Zo krijg je software veilig: Grip op Secure Software development
|
|
- Robert Hendrickx
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Zo krijg je software veilig: Grip op Secure Software development Veilige software door marktbrede samenwerking Ad Kint, Marcel Koers & Rob van der Veer IBO 40 PvIB 5 november 2014
2 Agenda Ad Kint CIP Rob van der Veer Noodzaak SSD SSD initiatief Marcel Koers Grip op SSD: de methode Grip op SSD: de normen Beveiliging in inkoopcontracten Ad Kint Implementatie-ervaring UWV Grip op SSD Community
3 CIP: Centrum voor Informatiebeveiliging en Privacybescherming Aanleiding voor de overheid: Toenemende afhankelijkheid van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime De overheid organiseert zich en CIP faciliteert dit door Werken aan gezamenlijke afspraken en normatiek Aanbieden/toegankelijk maken van kennis en practices Het bouwen aan een IB-community in de overheid 3
4 CIP faciliteert met een opdracht Stuurgroep Compacte Rijksdienst UWV, SVB, DUO en Belastingdienst/Toeslagen richten gezamenlijk een expertisecentrum op voor informatiebeveiliging en bescherming van persoonsgegevens. Dit expertisecentrum bundelt kennis, ervaringen en schaarse menskracht. Dit expertisecentrum staat ook open voor andere uitvoerings-organisaties. De betrokken uitvoeringsorganisaties leveren de mensen en het geld uit de bestaande middelen.
5 Netwerkorganisatie Hoe doen we dat? Kennispartners Domeingroep Veilig Delen Participanten Vaste kern Publiek- Private Samenwerking Subcommunity Cyber Security Platform 5
6 Netwerkorganisatie: Overheid 6
7 Netwerkorganisatie: Bedrijfsleven 7
8 CIP in cijfers Deelnemers overheid: 73%, uit private partijen: 27% Van de 670 personen in het netwerk hebben 209 mensen toegang gevraagd tot de besloten CIP-Pleio community site. Ruim 300 mensen doen of kijken mee met een of meer werkverbanden (domeingroepen, CSP, Practitioners communities): variërende coalitions of the willing. 1% 5% 1% 1% 2% Aantal leden in het netwerk: % 25% 51% IB&P IV Juridisch Communicatie Commercieel De halfjaarlijkse conferenties trekken nu ca 200 mensen. 4% Totaal aantal organisaties: 159 2% 3% 4% 3% 33% 51% Overheid Marktpartij Brancheorganisatie Stichting Wetenschappelijk Zorg Overige 6% Verdeling van de 80 overheidsorganisaties over sectoren 4% 4% 21% 17% 27% 21% Agentschap ZBO Ministerieel Provinciaal Gemeentelijk 8
9 Activiteiten op het gebied van kennisdeling Voorjaar- en najaarconferenties Domeingroepen, geleid door founding fathers en bezet door participerende overheidsorganisaties Tijdelijke werkgroepen Kennispartnersessies: co-producties CIP en Kennispartners. (Herstelvermogen, DDoS, Ketenrisico s, veilig mobiel werken, PIA, etc). Cyber Security Platform Samenwerkingen met o.a. NCSC, Taskforce BID, KING/Informatie en Beveiligingsdienst
10 Nieuwe werkvormen Practitioners communities voor: Secure Software Development Keten Service Library (binnenkort) implementatie BIR ISAC-Rijk Domeingroep Identiteitsfraude Domein- of werkgroep Veilig Delen.
