Manifestatie van Softwareveiligheid

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Manifestatie van Softwareveiligheid"

Transcriptie

1 CIP-post Manifestatie van Softwareveiligheid Vrijwel alle overheidsorganisaties hebben direct contact met burgers en bedrijven en zijn verantwoordelijk voor een zorgvuldige behandeling van de persoonsgegevens in hun processen en informatiesystemen. De veiligheid van de software binnen informatiesystemen is daarbij van cruciaal belang. CIP heeft daarom in samenwerking met overheidsorganisaties en marktorganisaties het proces en normenkader Grip op Secure Software Development (SSD) ontwikkeld. Deze methode wordt actueel gehouden binnen de Practitioners Community SSD. Deze community wil daarnaast ook verleiden en inspireren tot brede, daadwerkelijke toepassing bij zowel overheidsorganisaties als marktpartijen. Als enerzijds de overheidsorganisaties in hun rol van opdrachtgever voor bouw en onderhoud van software en anderzijds de softwareontwikkelaars dit proces samen hanteren, dan wordt daarmee ook gewerkt aan een aantal verbeterpunten uit het rapport van de commissie Elias. Waar in het proces vooral het samenwerkingsaspect sterk wordt benadrukt (rekening houdend met de specifieke rol van beide partijen), biedt het normenkader een goed houvast om te sturen op de softwareveiligheid. Diverse organisaties onderschrijven het Manifest Grip op Secure Software Development, waarmee zij aangeven de methode en het normenkader daar waar mogelijk toe te passen binnen hun organisaties. We hopen dat er nog vele volgen! Het Manifest is te vinden op de site tabblad SSD Manifestpartijen. Lees verder over SSD op pagina 8 SSD-Manifestpartijen mei 2015 nummer 7 in deze uitgave o.a. PraCo BIR. Op 17 maart startte de BIR Practitioners Community. lees meer op pagina 6 Informatieveiligheid hoeksteen voor DUO. Hoe DUO zijn rol invult bij veilige gegevensuitwisseling. lees meer op pagina 3 Beveiliging in inkoopcontracten laat nog wel eens te wensen over. Daar gaan we aan werken. lees meer op pagina 5 Pilot selfassessment voor ketenbeheersing. CIZ doorloopt een pilot met een tool van de Taskforce BID. Deloitte CAK DKTP OSQR Group Sogeti SVB Valori Cert2Connect Capgemini DUO OWASP Chapter Leader NL Supply Value UWV lees meer op pagina 11 Op zoek naar Meetbaar Veilig Gedrag. Samen met Ordina en TNO proberen we daar helderheid in te scheppen. lees meer op pagina 14

2 Voorwoord 2 Wim Molema, Manager Informatiebeveiliging en Privacy a.i. bij de Dienst Uitvoering Onderwijs (DUO), 3 door Ad Reuijl is voorzitter van de domein-groep Privacy en lid van het MT van CIP. Het is al weer drie jaar geleden dat de startconferentie van CIP plaatsvond. Op 4 juni noteren we alweer de zevende conferentie. Het is verheugend om te zien dat er nog steeds mensen bijkomen in het netwerk. Ook van kleinere ZBO s en agentschappen. Het mooie daarvan is dat juist de kleinere organisaties, die vaak weinig mogelijkheden hebben om zelf veel kennis op te bouwen, kunnen profiteren van de kennis die in het brede netwerk te vinden is. Die kennis is verkrijgbaar op verschillende manieren. Op de site zijn tal van nuttige handreikingen, methoden, normenkaders en e-learningmodules vrij te downloaden. Op de samenwerkingsomgeving kunnen nog meer documenten worden gevonden en kan men in contact met elkaar komen over specifieke thema s of vraagstellingen. De vele kennissessies die belegd worden, zoals de overleggen van de domeingroepen en practitioners communities, de themabijeenkomsten en de conferenties, zijn bedoeld om van elkaar te leren en elkaar te kunnen vinden wanneer dat nodig is. Ontwikkelingen Vermeldenswaardig is de start geweest van de Practitioners Community voor de BIR (PraCo-BIR) op 17 maart. Die subcommunity heeft nu 71 PraCo-leden uit 45 overheidsorganisaties. 45 mensen konden de eerste sessie meemaken. De belangstelling om van elkaar te leren vanuit implementatie-ervaringen is groot. Overigens heeft CIP de door de Taskforce gemaakte BIR-Operationele producten in beheer genomen. Deze producten geven op bepaalde thema s verdere duidelijkheid bij het implementeren. Ze zijn te vinden op beide sites van het CIP. In de serie Grip op doen zich mooie ontwikkelingen voor bij de verbreding van het draagvlak. Het aantal SSD- Manifestpartijen groeit gestaag. Door te werken met Grip op SSD en Grip op Beveiliging in Inkoopcontracten kan een overheidsbedrijf een aantal constateringen van de commissie Elias aanpakken. Het is dan ook van belang dat dit zo breed mogelijk geadopteerd wordt door iedere organisatie die in de rol staat van opdrachtgever voor bouw en onderhoud van software. Van deze en nog veel meer ontwikkelingen kunt u lezen in deze CIP-post en zo ontdekken wat u op meerdere terreinen kunt doen aan uw informatieveiligheid. Van harte aanbevolen! Informatieveiligheid hoeksteen voor DUO Mijn werkterrein, privacy en informatiebeveiliging, is een hot issue bij DUO. De persoonsgegevens die DUO beheert vragen om zeer zorgvuldig beleid. DUO heeft dan ook drie Privacy Officers (PO s) en een Functionaris voor de Gegevensbescherming (FG) in dienst. De Privacy Officers adviseren op alle gebieden zowel aan medewerkers als aan het management met betrekking tot de bescherming van persoonsgegevens. De FG houdt toezicht op de naleving van de wetten en regels op het gebied van de verwerking van persoonsgegevens door DUO en is adviseur voor het bestuur over tactische en strategische zaken. Identiteitsfraude bij inburgering Een recent voorbeeld uit het werkveld laat zien dat toezicht loont. Op de toets-locaties van DUO, waar inburgeraars hun inburgeringsexamen afleggen, is het van groot belang om scherp te zijn op identiteitsfraude. Medewerkers van DUO controleren bij deze examens dan ook streng op de juiste legitimatie bij de juiste persoon. Tot voor kort werden kandidaten die zich voordeden als iemand anders alleen weggestuurd en uitgesloten van deelname. In maart 2014 is in Eindhoven en Rotterdam een pilot gestart in samenwerking met de politie. Sinds die datum doet DUO ook daadwerkelijk aangifte van fraude. In 2014 zijn er op deze manier zestien mensen tegen de lamp gelopen waarbij in elf gevallen ook daadwerkelijk aangifte kon worden gedaan. DUO als certificaatautoriteit voor het onderwijs DUO zet zich niet alleen in voor de betrouwbaarheid van de eigen systemen en processen, maar ondersteunt nu ook de veilige gegevensuitwisseling in het hele onderwijsveld en daar mogen we trots op zijn. Sinds 3 maart zijn we certificaatautoriteit, een succesvol resultaat van het project Public Key Infrastructure (PKI onderwijs). Ik had de eer het eerste certificaat onder het toeziend oog van een notaris te mogen aanmaken voor DUO zelf. Vanaf april 2015 zal elke school, instelling of commerciële partij die een rol heeft in het onderwijs bij DUO hiervoor een PKIcertificaat afnemen. En DUO zelf natuurlijk ook. Door dit PKI-certificaat zijn de partijen in het onderwijsveld er zeker van dat ze hun onderwijsgegevens beveiligd met elkaar kunnen uitwisselen. DUO vindt privacy en informatiebeveiliging belangrijk; dit geldt voor mij persoonlijk en als het goed is vinden alle CIP partners dit belangrijk. In Domeingroep Privacy hebben we het hierover en willen we good practices delen om van elkaar te leren en zo te verbeteren. We kunnen daarbij meer denkkracht gebruiken dan we nu vaak aan tafel hebben. Daarom roep ik je op om je aan te sluiten bij deze domeingroep. Mail naar Onderwijs mogelijk maken. Daar maakt de Dienst Uitvoering Onderwijs (DUO) elke dag werk van. DUO doet dit in opdracht van het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW), door geld te verstrekken aan onderwijsinstellingen, scholieren en studenten. En door het organiseren van school en staatsexamens en het verzamelen en beheren van onderwijsgegevens in diverse registraties en systemen. Daarnaast voert DUO voor het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) taken uit op het gebied van inburgeringsbeleid en naturalisatie.

