beveiliging, privacy en integriteit.
Het gaat om wat je vandaag de dag moet weten.
Daarnaast is er de veranderende wereld om ons
heen: e-dienstverlening, e-werken, het Nieuwe
Werken etc. Er ontstaan nieuwe werkomgevingen en
middelen waarin Beveiliging en Privacy ingebakken
behoren te zijn. Aansluiten
bij die beweging is
noodzakelijk.
Ad Bode
Coördinator Beveiliging
en Privacy
UWV / facilitair bedrijf
CIP in Cijfers
Zo af en toe komt de vraag langs: ‘met hoeveel zijn jullie
eigenlijk als CIP?’
Op deze vraag zijn meerdere antwoorden mogelijk. Het is
maar hoe je kijkt. De kern is klein: een paar mensen zijn
ingezet om het geheel te regisseren en te faciliteren. De
netwerkorganisatie heeft evenwel een flinke ontwikkeling
doorgemaakt. Per 1 april 2014 bestaat het netwerk uit 535
mensen. Naast Agentschappen en ZBO’s - de primaire
doelgroep, waaruit ook de meeste mensen afkomstig
zijn - wordt ook belangstelling getoond vanuit de andere
overheidslagen. Daar zijn we blij mee, want ketens
beperken zich niet tot één overheidslaag. Gemeenten
vormen bijvoorbeeld veelal het begin en het eindpunt
van ketens. Het is dan goed om elkaar te kennen en de
gezamenlijke problematiek te kunnen delen. Ook contacten
met ministeries zijn van groot belang met het oog op het
kunnen verbinden van het beleids- en uitvoeringsdenken.
Ook zijn de producten die we opleveren voor iedereen
beschikbaar en beperken we ons niet tot bepaalde
doelgroepen.
De opbouw van het netwerk kan met enkele
taartdiagrammen worden geïllustreerd.
19
20
Van samen werken
naar samenwerken
ICT en Informatiebeveiliging zijn harde disciplines. Bij
het CIP zijn echter ook mensen betrokken die aandacht
hebben voor de zachte kant die een belangrijke factor is
om het gewenste succes te kunnen behalen.
Kennispartner Renee van Beckhoven is creatief strateeg.
Ze heeft haar sporen verdiend in marketing, communicatie
en organisatieadvies en is daarnaast business coach. Als
eigenaar van Brandid en Adrenaline Communicatie komt
ze in veel grote organisaties en haar diensten worden
gevraagd daar waar er iets te veranderen en verbeteren
valt. Daarbij onderzoekt ze altijd eerst met behulp van
interviews wat er precies aan de hand is. Afhankelijk van
de problematiek wordt er een aanpak voorgesteld.
succes of mislukking...
ligt in de handen van de mens
1. Van samen werken naar samenwerken
Als je verbeteringen wilt doorvoeren is het cruciaal dat de
leidinggevenden en medewerkers doordrongen zijn van
het belang van de voorgenomen verandering. De grootste
succesfactor wordt gevormd door gemotiveerde mensen
die samen aan hetzelfde doel werken. Open en optimale
samenwerking in een bedrijf ontstaat niet vanzelf, hierin
moet je energie steken. Door op prettige wijze (en met een
glimlach) zaken bespreekbaar te maken en alternatieven
aan te reiken die de samenwerking ten goede komen
ontstaat een beweging van positiviteit waarbij steeds meer
mensen zich zullen willen aansluiten.
kansen
het voorspelbare in de mens
2. Aandacht voor het individu
We verwachten soms ten onrechte dat mensen hun
emoties thuis laten en vanuit hun professionaliteit volledig
doen wat ze vanuit hun functie wordt gevraagd. Maar
zodra we het kantoor binnenkomen zijn we niet ineens
mens-af. Een andere mening en persoonlijke gevoelens
kunnen bij het behalen van de doelstellingen behoorlijk in
de weg zitten. Bewustwording en het aanreiken van tooling
om hiermee om te gaan is wat hiervoor nodig is.
3. Symboliek en communicatie
Symboliek en communicatie creëren eenheid en trots,
informeren en geven richting.
Met een aansprekend beeldmerk, dat de kern van de
verbetering weergeeft, kan ludiek en eenduidig naar
de gehele organisatie worden gecommuniceerd. Dit
is van groot belang. Medewerkers worden dagelijks
overspoeld met informatie, van de aanbiedingen van
het bedrijfsrestaurant tot oproepen wat vaker de trap te
nemen. Om aandacht te trekken en te prikkelen moet je er
als verbeteringstraject echt uitspringen en bovenal relevant
zijn.
CIP’er Inez de Fluiter is projectmanager en journalist.
Zij heeft veel ervaring met het meenemen en in hun
kracht zetten van mensen van allerlei achtergronden en
disciplines. Daarbij heeft zij ervaring met ICT, maar kan
zich net zo makkelijk voor een ander inhoudelijk onderwerp
sterk maken en resultaten boeken. Dit doet ze door de
professionals te laten doen waar ze het beste in zijn. Haar
passie is het schetsen van een doel en ervoor te zorgen
dat het complete team dat doel in goede samenwerking
en in prettige sfeer zo snel mogelijk behaalt. Deze kennis
geeft zij graag door aan anderen die er in hun werk ook de
vruchten van kunnen plukken.