11 Producten en practices Proces en eisen Secure Software Development: de opdrachtgever aan het stuur * Cursus Secure Software Development * Webrichtlijnen in fundamentele herordening (ism NCSC) Capability Maturity Model op Webrichtlijnen * Eerste 6 modules binnen een structuur voor e-learning content t.b.v. hergebruik binnen de overheid * Cursus Awareness * Local Box * Handreiking omgaan met datalekken * Praktijk Privacy Impact Assessment (PIA) * Handreiking voor gebruik Clouddienstverlening * Handreiking voor omgaan met testen met productiegegevens * Beveiligingsovereenkomsten * * Beschikbaar onder Creative Commons Naamsvermelding-GelijkDelen
12
13 Oorzaken onveilige software Beveiligingseisen zijn onduidelijk en niet op maat Opdrachtgever verwacht deskundigheid Leverancier verwacht precieze specificaties Er wordt niet of laat getoetst Opdrachtgever heeft te weinig risico-overzicht Bestaande standaarden bieden te weinig houvast Lange lijsten met technische en organisatorische maatregelen Vooral toegesneden op het hoe, niet het wat
14 Het Grip op Secure Software Development initiatief Leveranciers vragen op een UWV congres om heldere specificaties CIP-team ontwikkelt Grip op SSD met UWV, BKWI, SIG, ADR, Belastingdienst, DUO, UMC-Utrecht Juni 2013: Conferentie met Nederland ICT September 2013: Implementatie bij UWV Januari 2014 Lancering methode en eisen op ibestuur conferentie Maart 2014: Practitionersgroep gelanceerd
15 Eisen aan een methode om grip te krijgen Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende interne of externe leveranciers Toepasbaar bij verschillende ontwikkelmethodieken (waterval, agile) of wel of niet via een scrum aanpak. Geschikt voor maatwerk èn standaard pakketten Meegeven beveiligingseisen is niet een verwijzing naar een (ISO-)standaard: Maak eisen op maat met een risicoanalyse Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen Grip op Secure Software Development 15
16 De methode: In contact en in control komen Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie - Systemen - Gegevens Attack patterns Gap De SSD-processen Risicoanalyse & PIA (Misuse & abuse) Bijhouden risicomitigatie en risicoacceptatie Beveiligingseisen Beveiligingstestplan Contact-momenten Code review Testen en toetsen Risicoacceptatie Pentesten Initiatie verandering Ontwerp Software ontwikkeling Testen Acceptatie Gebruik Het voortbrengingsproces Grip op Secure Software Development 16
17 De methode: Governance Organisatorische inrichting SSD SSD-processen: volwassen ingevuld Business Impact Analyse Onderhoud standaard beveiligingseisen Sturen op maturity Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie -Systemen - Gegevens Attack patterns Grip op Secure Software Development 17
18 gebruik dashboard formele processen Groeien naar volwassenheid Nog niet dezelfde prestatie-indicatoren leveranciers afgestemde selectie baseline beveiligingseisen dezelfde tooling en prestatie-indicatoren leveranciers methodische aanpak voor onderlinge vergelijking standaard voor bedrijfskritische systemen steekproefsgewijs SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers hogere voorspelbaarheid met kortcyclische processen 4. Vergroten bewustzijn: Campagneleider testset afgestemd op Voorbeeld de bedrijfs- publiceren en 1. Faciliteren security-architectuur testproces: Uitleg van de methode Uitleg van de baseline tegen bedrijfsbreed vastgestelde baseline beveiligingseisen pentest na externe melding beveiligingsdreiging onderdeel van het acceptatieproces periodiek voor bedrijfskritische systemen incidenteel voor bedrijfskritische systemen Security by design vergelijking indicatoren leveranciers 8. Rapportages op de afwijkingen (Rood/Groen) de applicatieeigenaar voorkomt kortcyclisch negatieve bevindingen 6. Formele acceptatie actieve monitoring 3. gedoogsituatie Applicatielijst: van de Prioriteren vervolgafspraken applicaties Inventarisatie hanteren baseline acceptatie mèt vervolgafspraken met applicatie-eigenaar 1 kopie baseline beveiligingseisen op ad-hoc basis op ad-hoc basis slechts na beveiligingsincidenten acceptatie zonder vervolgafspraken met applicatie-eigenaar 7. Meenemen context: BIA prestatie-indicatoren en IB risico-analyse voor versneld gebruik 5. Security-architectuur Feedback nieuwe leveranciers: eisen Eerst als bijlage op versie in in lijn met de bedrijfsde contracten. securityarchitectuur 2. Afspraken: Uitleg methode aan de IM s Contract leveranciers CMMniveau Beveiligingseisen Code review Testen en toetsen Pentesten Risicoacceptatie Grip op Secure Software Development 18
19 SSD: De normen Gebaseerd op: Risico s voor de bedrijfsvoering NCSC richtlijnen Duidelijkheid over: wie moet wat doen Comply or explain Maakt governance mogelijk: Normen beperkt in omvang Hanteerbaar als auditnorm (SIVA) De veiligheid en de weg ernaar toe zijn inzichtelijk gemaakt Eenvoudig uitbreidbaar: Practitionersgroep
20 Grip op Beveiliging in inkoopcontracten Betere sturing Aanspreken op geleverde prestatie Vraagt om afstemming vooraf Delen van informatie en kennis Weerbaarheid van het stelsel vergroot Privacy Informatiebeveiliging Aandacht voor clouds, SSD, privacyregelgeving, Volgt het bedrijfsbeleid Opgezet als cafetariamodel De prestatiegerichte aanpak zet de beveiligingsorganisatie in positie Klassieke aanpak leidt steeds tot ontevredenheid en onveilige oplossingen Het roer moet om naar een prestatiegericht aanpak!