3 Grip op Privacy 4 5 Wie is Angelique? Mijn naam is Angélique van Oortmarssen en ik werk sinds februari jl. bij het CIP. Na mijn studie rechten (master staats- en bestuursrecht) aan de Universiteit Utrecht, ben ik in aanraking gekomen met het privacyrecht: bij de Stichting Geonovum in Amersfoort heb ik met veel interesse meegewerkt aan een onderzoek naar de relatie tussen privacyrecht en geo-informatie, wat heeft geresulteerd in het Witboek Privacy op zijn plaats, tussen willen weten en wetten. De juiste balans tussen enerzijds het nuttig gebruik van data en anderzijds de waarborging van privacy is een vraagstuk dat mij, gezien de complexiteit en het belang ervan, zeer interesseert. Mijn werkzaamheden bij het CIP sluiten goed aan bij mijn onderzoek en interesse; ik houd mij namelijk bezig met het opstellen van de documenten Grip op Privacy en Privacy Normenkader. Angélique van Oortmarssen Beleidsmedewerker CIP Op weg naar informatieveilige inkoop. Inleiding In het voorbije decennium zijn talloze voorbeelden te noemen van ICT-projecten en -aanbestedingen die geheel of gedeeltelijk faalden ten gevolge van problemen in de relatie tussen opdrachtgever en opdrachtnemer. Sturing van opdrachtgever op de inkoop en de aanbestedingen, alsmede de borging van de afgesproken resultaten moet beter. Met Grip op Beveiliging in Inkoopcontracten willen we lessen uit het verleden trekken en het over een andere boeg gooien. Vanaf de start van het proces tot en met de afronding daarvan is resultaatsturing hard nodig. Het document Grip op de beveiliging in inkoopcontracten legt voor wat betreft de beveiligingsaspecten hiervoor de basis. Met woorden van deze strekking werd een aantal leden uit het CIP-Netwerk uitgenodigd deel te nemen aan een startbijeenkomst over veilig inkopen. Het thema sprak kennelijk aan, want er bleek een ruime belangstelling te bestaan voor het onderwerp. Privacy in uitvoering. Veel organisaties onderkennen de mogelijkheden die er liggen in het gebruik van de grote hoeveelheid beschikbare data, voor het ontwikkelen van innovatieve, nuttige, maatschappelijke diensten. Tegelijkertijd worstelen ze dan wel met de juiste toepassing van de Wet bescherming persoonsgegevens (Wbp). Zo bevat de Wbp veel open normen, waardoor het in de praktijk soms onduidelijk is hoe er in een concreet geval met data omgegaan dient te worden en wat er nu precies geregeld moet worden. Met het document Grip op Privacy beogen we bewustwording bij organisaties te creëren omtrent de diverse aspecten van privacy en het belang van het goed inpassen van privacymanagement in de bedrijfsvoering. In het Privacy Normenkader worden de eisen van de Wbp vertaald naar concreet hanteerbare normen, met het doel duidelijkheid te bieden over wat organisaties moeten doen en regelen ten aanzien van hun privacybeleid, de uitvoering daarvan en de controle daarop. Samen met het document Grip op privacy willen we concrete handvatten bieden aan organisaties om de juiste omgang met persoonsgegevens te waarborgen en het privacybeleid passend, efficiënt en effectief in de bedrijfsvoering in te passen. Een handvat voor de uitvoerders binnen de organisatie. Impressie van de bijeenkomst Menno van Drunen (Supply Value), Hans de Raad (onafhankelijk ICT-specialist met focus op Open Source), Marcel Koers (CIP) en Turaby Yildirim (RWS) brengen in hun presentaties een aantal ervaringen en stellingen naar voren. Een greep korte daaruit. De top 3 inkooptrends van 2015 zijn in goed Nederlands: 1 Supply Chain Optimization 2 Cost Reduction 3 Flexibility De constateringen en aanbevelingen van de Commissie Elias passeren de revue. De conclusie is gerechtvaardigd dat het contractmanagement bij ICT-projecten in veel gevallen onprofessioneel is. Uit ervaring blijkt dat projecten - na succesvolle aanbestedingen - te vaak in de problemen komen, waarbij operationele problemen direct gerelateerd kunnen worden aan de inkoopkaders. Een groeitraject waarin opdrachtgever en opdrachtnemer samen professionaliseren, is hard nodig. Het accent moet daarbij liggen op het met elkaar duidelijk maken en onderling aanspreken op rollen en roluitvoering. Dit proces moet het karakter hebben van een samenwerking. Er wordt meer van de opdrachtgever verwacht. Daarbij moet de opdrachtgever verantwoordelijkheid nemen voor heldere en specifieke eisen. Bij Rijkwaterstaat wordt werk gemaakt van beveiliging in inkoopcontracten, zowel op het terrein Administratieve Informatievoorziening als bij Industriële Automatisering. Een risico-reductieoverzicht ondersteunt bij de sturing op risico s; beveiligingseisen voor contracten volgen uit het Security-by-Designproces. We zien veel raakvlakken tussen de praktijk bij RWS en het CIP-product Grip op beveiliging in inkoopcontracten. Modulair inkopen (herbruikbare componenten, kleiner kijken) kan ook verbetering opleveren en tot duurzamere eindresultaten leiden. Om faalkansen te minimaliseren, wordt een prestatiegerichte aanpak aanbevolen, die risico-gedreven is, waarbij enerzijds controle en sturing real-time worden ingericht en anderzijds normen meer kennis- dan juridischgedreven worden vastgesteld. Het effect is dat onderlinge verwachtingen helder afgestemd en vastgelegd worden en een verandering in de richting van een vertrouwensrelatie mogelijk wordt. Belangstellenden voor het vervolg van de ontwikkeling van Beveiliging in Inkoopcontracten kunnen zich opgeven bij Ad Kint, Startbijeenkomst Breek met de traditionele inkoop van ICT(-beveiliging) 25 februari 2015.

4 Een uitgewerkte BIR in één gemeenschappelijke taal. 6 7 Aanleiding In de verschillende overheidslagen is ervoor gekozen de BIR, of varianten daarvan, als basisnormenkader te hanteren. De implementatie en de organisatie daaromheen zijn in verschillende stadia van ontwikkeling. Om elkaar te voeden met ervaringen en goede praktijken hebben we een zg. Practitioners Community (PraCo) gevormd met als specifiek doel de implementatie van de BIR te bevorderen. Vakgenoten ontmoeten elkaar over de grenzen van organisaties en overheidslagen heen rond het thema BIR. De bijeenkomst De eerste PraCo-BIR - bij de SVB in Utrecht trekt 45 personen van 35 organisaties. Volle bak dus en dat is een goed teken. De inloop verloopt gemoedelijk en na het nuttigen van een kop koffie schrijft men zich in voor twee korte workshops. Men kan kiezen uit een zestal onderwerpen, namelijk: BIR-beleidsvorming Risicoanalyse Beleid gericht op de uitvoering Leveranciersmanagement Beheer- en bewakingsprocessen BIR Practitioners Community van start op 17 maart Opening Frank Ossewaarde geeft het startschot voor de vergadering en heet iedereen welkom. Hij stipt de samenwerking met het CIP aan en benadrukt dat hij het heel positief vindt dat de zaal vol zit met mensen uit de operatie. Het praktische element moet voorop staan in de PraCo. "Ik hoop op een snel vervolg met best practices van collega's, waarvan ik kan leren" Ad Reuijl, directeur van het CIP, neemt het stokje over en vertelt kort over het CIP, een publiek-private netwerkorganisatie met kennisdeling en -ontwikkeling als doel, die werkt aan onderwerpen/producten en wil inspireren tot de implementatie daarvan. De filosofie van de PraCo sluit sterk aan op dit laatste, doordat deze als doel heeft het netwerk bij implementatie te ondersteunen. Hij verwijst daarbij nadrukkelijk naar CIP.Pleio.nl; de plek om te netwerken, kennis te delen en samen aan producten te werken. Vandaag de dag droomt hij van een uitgewerkte BIR in een gezamenlijke taal. "Dit had al veel eerder moeten gebeuren" Kennismaking Na de introductie gaan we van start en Kees van der Maarel vraagt het gezelschap naar het midden van de zaal te komen. Hij past de zogenaamde landkaartmethode toe, wat inhoudt dat hij in de hoeken van de zaal plaatsnamen heeft opgehangen die corresponderen met de uithoeken van Nederland. Op basis van geboorteplaats neemt iedereen een plekje in de ruimte in en maakt men kennis met een aantal mensen. Dit herhaalt zich als gevraagd wordt op de landkaart te gaan staan volgens de werklocatie. Het doel is op een ongedwongen manier kennis te maken en de eerste ideeën uit te wisselen. Je ziet al snel dat de zaal gevuld is met gelijkgestemden. Even kort voorstellen en dan direct door naar de inhoud. Hoe heet je, waar werk je en waar loop jij tegenaan bij de implementatie van de BIR? Oh interessant, daar wil ik graag meer over weten. Vervolgens gaat Ad Kint met de teams aan de slag op zoek naar parels ; practices uit de praktijk die nu al gedeeld kunnen worden in de community. Spontaan worden enkele practices genoemd van verschillende organisaties, die men op cip.pleio zal aanbrengen.