Het doorvoeren van verbeteringen, besparingen en andere
werkwijzen gaat niet zonder aandacht te besteden aan
de factor mens. Dat is waar Renee en Inez beiden in zijn
gespecialiseerd, ieder vanuit een andere invalshoek maar
waarbij steeds de volgende drie pijlers zijn te herkennen:
Als een organisatie gericht wil verbeteren, dient daar
een goed plan aan ten grondslag te liggen. Een plan dat
rekening houdt met de grillige factor die de mens in elke
organisatie vormt. Het is een factor die allesbepalend
zal zijn voor het uiteindelijke succes van een operatie en
die daar ook het middelpunt van behoort te zijn. Want
organisaties zijn mensen en mensen vormen te zamen de
organisatie. Geef die mens alle redenen en zekerheden
om te verbeteren en de organisatie beweegt mee. Niet
andersom!
Meer weten? Neem contact op met
Renee van Beckhoven 06 5356 6340
Of met
Inez de Fluiter 06 5235 3201
21
22
Door een andere bril bekeken
23
CIP heeft kennis gemaakt met de Google Glass. Schitterend speelgoed, maar ook
verontrustend, intimiderend zelfs.
Rolf Meester van CGI Business Consulting heeft ons
enkele weken geleden kennis laten maken met een van
de meest gewilde gadgets van het moment, de Google
Glass. Een kleine computer, een camera, een microfoon
en een beeldscherm verwerkt in wat nog het meest op een
brilmontuur zonder glazen lijkt. Always connected - kun je
'm eigenlijk wel uitzetten?
Het is - nu al - een verbluffend apparaat. Anders dan
je zou verwachten heb je geen last van het prismaachtige beeldscherm voor het rechteroog. Maar waar
is het toetsenbord? Glass neemt de dingen die je zegt
persoonlijk op: "OK Glass, take picture" ... en hup, de foto
is gemaakt. En als je dat wil ook al meteen doorgezet naar
facebook. Misschien ook wel als je dat niet wil. Je kunt
gemakkelijk een enorm potentieel aan nuttige en leuke
toepassingen bedenken. En als je het ding op je neus
hebt dan is het enorm verleidelijk om dat er ook allemaal
mee te gaan doen, ik geef het onmiddellijk toe. Maar de
stemming slaat bij mij radicaal om zodra iemand anders
hem opzet en mijn kant op kijkt. Filmt hij nu? Heeft-ie
gezichtsherkenning aanstaan? Dan weet-ie waarschijnlijk
al binnen enkele tellen wie ik ben en wat al niet meer. Heb
ik koorts? ben ik ongerust? Vertel ik de waarheid?
Via verschillende functies op het gebied van
informatiebeveiliging binnen het ministerie van
Sociale Zaken en Werkgelegenheid en later het
ministerie van Verkeer en Waterstaat, ben ik
uitgegroeid tot manager informatiebeveiliging bij
Logius. Ik ben verantwoordelijk voor het beleid en
de kaderstelling voor zowel de interne voorzieningen
van Logius als de producten
van Logius (waaronder
DigiD). Mijn drijfveer is dat
burgers en organisaties
erop moeten kunnen
vertrouwen dat het gebruik
van DigiD, in veilige
handen is bij de overheid.
Wilbert Vrouwenvelder
Logius
Kerckhoffs is niet dood,
hij leeft!
Transparantie is niet alleen in een democratie het
middel dat fouten blootlegt, ook in de ICT-industrie
gaat dit op. Het echt kunnen kennisnemen van de
software helpt problemen te beperken en maakt
misbruik ingewikkelder. Want als je de code kunt
(laten) checken vallen achterdeurtjes uit te sluiten.
Ook programmeerfouten zijn dan simpel te verhelpen.
Van een uitzending van Tegenlicht (oktober 2013) van de
VPRO staat mij nog het meest bij dat je bij Google zelf niet
mag filmen. En dat niet iedereen er even happy mee is.
Maar ook dat de Glass slechts een klein stapje is in een
nieuwe realiteit die er onherroepelijk aan komt - of eigenlijk
al begonnen is. Het modelletje waarmee de journaliste in
die documentaire door de stad rondloopt is vermoedelijk
al digitaal prehistorisch te noemen. Er wordt al nagedacht
over iets waarmee je je onzichtbaar kunt maken voor
camera's - die tegen die tijd ook zelf onzichtbaar zullen
zijn.
In de beveiligingsindustrie was de schok groot toen
op basis van documenten van Edward Snowden
bleek dat de cryptografie van RSA ernstig was
ondermijnd en er eigenlijk geen bescherming van
niveau werd geboden. Wat veilig leek, bleek dat
niet te zijn. Het beveiligingsbedrijf zou voor het werk
tien miljoen dollar hebben ontvangen. Maar het
beveiligingsbedrijf ontkent dat en stelt dat het gaat om
een domme, domme fout.