21 UWV implementatie: Uitgangspunten SSD zijn 31 extra requirements voor software: Per verplichting voor interne en externe leveranciers SSD toepassen comply or explain Intern inhoudelijk geweten van SSD voor ondersteuning en ontwikkeling Open houding: Iedere partij mag twijfels hebben Doorontwikkeling van de SSD-beveiligingseisen. Kwaliteit was op dat moment onvoldoende (niet aanwezig). Expert aanspreekbaar voor iedereen en weet de antwoorden
22 Voorbrengingsketen UWV De stappen Afmelding in produktie Interne delivery org. In produktienemen In gebruik nemen functionaliteit Leveren conform opdracht, incl. SSD bevindigen 9 IS 8 Leveren van aangepaste software Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw Opdracht voor wijziging Opdracht voor applicatiewijziging TSC Functionele Acceptatie Test Opdracht voor softwarewijziging (SSD bevindingen) Opdracht voor testen Leveren geteste software èn rapportage
23 Voorbrengingsketen UWV De omvang Aantal releases: ca. 100 per jaar 10-tal IM s, 400 medewerkers Interne delivery org. 9 IS 8 5 BSU s, 500 medewerkers Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw TSC 120 medewerkers TSC Functionele Acceptatie Test 70 leveranciers, waarvan 6 grote softwareleveranciers
24 Voorbrengingsketen UWV De contactmomenten Security risicomanagement Penetratietesten SSD Interne delivery org. Beoordeling SSD bevindingen IS Rapportage verantwoording SSD normen 9 8 Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier 7 4 Leverancier (extern /intern) Software Bouw Contractuele verplichting SSD eisen 5 6 SSD rapportage leverancier TSC Functionele Acceptatie Test TSC/SSD test en Toetsing rapportage leverancier
25 Invoeringsstrategie Het motto is: DOEN DOEN DOEN Niet specificatiegedreven (vraagt om een stabiele eenduidige situatie) Bewust gekozen voor een evolutionaire invoering: Niet adhoc (leidt tot onzekerheid bij de BAU). De organisatie geleidelijk meegenomen (leren en ontwikkelen): Eerst het proces op gang en daarna bijregelen Gebruik bestaande Governance: Bestaande besturing en overlegstructuren SSD vereist geen aanpassing in processen van de BAU, hooguit aanvulling van bestaande processen Leidende coalitie van 5 medewerkers heeft SSD champions in de BAU benoemd De champion levert de Business Change Manager en déze implementeert IB-organisatie faciliteert: Levert de producten (duidelijkheid) aan de BAU Dus gewoon DOEN TVB ontstaat evolutionair, nadat SSD ingeregeld is 2015: Doorgroeien naar volwassenheidsniveau 3
26 Aanpak in de tijd In 1 jaar neergezet 1e helft 2014: Interactieve communicatie met alle actoren in de voortbrengingsketen Maandelijks SSD voortgang en nieuwsfeiten melden aan stakeholders Verplichting voor interne en externe leveranciers SSD direct toepassen voor releases (SSD compliant blijven) Opdracht voor impactanalyses SSD compliancy complete portefueille Rapportage dmv Dashboard Ondersteuning BAU in de beoordeling van SSD bevindingen Interveniëren in BAU, indien nodig 2e helft 2014 Verbeterplannen voor de SSD bevindingen(risico based) Eind 2014: SSD in control: SSD bevindingen afgehecht met verbeterplannen.