5 Over de positionering van SSD 8 9 Zo af en toe krijgen we de vraag binnen over de samenhang van Grip op Secure Software Development met andere kaders die betrekking hebben op de ontwikkeling van veilige software. Kaders die soms heel specifiek zijn, programmeertaalgericht, zeer uitgebreid, etc. Wat is eigenlijk de meerwaarde van Grip op SSD ten opzichte van het woud aan modellen, code standaards en frameworks dat er al is? "Goed om aan het begin van het ontwikkeltraject een normenkader te hebben waarin security goed geborgd is." Antwoord in een notendop SSD is in de eerste plaats een instrument in de handen van de opdrachtgéver die daarmee zijn verantwoordelijkheid en rolinvulling in de samenwerking met de opdrachtnemer/leverancier kan waarmaken. Maar ook voor de opdrachtnémer maakt het proces duidelijk wat we verwachten van hem in de samenwerking. Ik hoop dat SSD wordt geadopteerd door de gehele overheid en dat men zich hieraan wil committeren; een absolute win-winsituatie voor zowel bedrijfsleven als overheid Het basisnormenkader van Grip op SSD schept duidelijkheid over de belangrijkste producteisen die de opdrachtgever stelt aan de opdrachtnemer en wel op een zodanige wijze dat: gesprek mogelijk is op een hanteerbaar niveau (en dus voorkomen wordt dat de partners in allerlei veel te technische diepten verstrikt raken); de opdrachtgever zich vooral tot het WAT beperkt en dat de opdrachtnemer gerespecteerd wordt in zijn verantwoordelijkheid over het HOE. Om die WAT-vraag daadwerkelijk met de 'HOE' in te vullen, zal de opdrachtnemer soms gebruik maken van dieperliggende technische kaders: eigen technische standaards, programmeertaalgerichte specifieke conventies, methodes voor risicoanalyse, etc. SSD is dus bovenliggend kader dat de opdrachtgever helpt om in termen van product- én proceseisen zijn leveranciers aan te sturen en te toetsen. Duurzame doorontwikkeling normenkader (SSD) voor het ontwikkelen van veilige software. "Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een big bang, maar via een groeimodel te komen tot een volwassen SSD" De snelle ontwikkeling van cybercrime vereist een continue doorontwikkeling van het normenkader van Grip op SSD voor het ontwikkelen van veilige software. Daar waar de meeste normenkaders de nadruk leggen op auditing, bevatten de normen in Grip op SSD handvatten voor zowel uitvoering als auditing. Met behulp van de methode SIVA zijn ze dusdanig beschreven dat voor iedereen duidelijk is wie wat moet doen in de ontwikkelingsketen. Relevante normen uit verificatiemodellen, zoals ASVS van OWASP en CSA(cloud) worden overgenomen en uitgewerkt tot toepassingsnorm. Voor eisen aan mobiele applicaties is een aparte werkgroep aan de slag met het doel de SSDnormen hiermee aan te vullen. Resultaten worden gedeeld en besproken in de SSD practitioners community. Grip op SSD, de beveiligingseisen is een voorbeeld dat in andersoortige scopes navolging verdient Alles overziend komen we tot de conclusie dat dit document veel bruikbaarder is dan andere normenkaders die we hebben gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak.

6 Ambassadeurs van de kwalitatieve content Pilot self-assessment voor ICT-Ketenbeheersing De juiste balans bewaren in de huidige digitale informatiesamenleving is een lastige klus. We hebben te maken met veel dynamiek en allerlei soorten bedreigingen, voor zowel individu als organisatie, en die moeten beteugeld worden. Hanteerbaar gemaakt worden. Wil je dit in je eentje bereiken? Dan wensen wij je succes. Power by numbers Als samenwerkingsplatform wil het CIP juist gedeeld het gevecht aangaan. Door elkaar op te zoeken, samen te werken en zo elkaar verder te helpen. Power by numbers. Dat is wat we faciliteren, samen veiliger worden, in het belang van de bescherming van de gegevens van onze afnemers en de continuïteit van onze dienstverlening aan hen. In dit speelveld is goed communiceren van cruciaal belang. Daar werken we hard aan binnen het CIP. Een van de belangrijkste communicatievormen is het gezamenlijk creëren van kwalitatieve content en dat ook te delen met elkaar. Hoe meer mensen het onder ogen krijgen, reviewen en doorzetten, des te meer draagvlak het krijgt. En dat hebben we nodig. Uiteindelijk is het doel dat we de gezamenlijk gecreëerde content geïmplementeerd krijgen. Product moet zichzelf verkopen Maar hoe bereiken we dat? De kunst ligt niet in het verkopen, maar in het juist niet verkopen. Als de inhoud kwalitatief goed is en relevant en de lezer ook helpt bij het maken van moeilijke keuzes. Dan zal hij terugkomen voor meer en is de verbinding gelegd. It s not about pushing your message, but pulling in your customers. Natuurlijk moeten we het wel slim onder de aandacht brengen, door bijvoorbeeld op de website gebruik te maken van visuele effecten, zoals een streamer: zeer korte tekst die de lezer ertoe verleidt onmiddellijk het stuk te lezen. Maar nog beter is gebruik te maken van jullie ambassadeurschap. Dus bezoek cip.pleio.nl, bespreek issues waar je tegenaan loopt, doe mee met een van de domeingroepen en deel je kennis en producten. Als we dat met z n allen doen, dan komen we verder en het CIP zal alles uit te kast halen om jullie helpen. CIP helpt je verder Mijn naam is Roger Vikdazir, een vrolijke vent die graag als generalist gezien wil worden. Ik heb in het verleden dan ook meerdere takken van sport beoefend. In de spoelkeuken begonnen en opgeklommen via de sociale wetenschap en de consultancy tot projectmanager bij het CIP. Verantwoordelijk voor de communicatie en relatief nieuw in veld. Vader van een zoon (tweede op komst) en in Amsterdam gelukkig samenwonend met Anne. Roger Vikdazir Projectmanager bij UWV Het CIZ heeft een pilot uitgevoerd met het door de Tasforce BID ontwikkelde self-assessmenttool voor het peilen van het risicobesef binnen de ICT keten. Daarin wordt ook gekeken naar de wijze waarop ketenpartijen hun diensten inrichten. Om in control te zijn, moet je zekerstellen dat enerzijds de vanuit je eigen bedrijfsvoering genomen maatregelen adequaat zijn en dat anderzijds de ketenpartijen ons op een adequate wijze informeren over de geleverde diensten. Bij het self-assessment staan twee beveiligingsaspecten centraal: Beschikbaarheid van de dienstverlening. Beschikbaarheid betreft het waarborgen dat informatie en aanverwante bedrijfsmiddelen (informatiesystemen) tijdig toegankelijk zijn. Integriteit van de informatie-uitwisseling. Integriteit behelst het waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Nog verduidelijking nodig In de workshops werden de vragenlijsten van het selfassessment ingevuld. Bij de invulling van de vraagstelling in de tool was nog wel aanvullende uitleg nodig; de context van de vragen bleek telkens verduidelijkt te moeten worden. Dit proces werd begeleid door de enthousiaste ontwikkelaars. Het leverde interessante discussies en inzichten op. Er is zowel gekeken naar de verschillende ketenpartijen van welke het CIZ direct afhankelijk is voor het ontvangen van belangrijke informatie ter ondersteuning van het primaire proces, als naar de risico s voor wat betreft beschikbaarheid en/of data-integriteit, die samenhangen met deze afhankelijkheden. Daarbij worden twee fases in de informatieveiligheidsketen onderscheiden: Voorkomend; dit betreft de beheersingsmaatregelen ter preventie van incidenten. Herstellend; dit betreft de beheersingsmaatregelen om snel en adequaat te kunnen reageren op incidenten. Het belang van het uitspreken van de wederzijdse verwachtingen en de invulling van verplichtingen van het werken in de keten werden nog eens onderstreept. Daarbij werden de afspraken met de toeleverende partijen en de afspraken rond de interne bedrijfsvoering tegen elkaar afgezet. Stof tot nadenken Het was interessant om nog eens heel bewust stil te staan bij de mate waarin de organisatie afhankelijk is van de toeleverende partijen, welke risico s er ontstaan als de afspraken multi-interpretabel zijn en hoe de afspraken geborgd zijn in meerdere organisaties binnen de keten. Daarbij is het niet (altijd) noodzakelijk om alles bureaucratisch dicht te timmeren. Je kunt ook bepalen of er voldoende ruimte is voor gefundeerd vertrouwen in de ketenpartijen. Door bijvoorbeeld in te schatten in hoeverre je actief betrokken wordt bij de besluitvorming bij de betreffende ketenpartij en/of in hoeverre kennis wordt gedeeld. De pilot heeft voldoende stof tot nadenken gegeven. Annemieke de Rooij, Coördinerend Beleidsmedewerker CIZ Mo Bosma, CISO CIZ

