Cyber Security samenwerking toegelicht bij onze Belgische buren

Cyber Security samenwerking toegelicht bij onze Belgische buren

20161028 Belgie infosec.jpgvrijdag 28 oktober 2016

Op 25 oktober 2016 werd door de collega’s van CIO Forum Belgian Business een Cyber Security event georganiseerd. Ronald Verbeek sprak daar over de samenwerking op dit terrein bij het CIO Platform Nederland.

Op verzoek van de Belgische collega’s om ons Coordinated Vulnerability Disclosure manifest toe te lichten, heeft Ronald de gelegenheid gebruikt om ook andere initiatieven onder de aandacht te brengen. Hij visualiseerde dit in een cirkel met drie ringen. 

Voor veiligheid in de binnenste ring, de eigen organisatie, wordt binnen het CIO Platform Nederland veel informatie gedeeld. Dit gebeurt vooral in besloten werkgroepen. Heel zichtbaar, en ook beschikbaar voor niet-leden, is de gezamenlijk ontwikkelde Elevator Game. Deze beoogt alertheid van de medewerkers te vergroten en het bespreken van security issues in de organisatie laagdrempeliger te maken.

Voor het vergroten van de veiligheid in de tweede ring, die van partners, leveranciers en klanten van de organisatie, zijn enkele publicaties opgeleverd. Deze hebben betrekking op bijvoorbeeld het zicht krijgen op de veiligheidssituatie bij leveranciers, of specifieke aandachtspunten bij het kiezen voor Cloud-oplossingen. Daarnaast, en heel belangrijk, is de eerder dit jaar gepubliceerde Code of Conduct. Die gaat over een evenwichtiger relatie tussen leverancier en klant, waarbij ook de veiligheid en aansprakelijkheid voor goed functioneren van bijvoorbeeld software een onderdeel is. Deze publicaties zijn hier te downloaden.

Tenslotte het Coordinated Vulnerability Disclosure manifest. Dit is een maatregel in de buitenste ring. De partijen in deze ring zijn onbekend. Het kunnen bedrijven of andere organisaties zijn, of individuen. Ze kunnen kwaad in de zin hebben, of willen helpen. Geïnspireerd door het Responsible Disclosure beleid dat in 2012 door de minister van Veiligheid en Justitie is gelanceerd, heeft het CIO Platform Nederland begin 2016 een beleid- en procesdocument en een implementatiehandleiding gepubliceerd. Hiervoor is gebruik gemaakt van documenten die SURFnet had opgeleverd voor haar leden.

Idee van dit beleid is dat er spelregels worden bekendgemaakt door organisaties over de wijze waarop het in contact wil treden met melders van kwetsbaarheden. Daarbij wordt bijvoorbeeld gewezen op het niet publiceren van de kwetsbaarheid en het niet manipuleren van data. De organisatie geeft aan de meldingen serieus te onderzoeken en contact te houden met de melder over oplossingen. Belangrijk is ook dat geen aangifte wordt gedaan van inbraak op computersystemen als de melder zich aan de spelregels houdt.

Samen met Rabobank en de Nederlandse overheid is dit beleid, onder de noemer Coordinated Vulnerability Disclosure Manifesto, een breder podium gegeven tijdens de Europese High Level bijeenkomst in het kader van het Europese voorzitterschap. Zo’n 30 organisaties ondertekenden het manifest en onderschreven zo de ambitie om dergelijk beleid te implementeren en anderen daartoe aan te sporen. Vandaar ook dit bezoek aan de Belgische collega’s.

Hoe Responsible Disclosure in de praktijk uitpakt heeft Jethro Cornelissen van de Rabobank toegelicht in zijn deel van de presentatie. Daarbij was de rode draad dat Responsible Disclosure/Coordinated Vulnerability Disclosure soms tot bijzondere contacten met melders kan leiden, er soms nogal wat kaf tussen het koren zit, maar zeker ook zinvolle tips oplevert die schadelijke incidenten en slechte pers voorkomen.

Mocht je interesse hebben en nog geen Responsible Disclosure beleid toepassen, kijk dan bij onze publicaties en zoek op 'Coordinated Vulnerability Disclosure' voor meer informatie (o.a. het manifest zelf, maar ook een implementatiehandleiding en modelbeleid). 

« Terug

Zakelijke gebruikers van IT veroordelen marktgedrag van Broadcom en roepen Europese Commissie op tot passende maatregelen

2023-06-26 | NB | CIO verenigingen roepen Breton op tot actie EUCS voorstel brengt grote gevolgen voor28 maart 2024 CIO Platform Nederland en haar drie Europese zusterverenigingen verstuurden vandaag een gezamenlijke brief aan de Europese Commissie n.a.v. mogelijk marktverstorend gedrag van Broadcom sinds de overname van VMware. lees verder

Arjen Boersma en Edward Cox treden toe tot het bestuur

2024-01-11 | Nieuwe Bestuursleden28 maart 2024 Van harte welkom, Arjen Boersma, CIO ProRail en Edward Cox, CIO Louwman Group, in het bestuur van CIO Platform Nederland. lees verder

Samen sparren voor CIO's in de zorg | Greenvillage Nieuwegein | 6 juni 2024

2024-06-06  CIO’s zorgsector  Greenvillage Nieuwegein16 maart 2024 CIO Platform Nederland organiseert een bijeenkomst voor CIO’s van organisaties die een rol spelen in de zorg, van UMC’s en ziekenhuizen tot aanbieders van langdurige zorg, op de jaardag van het platform. lees verder

Koepels roepen op tot openhouden Nationaal Groeifonds

2021-06-11 Taakafbakening Kamercommissie Digitale Zaken.png08 maart 2024 Samen met VNO-NCW, FME, NLdigital en diverse andere partijen heeft CIO Platform Nederland afgelopen week een open brief gestuurd naar de Tweede Kamer met de oproep om het Nationaal Groeifonds, en dan met name de lopende 4e ronde, open te houden. lees verder

Bekijk alle nieuwsberichten via het archief

Close