27 SSD Practitionersgroep Ambitie: Betere beveiliging bij overheid en bedrijfsleven door het op grote schaal gebruiken van SSD bij zowel opdrachtgevers als leveranciers Gemeenschappelijk belang: (Overheids-) organisaties delen dezelfde leveranciers Gebruik van standaard normen vereenvoudigen het gebruik (SSD-normen) Dezelfde wijze van samenwerking (SSD-methode): Optimale en effectieve samenwerking Lagere kosten Practitionersgroep: Community binnen CIP, met: Opdrachtgevers die SSD implementeren of dat van plan zijn Leveranciers die SSD opnemen in hun aanbod of dat van plan zijn Samenwerken àls dè basis voor veilige software Met als doel: Het verbeteren van de beveiliging door samenwerking tussen opdrachtgevers en leveranciers Het delen van ervaringen, om elkaar te helpen De methode en de normen te verbeteren met lessons learned 27
28 Grip op SSD: Een open community Downloads: SSD-Methode SSD-normen SSD-training Beveiliging in inkoopcontracten Deelname practitionersgroep Vragen/doe mee: Wij delen de kennis om tot veilige software te komen en om deze te verrijken om klaar te zijn voor cybersecurity
29 Resumé SSD is een enabler voor een inhoudelijke professionele samenwerking; intern èn met de leveranciers SSD is direct toepasbaar Bewezen praktijk Implementatie is laagdrempelig Maak gebruik van wat is bereikt bij de leveranciers Hogere volwassenheidsniveau s haalbaar en meetbaar Duurzame doorontwikkeling is geborgd Doe nu mee! Onze droom: één methode, één normenset, één taal
30 Practioners community SSD 26 november 2014: OWASP en SSD Martin Knobloch, NL Chapter leader OWASP Leveranciervisie op SSD. Stef Hoffman, Cap Gemini SSD Manifest. HET MOET ECHT ANDERS in de BV Nederland! Systeemgerichte contractbeheersing en Grip op beveiliging in inkoopcontracten Roeland Wink, belastingdienst/rijkswaterstaat en Marcel Koers Geautomatiseerd Security testen Marinus Kuivenhoven, Sogeti Borrel met hapje.
Grip op Secure Software Development
Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG
Nadere informatieGrip op Secure Software Development de rol van de tester
Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd
Nadere informatieCentrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development
Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging
Nadere informatieSamenwerking in Uitvoering
Centrum Informatiebeveiliging & Privacy Samenwerking in Uitvoering Ad Reuijl, 9 oktober 2013 Security Congres ISACA, PvIB, NOREA Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke
Nadere informatieGrip op. Secure Software Development
Titel Grip op Voorkom zwakheden in de software en daarmee 75 % incidenten Secure Software Development De opdrachtgever aan het stuur Lunchsessie 7 april 2014 Grip op Secure Software Development 1 Grip
Nadere informatieFS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:
FS 171213.3E Forum Standaardisatie www.forumstandaardisatie.nl info@forumstandaardisatie.nl Bureau Forum Standaardisatie gehuisvest bij Logius Postadres Postbus 96810 2509 JE Den Haag Bezoekadres Wilhelmina
Nadere informatieMOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN
MOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN AD KINT ERIK HEIL WAS HET VROEGER BETER? 1981: DE PC 1995: INTERNET 2009: WINDOWS 7 2007: DE MIND-SHIFT 2010 TITLE PRESENTATION April 30, 2017 2012: THE
Nadere informatieDe app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app
De app wordt volwassen kansen en valkuilen Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app Introductie CIP Samen werken aan optimale informatieveiligheid en privacy
Nadere informatieSamen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB
Samen werken aan informatieveiligheid & Privacy 9 november 2017 PvIB Samenstelling CIP-Netwerk 1-9-17 De PDC in Context CIP-activiteiten en producten Weerbaarheid Herstelvermogen Bevorderen SAMEN DOEN
Nadere informatieJaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl
Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige
Nadere informatieJaarverslag 2014 & outlook 2015
Jaarverslag 2014 & outlook 2015 Amsterdam, 7 januari 2015 Ad Reuijl 1. INHOUD 1. Inhoud... 2 2. Highlights 2014... 3 3. Beschikbare producten pu. 31 december 2014... 4 4. Activiteiten i.k.v. Kennisdeling
Nadere informatieSecure Software Alliance
Secure Software Alliance 6 SSD model SSDprocessen Organisatorische inrichting SSD Business impact analyse (BIA) Onderhoud standaard beveiligingseisen Risico attitude organisatie Sturen op maturity Standaard
Nadere informatieProfessionalisering: CIP-tools en FG-enquête in vogelvlucht
Professionalisering: CIP-tools en FG-enquête in vogelvlucht Introductie CIP Samen werken aan optimale informatieveiligheid en privacy voor Nederlandse overheden Wie zitten er in de zaal? Wie werkt er bij
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieCentrum Informatieveiligheid en Privacybescherming
Centrum Informatieveiligheid en Privacybescherming Jaaroverzicht 2015 Vooruitblik 2016 Versie 1.1 Datum 12 januari 2016 1. Inhoudsopgave 1 1. Inhoudsopgave 2 2. Voorwoord 3 3. Balans van het jaar 2015
Nadere informatieWie is er bang voor de privacywetgeving? CIP voor NORA 17 januari
Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari 2017 1 Wie is er bang voor de privacywetgeving? Marcel Koers - marcel.koers@uwv.nl 2 Grip op privacy: hoe? Een ogenschijnlijk eenvoudige
Nadere informatie4-kwartaals terugblik CIP. Datum Verslagperiode:
4-kwartaals terugblik CIP. Datum 1-12-2016. Verslagperiode: 1-1-2016-31-12-2016 Inhoud 1. Over CIP... 2 1.1 CIP-diensten zijn te positioneren op 3 niveaus... 2 1.2 Kernpunten in de opzet, de werkwijze
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieGrip op Secure Software Development (SSD)
(SSD) De opdrachtgever aan het stuur Versie: 1.03 Opdrachtgever A. Reuijl CIP Auteurs M. Koers UWV R. Paans Noordbeek R. van der Veer SIG R. Roukens UWV C. Kok DKTP J. Breeman BKWI Classificatie Publiek
Nadere informatieGrip op Secure Software Development (SSD)
(SSD) De opdrachtgever aan het stuur Versie: 1.02 Opdrachtgever A. Reuijl CIP Auteurs M. Koers UWV R. Paans Noordbeek R. van der Veer SIG R. Roukens UWV C. Kok DKTP J. Breeman BKWI Classificatie Publiek
Nadere informatieVoortschrijdend jaarplan CIP. Datum Planperiode:
Voortschrijdend jaarplan CIP. Datum 1-12-2016 Planperiode: 1-1-2017 31-12-2017 Inhoudsopgave 1. Over het CIP.... 2 1.1. Wat is het CIP?... 2 1.2. Doelstelling... 2 1.3. Werkwijze... 2 1.4. Wat heeft u
Nadere informatieBedrijvenbijeenkomst informatiebeveiliging en privacy
Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma
Nadere informatieBrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)
VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming
Nadere informatieGrip op Secure Software Development (SSD)
Grip op Secure Software Development (SSD) De opdrachtgever aan het stuur Versie 2.0 Secure Software Development Contact momenten Standaard beveiligings -eisen Processen Kennis en awareness bij stakeholders
Nadere informatieAanmelding van een nieuwe standaard
Aanmelding van een nieuwe standaard Voor dit type aanmelding geldt dat alle criteria van toepassing zijn en alle vragen beantwoord dienen te worden. U wordt als eerst gevraagd uw persoonsgegevens en de
Nadere informatieKenissessie Privacy (by Design)
Kenissessie Privacy (by Design) NORA en CIP 14 november 2017 Schuif eens aan bij NORA 1 Welkom! Schuif eens aan bij NORA 2 Programma 13.20 Introductie 14.20 Case-study 15.00 Terugkoppeling case-study en
Nadere informatieDevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?
DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps? Rachid Kherrazi 10-10-2018 Even voorstelen Rachid Kherrazi Test Manager @ InTraffic in Nieuwegein 18 jaar werkervaring bij
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieFactsheet CONTINUOUS VALUE DELIVERY Mirabeau
Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.