7 Waar iedere manager van droomt... een veilige en integere organisatie! Iedere bestuursvoorzitter wil dit resultaat op de bestuurstafel. Uiteindelijk geen incidenten meer met kans op (imago) schade. Maar ondertussen blijft zijn wereld zich wel in razendsnel tempo veranderen. Hij kan en mag daarom niet stil zitten. Wat vandaag nog veilig is, hoeft dat morgen niet meer te zijn. Nieuwe dreigingen en risico s brengt hij door analyses in kaart. Over aanvullende veiligheidsmaatregelen beslist hij daarna aan de bestuurstafel waarbij hij bewust risico s neemt. Periodieke incidentenrapporten en managementinformatie onderbouwen zijn beslissingen. Daardoor is hij in staat om de kosten te beheersen. Hij doet zijn uiterste best voor een optimaal resultaat. Maar tegelijkertijd weet hij dat de mens altijd de zwakste schakel is en blijft. Is bewustwording daarvoor de ultieme oplossing of blijkt het toch een paradox te zijn? Bewustwording is pas effectief en efficiënt als het uiteindelijk leidt tot onbewust bekwame medewerkers. Het doel is dan bereikt. Bij de waan van alledag met andere, soms tegengestelde prioriteiten en (te) weinig tijd, geld en menskracht lijkt bewustwording wel belangrijk te zijn maar wordt het zelden bewust als een nuttig managementinstrument ingezet om de doelen van de organisatie te bereiken. Dit is te veranderen. Allereerst moet de bestuurlijke wil aanwezig zijn om bewustwording goed te positioneren met voldoende (financiële) middelen. Daarnaast helpen de volgende aandachtspunten om de doelen te bereiken. Verwerk in de missie en/of visie van de organisatie dat veiligheid en integriteit belangrijk zijn. De Te Beschermen Belangen (TBB) zijn bekend en zijn bovendien bepalend voor verdere acties om veiligheid en integriteit te garanderen. De organisatie opereert transparant en reageert adequaat op incidenten. Een lid van het bestuur heeft veiligheid in portefeuille, maakt die taak ook 'echt' waar en is tevens verantwoordelijk voor (de aansturing van) een centrale veiligheidsorganisatie. Iedereen in de organisatie kent de uitgangspunten als het om veiligheid gaat. Deze zijn vastgelegd in beleidsdocumenten, normenkaders, richtlijnen, checklijsten e.d. en zijn dagelijks eenvoudig te raadplegen op de eigen intranetsite van de organisatie. In deze zgn. 'hard controls' zijn ook de taken, verantwoordelijkheden en bevoegdheden van iedereen binnen de organisatie helder verwoord. Uitgangspunt daarbij is dat de lijnmanager verantwoordelijk is voor zijn eigen omgeving maar ook dat iedere medewerker oog heeft voor zijn eigen veiligheid en dit op orde heeft en houdt. Een belangrijke rol is weggelegd voor de centrale veiligheidsorganisatie. Deze organisatie houdt namens de bestuurder toezicht op de staat van integrale veiligheid en adviseert waar nodig het lijnmanagement. Onderwerpen die daarbij aan bod (kunnen) komen zijn: fysieke beveiliging personele beveiliging informatiebeveiliging integriteit bescherming persoonsgegevens crisis- en continuïteitsmanagement Toezicht op deze onderwerpen geschiedt in de Plan- Do-Act-Control cyclus waarbij lijnmanagers tijdig risicoanalyses uitvoeren op hun (bedrijfskritische) processen en systemen en incidenten direct melden. Onder regie van de centrale veiligheidsorganisatie wordt het bestuur periodiek geïnformeerd over de belangrijkste gebeurtenissen en ontwikkelingen in deze onderwerpen. Vaak blijkt dat de technische kant van veiligheid wel op orde. Incidenten (en dus schade) komen voort uit onduidelijkheid in de organisatie(structuur) zelf of uit onwetendheid bij de medewerker. Bewustwording kan deze tekortkomingen verminderen zodat zowel organisatie als medewerker niet langer de zwakste schakels hoeven te zijn in de veiligheidsketen. De volgende kanttekeningen zijn van belang: Zorg bij bewustwording voor heldere boodschappen afgestemd op de specifieke doelgroep. Juist maatwerk is dan belangrijk. Grote, gelijksoortige campagnes voor alle medewerkers werken niet. Maak bewustwording bespreekbaar aan de bestuurstafel en binnen directies. De beslissingen worden daar genomen en verder de organisatie ingestuurd. Bouw aan een organisatiecultuur waarin fouten mogen worden gemaakt en waar ze zonder problemen kunnen worden opgebiecht. Spreek elkaar aan op ongewenst en onveilig gedrag. Bevorder en stimuleer voorbeeldgedrag van leidinggevenden. Stel op alle niveaus binnen de organisatie gezichtsbepalende ambassadeurs aan die een voortrekkersrol vervullen bij het uitdragen van de boodschap. Bespreek veiligheid tijdens de periodieke managermedewerker gesprekken. Gebruik incidenten om van te leren en maak deze (geanonimiseerd) bekend in de organisatie. Bied korte films, workshops, cursussen, lezingen aan om kennisachterstand te verkleinen. Bewustwording is gebaat bij een doordachte aanpak met vooraf benoemde doelen. Resultaten zullen bovendien eerder worden bereikt als acties afwisselend zijn en een speels karakter hebben. Humor mag er ook bij. Maar ook een confronterende aanpak werkt goed met bijvoorbeeld acteurs in verschillende rollen net als onverwachte penetratietesten. Periodieke maar gedoseerde herhaling versterkt het effect van de acties. De individuele medewerker moet geprikkeld worden en gaan nadenken over zijn eigen rol in het grotere speelveld van integrale veiligheid. Uiteindelijk leiden dan een hoger niveau van veiligheidsbewustzijn en toegenomen kennis van de dossiers van integrale veiligheid bij individuele medewerkers tot een juiste houding en bijbehorend gedrag. Incidenten nemen af, (imago)schade wordt minder en geld blijft over om andere dingen mee te doen. Bewustwording heeft zijn doel bereikt: onbewust bekwame medewerkers zorgen voor een veilige en integere organisatie. 10 Beloon goede initiatieven op het terrein van veiligheid. 11 Betrek medewerkers bij het bedenken en organiseren van bewustwordingsacties.