Controleerbaar zijn
Sinds jaar en dag is het in de cryptografie de regel
dat versleuteling controleerbaar moet zijn: door
peer-review toe te staan, schep je vertrouwen. In het
geval van RSA had dit geholpen, want of de slechte
versleuteling nu een fout was of boze opzet: het was
dan tenminste ontdekt en verholpen. De cryptograaf
Phil Zimmermann, bekend van de PGP- versleuteling,
publiceert juist om die reden zijn code al vanaf het
begin van de jaren '90 van de vorige eeuw. Overigens
niet in de vorm van opensource-software maar onder
een betaalde licentie. Maar wel controleerbaar.
Die aanpak lijkt revolutionair, maar is dat eigenlijk
niet. Zimmermann volgt daarin de Nederlandse
taalkundige en cryptograaf Auguste Kerckhoffs
die dit in 1883 al had bedacht. Als je de werking
niet kunt nagaan dan weet je eigenlijk niet wat je
precies in handen hebt. Hoe weet je immers of er
niet een achterdeurtje in de versleuteling zit? Dat
was behoorlijk visionair van de man, want sinds de
onthullingen van Snowden weten we dat diverse
beveiligingsinfrastructuren bewust en doelgericht zijn
verzwakt. Dat je data kunt beschermen, zul je dus
moeten bewijzen.
Fel debat
In de beveiligingsindustrie is dit inzicht ook al
sinds jaren doorgedrongen. Daar verafschuwt
men 'security through obscurity' als een van de
grootste doodzonden. Want geheimen komen altijd
uit en vroeg of laat wordt afbreuk gedaan aan de
beveiliging. Vraag het maar aan de mensen achter
de OV-chipkaart. Juist het kritisch debat over zin
en onzin van maatregelen is de enige manier om
de waarde van een desbetreffende bescherming te
toetsen. Een kleinere groep is altijd minder goed in
staat dat te doen dan een bredere gemeenschap
dat kan. Transparantie is dan ook een noodzakelijke
voorwaarde voor kwaliteit.
Daarom is het CIP ook zo waardevol. We spreken
daadwerkelijk over wat slim is te doen, we bouwen
gemeenschappen en staan open voor iedereen. We
doen niet geheimzinnig en leren van elkaar. Want
niemand heeft alle wijsheid in pacht. Als mensen
de handen ineenslaan, gebeuren er mooie dingen.
Kijk naar de resultaten van inspanningen zoals
LocalBox, die zich richten op een veilige omgeving
voor informatie-uitwisseling. Iedere vergadering over
het tot stand brengen van dit product voelt aan als
een wedstrijd in wie het slimst mooie technologie
weet toe te voegen en heeft het karakter van een fel,
eerlijk en transparant debat, waaruit je steeds weer
vol ideeën wegloopt. Beveiliging is dan opeens leuk
en innovatief. Die Kerckhoffs was toch zo gek nog
niet!
Brenno de Winter,
Onderzoeksjournalist
Locatie Cip-conferenties
Vanenburg bestaat als landgoed al sinds 1389. Van 1389
tot 1645 had het landgoed een agrarische functie. In 1664
gaven Hendrik van Essen en zijn tweede echtgenote
Geertruid Margarethe van Varick de Amsterdamse
architect Philips Vingboons opdracht een landhuis te
ontwerpen op het landgoed Vanenburg. Dit huis was
zoals Vingboons schreef 'soo sterck gebouwt van dicke
Muuren, swaer van balcken en andersints, als een sterck
Landt-huys soude kunnen gemaeckt worden'. Het wapen
van de opdrachtgevers met het jaartal 1665 werd boven
de ingang geplaatst. Deze steen met het alliantiewapen
van Van Essen-Van Varick bevindt zich nu in het fronton
van het huidige landhuis. De vorm die hij aan het gebouw
gaf, is nog steeds de basis van het huidige Kasteel De
Vanenburg. Na verschillende onstuimige perioden is
het kasteel nu in gebruik als congres-, vergader- en
hotelaccommodatie.
‘Dicke muuren’ worden sinds de uitvinding van
het buskruit niet echt meer beschouwd als enige en
betrouwbare verdediging. De uitdaging van vandaag luidt
vooral: hoe benutten we optimaal de businessvoordelen
van een open relatie met onze omgeving, terwijl toch
ook aan de minimale voorwaarden voor veiligheid
wordt voldaan.
Kasteel Vanenburg, een plek waar ooit ‘heeren’ zich konden ‘vermeyen’,
is in 2014 de locatie van zowel de voorjaars- als de najaarsconferentie.
Colofon
Dit is CIP-Post, de nieuwsbrief van Centrum informatiebeveiliging en Privacybescherming kortweg CIP.
CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over
activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar [email protected].
Concept en realisatie: Adrenaline Communicatie BV

Download Report