Nadere informatieAuditen van Agile projecten
Auditen van Agile projecten Platform voor Informatiebeveiliging 10 december 2013 Merijn van der Zalm & Marcel Trijssenaar Agenda Belang van assurance op agile ontwikkelen Agile versus Waterval Perspectief
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieSucces = Noodzaak x Visie x Draagvlak 2. Case: Implementatie Requirements Lifecycle management bij Rabobank International
Succes = x Visie x Draagvlak 2 Case: Implementatie Requirements Lifecycle management bij Rabobank International dinsdag 3 oktober 2006 Spider Congres Agenda Inventarisatie SPI-knelpunten Implementatie
Nadere informatieNORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013
NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met
Nadere informatiePrivacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance
Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance Versie: 1. Auteur Opdrachtgever CIP A. Reuijl Classificatie Publiek Status Afgerond Datum 5 januari 216 Filenaam 21615 Privacy
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieAnita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014
Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning
Nadere informatieWees in control over uw digitale landschap
Managed Services Managed Services We zorgen ervoor dat uw complete beheerketen soepel functioneert, zodat uw eindgebruikers optimaal worden bediend. Zorgenvrij beheer is cruciaal voor de continuïteit van
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieEen Information Security Management System: iedereen moet het, niemand doet het.
ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies
Nadere informatieHet avontuur van een nieuw intranet. Frank Alta Product Owner intranet Sociale Verzekeringsbank (SVB)
Het avontuur van een nieuw intranet Frank Alta Product Owner intranet Sociale Verzekeringsbank (SVB) Ervaringen delen Uitvoering AOW, kinderbijslag en meer 43 miljard per jaar 5,5 miljoen klanten 11 locaties
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieFORUM STANDAARDISATIE
Forum Standaardisatie Wilhelmina van Pruisenweg 52 2595 AN Den Haag Postbus 96810 2509 JE Den Haag www.forumstandaardisatie.nl FORUM STANDAARDISATIE Agendapunt: Betreft: Intake-advies Framework Secure
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie: April 2019 5. Beoogd gebruik Product/dienst A is ontworpen
Nadere informatieDriedaagse Speed up Course: implementatie van de BIO
Driedaagse Speed up Course: implementatie van de BIO Introductie van de driedaagse Speed up Course BIO De BIO is een baseline voor overheidsinstellingen die moet zorgen dat de beveiliging van informatie(systemen)
Nadere informatieInformatiebeveiliging bij het Nederlandse Rode Kruis. Martijn Herrmann, Chief Financial Officer 24 november 2016
Informatiebeveiliging bij het Nederlandse Rode Kruis Martijn Herrmann, Chief Financial Officer 24 november 2016 Agenda Aanleiding Doelstellingen Scope en aanpak Stand van zaken november 2016 Aandachtspunten
Nadere informatieALERT project; Cyber security en de menselijke factor
SBIR cyber security Projecttitel: Bedrijf: In samenwerking met: ALERT project; Cyber security en de menselijke factor InfoSecure BeOne Development / TNO / BusinessGames Projectsamenvatting De doelstelling
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere
Nadere informatieBeoordelingskader Informatiebeveiliging DNB
Beoordelingskader Informatiebeveiliging DNB NBA LIO en NOREA symposium 'Volwassen Informatiebeveiliging' 4 februari 2019 Derek Dijst, Expertisecentrum Operationele en IT Risico s Agenda Toezicht door DNB
Nadere informatieNS in beweging, Security als business enabler september 2008
NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieINFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg
INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD
Nadere informatieWat heb je nodig op 25 mei?
FG, Governance en wat nog meer? Wat heb je nodig op 25 mei? Wim Arendse Ileen Smits 1 Wat heb je nodig op 25 mei? 10-stappenplan Aanpak Autoriteit Persoonsgegevens Inventarisatie en toelichting Bij Zadkine
Nadere informatieSecurity (in) architectuur
Security (in) architectuur ISC2 chapter Netherlands Donderdag 21 november 2013 Ing Renato Kuiper, CISSP, CISA, TOGAF, CSF Logo Klant Focus op: Security, risicomanagement, IAM, Cloud en architectuur Vanuit
Nadere informatieERP Testing. HP Nijhof. Testmanager. Testnet November 2005
ERP Testing HP Nijhof Testmanager Testnet November 2005 Solution Sales Meeting7 November 2005 1 Agenda Waarom pakketten testen? Schaarse middelen? Ideale ERP test situatie Vragen 2 De centrale vraag ERP
Nadere informatieDe impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.