8 De beveiligingsupdate: video's om bewust te blijven Om voldoende weerstand te bieden tegen realistische dreigingen zouden we eigenlijk iedere dag moeten werken aan awareness in de eigen organisatie. Met de juiste focus nemen risico s af en groeit het leger van bewuste en alerte gebruikers. Helaas lukt dat niet overal en dat besef is bij aanvallers goed doorgedrongen. Op veel verschillende manieren proberen criminelen de goedgelovigheid van mensen te misbruiken. Daarom moeten we ons blijven richten op het bewustzijn dat onze informatiesamenleving aandacht nodig heeft. Carlijn Broekman Research Scientist TNO Op zoek naar meetbaar informatieveilig gedrag Op 9 april vond bij TNO in Den Haag een rondetafelbijeenkomst plaats, als vervolg op de bijeenkomst in oktober 2014, destijds onder de vlag van Alert Online georganiseerd door CIP en Ordina, met als onderwerp: Meetbaar Veilig Gedrag. CIP-cast: De Beveiligingsupdate Door de domeingroep Awareness wordt een campagne in gang gezet waarbinnen op reguliere basis video s worden uitgebracht met de naam De Beveiligingsupdate. We noemen het CIP-casts. De bedoeling is de aandacht te vestigen op die thema's die belangrijk zijn voor een groeiend bewustzijn. Een deel van de CIP-casts richten we op de eindgebruiker en bevat basiskennis, een ander deel zal meer verdiepend zijnen richt zich, bijvoorbeeld, op IT ers. Iedere aflevering is afgestemd op een specifieke doelgroep en is ook zo herkenbaar. Onderwerpen kunnen variëren van veilig bestanden delen en veilig mailen tot verantwoord gebruik van systemen, van de gevaren van draadloze internetverbindingen tot de gevaren van het meenemen van data, van hacking tot identiteitsfraude. Leermodel Op 30 oktober werd door Ordina een leermodel gepresenteerd dat met de nodige aanpassingen ook goed toepasbaar leek te zijn voor awarenessprogramma s. Die programma s hebben immers ten doel om via een leerproces gedragsverandering te bewerkstellingen. De input die tijdens deze sessie verzameld is, werd door een werkgroep (bestaande uit Ordina, TNO en verschillende overheidsparticipanten) verwerkt. Door de werkgroep is het model vereenvoudigd. Het kent nu een zestal stappen die starten met het in kaart brengen van doelen en doelgroepen en die, via bewust te kiezen en toe te passen interventies, eindigen met (waar mogelijk) een vaststelling van het effect op het gedrag. Op 9 april werd dit doorontwikkelde model gepresenteerd aan ongeveer 20 deelnemers van verschillende organisaties. Vervolgens werden de zes stappen in drie groepen verder uitgediept. In deze groepen ontstonden aan de hand van richtinggevende vragen leuke discussies waaruit weer veel materiaal is verzameld voor het vervolg. Daarbij viel overigens wel op dat het echt meetbaar maken nog wel een flinke uitdaging is en ook niet altijd objectief mogelijk zal zijn. Voor alle organisaties bestemd Met het verzamelde materiaal gaat de werkgroep aan de slag om het model verder vorm te geven. De verbeterde versie die hieruit volgt, staat dan ter beschikking van alle organisaties die doelgroepgericht met bewust gekozen interventies aan beïnvloeding van informatieveilig gedrag willen werken. Ordina en TNO kunnen daarbij, indien gewenst, een helpende hand bieden. Doel is om in november 2015, tijdens de volgende Alert- Onlineweken, een definitief model te presenteren. In de meeste afleveringen komen experts aan bod in interviews met deelnemers van het CIP. Afhankelijk van het thema wordt de inhoud verrijkt met animaties, illustraties, voorbeelden van hacks en andere waardevolle toevoegingen. Soms zullen bepaalde problemen of kwetsbaarheden worden uitgelegd, met het doel de alertheid te verhogen. Heb jij ideeën voor CIP-Casts? CIP maakt CIP-casts: korte, gefilmde boodschappen over informatieveiligheid. We beogen daarmee een breed publiek bewust te maken van informatieveiligheidsrisico s en waar mogelijk maatregelen aan te bieden om mensen en de organisaties waarin zij werken te beschermen tegen die risico s. De filmpjes kunnen vrij gebruikt worden op eigen intranetten, op het klantenportal, etc. Heb je behoefte aan - of ideeën over - een onderwerp voor een CIP-cast, laat het ons dan weten en mail naar: Vrij beschikbaar De video's zijn om niet beschikbaar onder een Creative Commons-licentie, zodat ze gemakkelijk in organisaties te gebruiken zijn. Door de meerdere doelgroepen die we bedienen is er ook wat variatie mogelijk met betrekking tot de inzet van de video's. Zelf bijdragen is ook mogelijk, want ook bij dit initiatief draait het om participatie. Dat kan door video's aan te leveren, het aanbieden van expertise voor de video's of het sponsoren van een draaidag waardoor u uw eigen thema's kunt agenderen. Een draaidag levert drie specifiek door de sponsor bepaalde video s op. Met De Beveiligingsupdate ontstaat een kanaal om doorlopend mensen bewust te houden van de risico's die spelen. Met deze video s wordt een instrument aangereikt om medewerkers en gebruikers op laagdrempelige wijze en met vaste regelmaat te betrekken bij het thema informatieveiligheid en daarmee steeds weer de aandacht te vestigen op de rol die iedereen moet spelen bij het veilig houden van de informatiesamenleving.

9 16 Beveiligingsstress 17 Zeer frequent worden we, via diverse media, gewezen op beveiligingsrisico s die we lopen in onze steeds verdergaande digitale samenleving. Hoe paranoïde laten we ons maken; hoe voorzichtig moet je zijn? Van alle kanten krijg ik tips over hoe om te gaan met wachtwoorden: Wachtwoorden moet je niet opschrijven. Je moet niet voor alle sites die je bezoekt hetzelfde wachtwoord gebruiken. Soms moet je die wachtwoorden ook nog periodiek verplicht wijzigen. Al die wachtwoorden moeten sterk zijn, dus minimaal 8 posities, cijfers, (hoofd)letters en speciale tekens bevatten. Het zijn niet een of twee wachtwoorden die je moet onthouden. Je hebt ze voor het werk, voor de bank (vaak meerdere), de energieleverancier, je mail, de kabelmaatschappij, alle leveranciers bij wie je een persoonlijke registratie hebt, enz. Het is maar een kleine greep. Je hebt er tientallen. Dus toch maar opslaan in een wachtwoordkluis? Zou die wachtwoordkluis in de cloud staan; is die dan wel veilig? Op de harde schijf van mijn PC dan? Als die crasht ben ik alles kwijt. Dan maar een kopie op een memory stick, maar waar leg ik die dan neer. Als mijn huis afbrandt zijn PC en memory stick verdwenen. Bij een inbraak ook, lijkt me. De memory stick wil je toch in de buurt van je PC bewaren, want je moet regelmatig updaten; de persoonlijke sites vliegen je namelijk om de oren. IIIIIIEEEEEKKKKKK Mijn hoofd is echt niet groot genoeg om alles op te slaan. Ik denk dan dat opschrijven en ergens goed verstoppen een goed alternatief is. Maar dat is natuurlijk absoluut niet veilig. Ergens moet ik dus toch een risico incalculeren. Ik doe de voor- en achterdeur goed op slot zodat niemand er al te gemakkelijk bij kan. Dat is geen extra maatregel, dat deed ik toch al. Wordt vervolgd... Wat drijft mijn deelname aan het CIP? Met de grote uitdagingen die op ons af komen in de securitywereld van vandaag red je het niet alleen. Kennisdelen en samen een netwerk vormen is essentieel. Het CIP faciliteert hier uitstekend in. Ik wil graag de aanwezige kennis binnen mijn UWV-team met de andere CIP-partners delen. Binnen UWV is het Security Operations Center in februari 2015 formeel geopend. Zelf heb ik daarbij een prominente rol gespeeld. De ervaringen die ik in dit proces heb opgedaan, deel ik graag met andere overheidspartners. Tom de Haan Security Officer bij UWV The Battle De ontwikkeling van het eid-stelsel heeft te maken met de belangen van Speurders en Privacy-adepten. Crime fighters maken zich zorgen over de inperkingen van hun opsporingsmogelijkheden in de analoge en de digitale werelden. De voorvechters van Privacy maken zich zorgen over de in hun ogen ontoelaatbare uitbreiding van het risico op schending van de privacy van de burger. Wordt het eid een bedreiging of een zegen voor de maatschappij? Wat zijn de voordelen en nadelen, welke argumenten snijden hout? Zijn het wel tegenstellingen? Waar zit de balans en synergie? Wie gaat bepalen hoe de kwartjes zullen vallen? Deze en andere vragen zijn aan de orde gesteld in "The Battle", een debat in Lagerhuisstijl tussen beide kampen, met een Mister Speaker and all, en het eid als belangstellende toehoorder. Het debat was georganiseerd door de domeingroepen Privacy en ID-fraude en vond op 21 mei plaats in de fraaie entourage van PBLQ in Den Haag. De opzet van het Lagerhuisdebat, met tot de tanden bewapende woordvoerders en fanatieke aanhang van beide kampen op de tribunes, mag dan wat ludiek van karakter zijn geweest, in het middaggedeelte moest toch de synergie worden gevonden. Want het doel van dit alles was te komen tot een gewogen en concreet advies dat zou kunnen worden meegenomen in de uiteindelijke specificaties van het eid-stelsel. Zoals steeds bij de onderwerpen privacy en identiteitsfraude was de belangstelling ook nu weer groot. De ruim 40 deelnemers hebben zich zichtbaar vermaakt en elkaar uitgebreid aan de tand gevoeld. Tot een breed gedeeld advies is het nog niet gekomen, daarvoor liggen de belangen en wensen van beide zijden te principieel uit elkaar. Het resultaat is wel een lijst met belangwekkende en inspirerende opletpunten en suggesties - ook nieuwe kansen - voor het eid. Daaruit kiezen en knopen doorhakken is echter niet aan het eid of een van beide kampen, maar aan de politiek. Twee partijen waren niet of nauwelijks vertegenwoordigd in dit spektakel: de burgers en de bedrijven, in feite de beoogde dagelijkse gebruikers van het nieuwe stelsel. Ook tussen deze groepen zal een haat-liefde verhouding bestaan in het perspectief van privacy versus gemak. Goed idee voor nog een Battle?

10 Reputatie, Vertrouwen en Continuiteit. Een interview met Yuri Bobbert Wat is jouw achtergrond? Ik heb een vrij brede achtergrond. Zowel IT als bedrijfskunde. De laatste 10 jaar heb ik leidinggegeven aan een beveiligingsadviesorganisatie die ik in 2004 heb opgericht. Primair kwam dat neer op het managen van het groeiproces en inspirerend leiden op de inhoud. Dat inspireren doe ik door als onderzoeker (verbonden aan Radboud University en Antwerp University) ons vakgebied kritisch te beschouwen en deze kennis terug te geven aan de praktijk. Door mijn opa Charles Breijer (Nederlands cineast, fotograaf en verzetsstrijder tijdens de Tweede Wereldoorlog, red.) ben ik geïnspireerd om blijvend te zoeken naar waarheidsvinding. Welke opdracht heb je gekregen bij UWV? Mijn opdracht is om van een reactieve houding te bewegen naar een meer proactieve organisatie die in control is ten aanzien van de sturing, beheersing, rapportering en verantwoording over informatiebeveiliging. Daarbij heb ik drie elementen op het oog: de reputatie die we als overheidsinstelling hebben en willen behouden, het vertrouwen dat we genieten bij burgers en politiek en de continuïteit van onze dienstverlening. De schrijvende CISO Mijn persoonlijke ambitie is om mijn lectoraat Business Information Security aan de Hogeschool NOVI, mijn onderzoeksrol aan de Universiteit van Antwerpen en Radboud, te combineren met mijn functie als CISO. Zodanig dat ik nieuwe inzichten uit de wetenschap kan toepassen en toetsen aan de praktijk en andersom. Mijn tweede boek, Hoe veilig is mijn aandeel?, is een verslaglegging van de afgelopen 4 jaar aan praktijktoepassingen in combinatie met wetenschappelijke kennis van methode en theorieën. Welke uitdagingen zie je op security gebied? Ik maak vaak het vergelijk met de boekhoudafdeling. Boekhouden doen we niet alleen omdat de wet op de jaarrekening dat eist, maar ook omdat we onze huishouding op orde willen hebben en onze doelen willen halen. Na honderden jaren hebben we dat kunstje geleerd. Ons vakgebied is nog jong en we hebben nog een hoop te doen voordat we zo stabiel zijn als de boekhoudwereld. Dat is niet de enige uitdaging, ook aan bewustzijn en gedrag moet nog gewerkt worden. Daarbij zijn oog voor bestuurlijke verhoudingen en communicatie kritische succesfactoren. Hoe ga je daaraan de komende tijd vormgeven? Mijn visie is een veilig digitaal UWV, waar veiligheid in ons DNA zit zoals dit ook voor de auto- en vliegtuigindustrie het geval is. Mijn missie is om als UWV daarin een voorbeeld te zijn voor anderen. Dat voorbeeld willen we zijn met ons UWV Security Operations Center (USOC), met de toepassing van Grip op Secure Software Development (waarin we dé oplossing zien voor veel beveiligingsproblemen), met SIVA, de uniforme schrijfwijze voor architectuur, beleid en auditing (ontwikkeld door dr. Wiekram Tewarie) en met de adoptie van de Baseline Informatiebeveiliging Rijk (BIR). Deze elementen moeten samen bijdragen aan een structureel hoger niveau van informatieveiligheid. Met het CIP en zijn netwerk heeft het UWV sterke bondgenoten. Het doel is om samen de ketens van dienstverlening en gegevensuitwisseling veiliger te maken en daarmee het vertrouwen bij burgers in de dienstverlening van de overheid op een permanent hoog niveau te krijgen en te houden. Mijn strategie is om maatregelen op het gebied van informatiebeveiliging zoveel mogelijk meetbaar te maken en evidence based, dat wil zeggen gebaseerd op de best beschikbare feitelijke informatie over doelmatigheid en doeltreffendheid zodat we achteraf niet voor verrassingen komen te staan. BIR-Operationele producten nu ook verkrijgbaar bij het CIP Inmiddels heeft de Taskforce BID zijn activiteiten afgebouwd. Na nog wat afrondende werkzaamheden in de eerste maanden van 2015 was het dan echt afgelopen. De taskforce heeft veel kunnen doen aan de zichtbaarheid van informatieveiligheid onder bestuurders in de overheid. Een en ander in samenwerking met koepelorganisaties (VNG, Unie van Waterschappen en Interprovinciaal Overleg, BZK/DGOBR) en kennisorganisaties (Informatiebeveiligingsdienst gemeenten en uiteraard CIP). Het woord informatieveiligheid kwam ik eigenlijk voor het eerst tegen in het vocabulaire van de taskforce. Een goed gekozen term, die zich in twee opzichten onderscheidt van het begrip informatiebeveiliging. Ten eerste maakt het duidelijk dat veiligheid alleen bereikt wordt als we over een breed scala maatregelen treffen en niet alleen in de techniek. Voor de 7e keer collegiaal gastvrij Jeroen Booij en Petra van Dellen, Managementassistenten van de CIO van het UWV en het CIP. Ten tweede spreekt het woord aan omdat het nadruk legt op de veiligheid van het product (informatie), in plaats van op het proces of op de maatregelen die nodig zijn om te komen tot dat veilige product. Wij nemen dit begrip dan ook graag over in óns woordenboek. Bij het uitfaseren van de taskforce hebben we een aantal afspraken gemaakt. Zo zal CIP de z.g. BIR-Operationele producten in beheer nemen en ter beschikking stellen. Ze staan inmiddels ook op Voor een aantal thema s binnen de BIR bieden deze producten concrete handreikingen bij de praktische invulling. Daarnaast bezien we, samen met mensen van BZK/BI en VNG of het mogelijk is een deel van de bestuurscoalitie rond de taskforce voort te zetten. Het is immers van belang dat informatieveiligheid op de bestuursagenda blijft. Ad Reuijl directeur CIP Het organiseren blijft een feestje, we worden steeds professioneler, het programma wordt elke keer interessanter en uitdagender Nooit geweten dat, toen we er in 2012 aan begonnen, het zo grootschalig zou worden. Rechts van Petra: Joyce Baserat en Veronica Amiabel, Managementassistenten van de Taskforce BID en de SVB. Yuri Bobbert Ciso, UWV Met veel plezier staan wij ook in 2015 weer voor iedereen paraat! Met de hartelijke CIP groeten: Jeroen, Veronica, Joyce en Petra.