Bijlagen 1 en 2: Aanbevelingen en opvolging Gateway Reviews (corsa 2018017934) Bijlage 1: Aanbevelingen en opvolging Gateway Review 2018 Aanbeveling Opvolging Status Opmerking 1. Richt een apart project
Nadere informatieGebundelde kennis; één wiel uitvinden
juni 2012 nummer 1 CIP-post Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP, is niet het zoveelste initiatief om een lastig probleem succesvol te lijf te gaan. CIP past in het actuele
Nadere informatieNieuws en Centraal Aanmelden
Nieuws en Centraal Aanmelden Auteur Datum Jan Bartling 29-01-2018 1. Nieuws IBP benchmark ICT Monitor Jaarstart 2. Centraal aanmelden (CA) Achtergrond VVA en CA Governance Benchmark IBP - N = 47 - het
Nadere informatieSchuif eens aan bij NORA meedenken - kennis opdoen - oplossingen delen
Schuif eens aan bij NORA meedenken - kennis opdoen - oplossingen delen Fysiek NORA Gebruikersraad Sessies NORA Familie NORA Beheer Digitaal wiki: http://noraonline.nl nora@ictu.nl @NORArchitectuur Nieuw
Nadere informatieIII Stream IT Auditing. UWV / CIP / VU- IT auditing
III Stream IT Auditing UWV / CIP / VU- IT auditing Wiekram Tewarie 22-04-2009 Agenda Inleiding/IT auditing Relatie : Accountant IT auditor Context IT audit omgeving Carrièremogelijkheden WT/14 april 2015
Nadere informatieIB RAPPORTAGE. Contactcenter Logius
IB RAPPORTAGE [Kies de datum] Contactcenter Logius Dit document bevat een rapportage over de status van informatiebeveiliging bij het Contactcenter Logius en geeft inzicht in belangrijke beveiligingsaspecten.
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieTaskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,
Nadere informatieTrends in de Campusinfrastuctuur. In samenwerking met Stratix
Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatiePlatform Rijksoverheid Online. Kwaliteitsprogramma en Kwaliteitsrichtlijnen
Platform Rijksoverheid Online Kwaliteitsprogramma en Kwaliteitsrichtlijnen Marc van de Graaf Adviseur Online Kwaliteit & Innovatie Rijksoverheid - Algemene Zaken - Dienst Publiek en Communicatie - Cluster
Nadere informatieSecurity, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst
Security, Continuïty & Privacy by design Jaap van der Veen CIO-office DG Belastingdienst Even voorstellen: Jaap van der Veen Strategisch architect Ministerie van Financiën CIO-office 06-5151 0702 je.van.der.veen@belastingdienst.nl
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatieThema 2: aanschaf en gebruik van e-healthtoepassingen
Checklist verantwoord e-health inzetten op basis van proefbezoeken Inspectie Gezondheidszorg en Jeugd Auteurs: Maartje van Hees (ExceptionAll) en Foppe Rauwerda (Beeldzorgadvies) Versie 1.0, 3 juli 2018
Nadere informatieUWV Testservice. Resultaatgerichte invoering van een adaptief procesmodel
UWV Testservice Resultaatgerichte invoering van een adaptief procesmodel Rob Passage Karin Boons UWV Gegevensdiensten Sogeti Software Control Agenda 11e SPIder conferentie, 29 september 2008 De werkende
Nadere informatieKeuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code
Keuzedeel mbo Veilig programmeren gekoppeld aan één of meerdere kwalificaties mbo Code Penvoerder: Sectorkamer ICT en creatieve industrie Gevalideerd door: Sectorkamer ICT en creatieve industrie Op: 12-04-2016
Nadere informatieBIR comply or explainprocedure
BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain
Nadere informatieAgenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht
(AVG) Introductie Peter van der Zwan Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht 10:15 AVG, hoe nu verder -
Nadere informatieDPIA. Leon van Lare en Roza van Cappellen
DPIA Leon van Lare en Roza van Cappellen DPIA WPB had een PIA Privacy Impact Accessment Verwerking moest je melden aan AP AVG heeft een DPIA Data PROTECTION Impact Accessment VOORAF goed nadenken over
Nadere informatieIB-Governance bij de Rijksdienst. Complex en goed geregeld
IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1
Nadere informatieDé cloud bestaat niet. maakt cloud concreet
Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.