11 Doe je best en heb een goed humeur Tot enige jaren geleden was ik op een belangrijke rijksopleiding co-docent voor het blok ambtelijk- politieke verhoudingen. Wij organiseerden altijd een college met Arthur Doctors van Leeuwen. Zijn aanwezigheid maakte iedere keer diepe indruk op de cursisten. Hij sloot zijn college altijd af met tien raadgevingen om je in het veld van deze verhoudingen (als overheidsmanager) goed te kunnen bewegen. Natuurlijk zaten daar heel bekende en nuttige aanbevelingen bij, zoals over de veilige omgang met informatie. Maar twee opmerkelijke en behartenswaardige aanbevelingen sprongen eruit: doe je best in je werk en heb een goed humeur. Zo althans heb ik ze geïnterpreteerd en onthouden. De cursisten, allen met een niet geringe ambtelijke schaal, schreven deze tien raadgevingen met grote aandacht op. Ook de laatste twee en ik moest daar altijd om glimlachen. Stel je leest je aantekeningen terug als hogere overheidsambtenaar en je wordt gemaand je best te doen en een goed humeur te hebben Maar, is er eigenlijk wel reden tot lachen? Die laatste twee raadgevingen bedoelde Doctors van Leeuwen bloedserieus en er zitten diepe gronden achter. Althans zoals ik het begrijp. Een is bijvoorbeeld dat je als ambtenaar in de altijd complexe werkelijkheid van onze mediademocratie alleen als je écht je best doet, die voortdurende scherpte kan opbrengen om zowel risico s goed te zien als bestuurlijk kansen voor beleidsvoortgang te bieden. Henk Wesseling was bestuurlijk hoofd van de interbestuurlijke Taskforce Bestuur en Informatieveiligheid Dienstverlening die in februari de werkzaamheden aan het veld heeft overgedragen. Mijn glimlach kwam niet voort uit de vanzelfsprekendheid van deze twee laatste raadgevingen. Ze zijn helemaal niet vanzelfsprekend. In ieder geval niet voor mij en ook niet als je om je heenkijkt, hoeveel goede collega s er ook zijn. Ze zijn van toepassing op ieder veld waar het ingewikkeld is en de eigen verantwoordelijkheid om er iets van te maken voorop staat. Zoals bijvoorbeeld in het veld van informatieveiligheid. De raadgevingen zijn eenvoudig en krachtig en je hoeft ze ook niet op te schrijven om ze te onthouden. Je moet ze gewoon praktiseren. Je best doen, met een goed humeur, daar wordt de wereld een stuk informatieveiliger van. Een ander punt is dat een goed humeur het beste voorbeeldgedrag is dat je collega s kunt bieden in het openbaar bestuur. Lastig is het immers altijd in het openbaar bestuur en dat afwentelen door er de pest in te hebben, waar komen we dan? Colofon Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar Concept en realisatie: Adrenaline Communicatie BV

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. 1 Hoe heeft Rotterdam IB aangepakt en welke lessen zijn daaruit te trekken: valkuilen en beren. 2 De nieuwe organisatie: 5 primaire proces

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

INFORMATIEVEILIGHEID een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit @Surfcert & Surfibo Compilatie Filmpje DigiNotar Game changer - 1 Game changer - 2 Aanbevelingen OOV 1. Zorg dat bestuurders

Nadere informatie

Verslag Visitatiecommissie Informatieveiligheid

Verslag Visitatiecommissie Informatieveiligheid Verslag Visitatiecommissie Informatieveiligheid gemeente Renswoude Tijd en datum 09.30-11.00, 2 maart 2016 Aanwezig gemeente Renswoude mw. A.E.H. van der Kolk, burgemeester (waarnemend) hr. J. van Dijk,

Nadere informatie

Gedragscode. Gewoon goed doen

Gedragscode. Gewoon goed doen Gedragscode Gewoon goed doen 2 Inhoudsopgave pagina 1. Missie, ambitie en kernwaarden 4 2. Gewoon goed doen 5 3. Waarom een gedragscode? 6 4. Omgaan met de patiënt/klant: respectvol en gastvrij 7 5. Professioneel

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere

Nadere informatie

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP) VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden INFORMATIEVEILIGHEID een uitdaging van ons allemaal Learn and Share bijeenkomst Informatieveiligheid, Rheden George van Heukelom Hackers bedienen containers in Antwerpen Remote bediening door een hacker

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies

Nadere informatie

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het

Nadere informatie

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari 2017 1 Wie is er bang voor de privacywetgeving? Marcel Koers - marcel.koers@uwv.nl 2 Grip op privacy: hoe? Een ogenschijnlijk eenvoudige

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG College Tour Informatieveiligheidbeleid 11 oktober 2013 DEN HAAG Vereniging van Nederlandse Gemeenten Agenda 1. Maatschappelijke vraagstukken Patrick van Domburg, Wethouder Gemeente Zoetermeer 2. Informatievoorzieningen

Nadere informatie

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - betreft ons kenmerk datum Voortgang informatieveiligheid ECLBR/U201402103 Lbr. 14/086 19 november

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy

Nadere informatie

Gemeentelijke regisseurs. Regisseren en de kunst van de verleiding

Gemeentelijke regisseurs. Regisseren en de kunst van de verleiding Gemeentelijke regisseurs Regisseren en de kunst van de verleiding Van traditioneel management naar modern regisseren De gemeente heeft de regie dat gebeurt niet zomaar, en ook niet van de ene op de andere

Nadere informatie

AVG Routeplanner voor woningcorporaties

AVG Routeplanner voor woningcorporaties AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere

Nadere informatie

RESEARCH COMMUNITIES HEEN KUNNEN

RESEARCH COMMUNITIES HEEN KUNNEN DE 7 REDENEN WAAROM MARKETEERS NIET OM RESEARCH COMMUNITIES HEEN KUNNEN Odette Vlek Senior marktonderzoeker Ruigrok NetPanel November 2015 INTRODUCTIE Online research communities zijn al enige jaren hot.

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Functieprofiel: Adviseur Functiecode: 0303

Functieprofiel: Adviseur Functiecode: 0303 Functieprofiel: Adviseur Functiecode: 0303 Doel (Mede)zorgdragen voor de vormgeving en door het geven van adviezen bijdragen aan de uitvoering van het beleid binnen de Hogeschool Utrecht kaders en de ter

Nadere informatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

Voorstel Kennis te nemen van de communicatiestrategie van de gezamenlijke waterschappen en de ontwikkelde middelen corporate story en woordmerk.

Voorstel Kennis te nemen van de communicatiestrategie van de gezamenlijke waterschappen en de ontwikkelde middelen corporate story en woordmerk. Aan het dagelijks bestuur Datum: 11-02-2014 Onderwerp: Landelijke communicatiestrategie waterschappen Voorstel Kennis te nemen van de communicatiestrategie van de gezamenlijke waterschappen en de ontwikkelde

Nadere informatie

opdracht geven, opdracht nemen een wereld van verschil

opdracht geven, opdracht nemen een wereld van verschil opdracht geven, opdracht nemen een wereld van verschil Workshop Derk K. Kremer Derk Kremer Even voorstellen. TUD Civiele Techniek en Bedrijfskunde Directeur Eestum Management, een onafhankelijk adviesbureau

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag sorganisatie Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den Haag

Nadere informatie

Post HBO opleiding Management in Zorg en Welzijn

Post HBO opleiding Management in Zorg en Welzijn Zorg en Welzijn Algemeen De post-hbo opleiding Management in Zorg en Welzijn is een opleiding van 1,5 jaar voor mensen met een afgeronde hbo-opleiding die werkzaam zijn in de sector zorg en welzijn en

Nadere informatie

Business case Digikoppeling

Business case Digikoppeling Business case Digikoppeling Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige

Nadere informatie

Een Information Security Management System: iedereen moet het, niemand doet het.

Een Information Security Management System: iedereen moet het, niemand doet het. ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse

Nadere informatie

VISIE OP DE ORGANISATIE

VISIE OP DE ORGANISATIE VISIE OP DE ORGANISATIE WE ZIJN ER ALS ORGANISATIE VOOR PUBLIEK, ONDERNEMERS, BESTUUR EN COLLEGA S 00 INHOUDSOPGAVE 0. Inhoudsopgave 2 1. Missie visie kernwaarden 3 2. Toelichting 4 3. De kernwaarden 5

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Handvesttoets; Wat is het? Wat levert het op? Februari 2016

Handvesttoets; Wat is het? Wat levert het op? Februari 2016 Handvesttoets; Wat is het? Wat levert het op? Februari 2016 Inhoudsopgave Aanleiding en Doelstelling... 1 In het kort... 1 Handvesttoets... 1 Resultaten... 2 Doorpakken op basis van de handvesttoets...

Nadere informatie

Centrale regie en decentraal gebruik binnen communicatie

Centrale regie en decentraal gebruik binnen  communicatie binnen e-mailcommunicatie Een guide voor het regisseren en faciliteren van e-mail als communicatiemiddel binnen organisaties met decentrale verantwoordelijkheden Powered by De inzet van e-mail als communicatiemiddel

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Ik ga het niet doen, en mijn mensen ook niet!