Nadere informatieSOC inrichten: begin klein
SOC inrichten: begin klein Start vanuit eenvoud, groei vanuit behoefte Factsheet FS-2017-04 versie 1.0 20 september 2017 Een Security Operations Center (SOC) is een goed middel om zicht te houden op de
Nadere informatieBonte Bij Aanbestedingen ehrm
Bonte Bij Aanbestedingen ehrm Aanleiding aanbesteding ehrm Contract huidige leverancier loopt af Het willen optimaliseren en verbeteren van de HR processen Het willen digitaliseren van de HR processen
Nadere informatieData en Applicatie Migratie naar de Cloud
Data en Applicatie Migratie naar de Cloud Iris Pinkster Professional Testing 1 Agenda - Introductie - De Cloud een introductie - Keuze van geschikte applicaties - Migratie strategieën - Test strategieën
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatiePDF hosted at the Radboud Repository of the Radboud University Nijmegen
PDF hosted at the Radboud Repository of the Radboud University Nijmegen The following full text is a publisher's version. For additional information about this publication click this link. http://hdl.handle.net/2066/149043
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatieGoed functioneel beheer noodzaak voor effectievere SPI
getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel
Nadere informatieRAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)
RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een
Nadere informatieSecure software development. NGI 27 mei 2014 @DIF Zoetermeer Leo van Koppen
Secure software development NGI 27 mei 2014 @DIF Zoetermeer Leo van Koppen Gebruik van Socrative voor interactiviteit Internet is beschikbaar SSID: DIF Password: Dalhem079 Download Socrative student app
Nadere informatiePrivacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo
Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo Job Vos, adviseur privacy (Kennisnet) Inhoud 1. Belang van privacy voor het onderwijs: Waarom? Daarom! 2. Oude wijn in nieuwe
Nadere informatieVoorspelbaar naar excellente digitale dienstverlening in de publieke sector. Januari 2016
Public Sector Voorspelbaar naar excellente digitale dienstverlening in de publieke sector Januari 2016 Alle overheidsdienstverlening digitaal in 2017. Brengt innovatief imago, gemak voor de klant en kostenreductie.
Nadere informatieBelastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven
Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven Bestede digitale tijd Aandeel telefoongebruik in digitale tijd ICT 2.500 FIOD 1.200 Toeslagen 1.200 CA 1.600 Belastingdienst BelTel
Nadere informatieVISIEDOCUMENT INFORMATIEMANAGEMENT Stichting Openbaar Onderwijs Zwolle en Regio
VISIEDOCUMENT INFORMATIEMANAGEMENT Stichting Openbaar Onderwijs Zwolle en Regio Mark Timmermans Versie 1.0 1. Inleiding De Stichting Openbaar Onderwijs Zwolle en Regio (OOZ) is het bevoegd gezag van een
Nadere informatieVoortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015
Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark
Nadere informatieDigitale Agenda september 2017
Digitale Agenda 2020 26 september 2017 Even voorstellen Ellen Koster Accountmanager Implementatieondersteuning Digitale Agenda 2020 06 52 28 28 90 Ellen.Koster@kinggemeenten.nl www.kinggemeenten.nl 2 Even
Nadere informatieSamen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen
AVG@JenV Samen werken aan privacy Special AVG voor itour 24 april 2018 Pieter de Groot & Henk-Jan van der Molen Wat eraan vooraf ging 1 van 2 Grondrecht 2 maart 1814 Privacy = het recht om met rust gelaten
Nadere informatie3 decentralisaties Den Haag. Werkbespreking Rekeningencommissie 9 oktober 2014
3 decentralisaties Den Haag Werkbespreking Rekeningencommissie 9 oktober 2014 Inhoud presentatie Kernpunten 3 decentralisaties Risicosturing en beheersing: - belangrijkste risico s - beheersmaatregelen
Nadere informatieCompliance and Control
SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other§ors What&do&all&agree&upon&(and&where&do&they&disagree)?
Nadere informatie