Ik ga het niet doen, en mijn mensen ook niet! Ik ga het niet doen, en mijn mensen ook niet! Wat zijn de belangrijkste eisen en uitdagen van jouw organisatie in de komende 6 maanden? Welke kritische succesfactoren worden er gesteld? Waar liggen de

Nadere informatie

Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij

Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT Wie zijn wij Openbaar Primair onderwijs Haarlem 23 scholen (2x SO, 3x S(B)O, 18 PO) 31 locaties 6800 leerlingen 950

Nadere informatie

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6 Inleiding De afgelopen vijftien jaar hebben we veel ervaring opgedaan met het doorvoeren van operationele efficiencyverbeteringen in combinatie met ITtrajecten. Vaak waren organisaties hiertoe gedwongen

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Het succes van samen werken!

Het succes van samen werken! White paper Het succes van samen werken! Regover B.V. Bankenlaan 50 1944 NN Beverwijk info@regover.com www.regover.com Inleiding Regover B.V., opgericht in 2011, is gespecialiseerd in het inrichten en

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Introductiefilmpje Informatieveiligheid bestuurders

Introductiefilmpje Informatieveiligheid bestuurders Introductiefilmpje Informatieveiligheid bestuurders INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Zelfdiagnostische vragenlijst verandercompetenties

Zelfdiagnostische vragenlijst verandercompetenties Zelfdiagnostische vragenlijst verandercompetenties Het gaat om de volgende zeven verandercompetenties. De competenties worden eerst toegelicht en vervolgens in een vragenlijst verwerkt. Veranderkundige

Nadere informatie

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? Hans van Impelen Privacyfunctionaris/ Functionaris voor de Gegevensbescherming (FG) De start in Utrecht

Nadere informatie

We zien een datagedreven wereld vol kansen. Toepassingscentrum voor big data oplossingen

We zien een datagedreven wereld vol kansen. Toepassingscentrum voor big data oplossingen We zien een datagedreven wereld vol kansen Toepassingscentrum voor big data oplossingen We zien succesvolle organisaties groeien door big data 50% van de meest succesvolle organisaties Volg ons op twitter:

Nadere informatie

Rekenkamercommissie Brummen

Rekenkamercommissie Brummen Rekenkamercommissie Brummen REKENKAMERBRIEF Privacy in de 3 decentralisaties INLEIDING Door de 3 decentralisaties verwerkt de gemeente vanaf 1 januari 2015 veel meer persoonlijke en privacygevoelige gegevens.

Nadere informatie

Ministerie van BZK Kenmerk Uw kenmerk

Ministerie van BZK Kenmerk Uw kenmerk > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Ministerie van BZK Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den

Nadere informatie

Uitkomsten evaluatie module sociale infrastructuur

Uitkomsten evaluatie module sociale infrastructuur Uitkomsten evaluatie module sociale infrastructuur Maart 2017 Begin 2017 zijn enquêtes uitgezet bij (A) gemeenten uit de kernwerkgebieden van Menzis, (B) zorgaanbieders die gecontracteerd zijn voor de

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder

Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan, 22 Augustus 2014 1 Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken

Nadere informatie

Privacy een ICT-ding? Juist niet!

Privacy een ICT-ding? Juist niet! Privacy een ICT-ding? Juist niet! Enkele praktijkvoorbeelden Even wat statistische gegevens... 29 % 35 % Menselijk oorzaken: Oorzaken datalekken 71 % Onwetendheid 35 % Slordigheid Bewuste overtredingen/inbreuken

Nadere informatie

Masterclass. Business Model Canvas gebruiken bij communicatie. Een visueel hulpmiddel om de brug tussen IT en business te slaan

Masterclass. Business Model Canvas gebruiken bij communicatie. Een visueel hulpmiddel om de brug tussen IT en business te slaan Masterclass Business Model Canvas gebruiken bij communicatie Een visueel hulpmiddel om de brug tussen IT en business te slaan De laatste jaren hanteren organisaties steeds vaker het Business Model Canvas

Nadere informatie

Inspireren, Leren & Werken. Werken aan een nieuwe werkwijze

Inspireren, Leren & Werken. Werken aan een nieuwe werkwijze Inspireren, Leren & Werken Werken aan een nieuwe werkwijze WIE, WAT, WAAR? BOOTCAMP JEUGDWERK 2014 BLZ 4 DAG 4 DONDERDAG 4 SEPTEMBER BLZ 8 DAG 1 MAANDAG 1 SEPTEMBER BLZ 5 DAG 5 VRIJDAG 5 SEPTEMBER BLZ

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 26 643 Informatie- en communicatietechnologie (ICT) Nr. 344 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES Aan de Voorzitter

Nadere informatie

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE Sturen op ICT en samenhang met business Maes als onderzoek model Vanuit onderzoek in bedrijfsleven: IT beslissing Rol Directie Consequentie

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Leadership in Project-Based Organizations: Dealing with Complex and Paradoxical Demands L.A. Havermans

Leadership in Project-Based Organizations: Dealing with Complex and Paradoxical Demands L.A. Havermans Leadership in Project-Based Organizations: Dealing with Complex and Paradoxical Demands L.A. Havermans LEADERSHIP IN PROJECT-BASED ORGANIZATIONS Dealing with complex and paradoxical demands Leiderschap

Nadere informatie

ICT-ontwikkelingen. Gemeentelijke Informatievoorziening op weg naar de Smart city

ICT-ontwikkelingen. Gemeentelijke Informatievoorziening op weg naar de Smart city ICT-ontwikkelingen Gemeentelijke Informatievoorziening op weg naar de Smart city Wouter van de Kasteele, Hoofd van de sector I&B en Johannes van Veen, Strategisch adviseur, CIO office, sector Strategie

Nadere informatie

Tijdschrift Privacy 01 Maart 2015

Tijdschrift Privacy 01 Maart 2015 Tijdschrift Privacy 01 Maart 2015 Adri de Bruijn (l) enjan Visser (r): "Scholen leggen veel gegevens vast. Ze doen dat overigens met de beste bedoelingen" Nulmeting privacy en informatiebeveiliging scholen

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016 Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten Startbijeenkomsten 12 provincies september 2016 Agenda Introductie startbijeenkomst; Wat is Suwinet? Achtergrond programma

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Meer Control met minder Instrumentarium?

Meer Control met minder Instrumentarium? financiële specialisten voor de non-profit www.jeconsultancy.nl Meer Control met minder Instrumentarium? Verslag van de workshop tijdens het Voorjaarscongres op dinsdag 20 mei in Apeldoorn JE Consultancy

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

[Excelleren door. Ambitie is Van deze digitale tijd zijn. Uw organisatie bij de tijd door inzet van nieuwe marketing en communicatie

[Excelleren door. Ambitie is Van deze digitale tijd zijn. Uw organisatie bij de tijd door inzet van nieuwe marketing en communicatie [Excelleren door Uitdaging] Uw organisatie bij de tijd door inzet van nieuwe marketing en communicatie Ze trekken in duizelingwekkende snelheid voorbij, de digitale vernieuwingen. Vandaag in, kan morgen

Nadere informatie

Opruimen in de praktijk Ruimte voor de professional, die professional dat ben JIJ!

Opruimen in de praktijk Ruimte voor de professional, die professional dat ben JIJ! Opruimen in de praktijk Ruimte voor de professional, die professional dat ben JIJ! Niet alleen toevoegen maar ook opruimen Een handleiding van de Opruimdienst als hulpmiddel voor jouw team Handleiding

Nadere informatie

Hoe kan u strategie implementeren en tot leven brengen in uw organisatie?

Hoe kan u strategie implementeren en tot leven brengen in uw organisatie? Hoe kan u strategie implementeren en tot leven brengen in uw organisatie? De externe omgeving wordt voor meer en meer organisaties een onzekere factor. Het is een complexe oefening voor directieteams om

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Kaartspel EVC als strategische keuze

Kaartspel EVC als strategische keuze Kaartspel EVC als strategische keuze Doel van het kaartspel: Inzicht krijgen in waar je als EVC-aanbieder naar toe wilt gaan en hoe je perspectief voor de toekomst ontwikkelt. Ga je wel of niet door met

Nadere informatie

EXPERTS MEET THE. Seminars voor financials in de zorg WWW.BAKERTILLYBERK.NL/FINANCE4CARE DE ZORG: ANDERS DENKEN VOOR EFFICIËNTERE ZORG

EXPERTS MEET THE. Seminars voor financials in de zorg WWW.BAKERTILLYBERK.NL/FINANCE4CARE DE ZORG: ANDERS DENKEN VOOR EFFICIËNTERE ZORG MEET THE EXPERTS KENNISMAKING MET LEAN IN DE ZORG: ANDERS DENKEN VOOR EFFICIËNTERE ZORG DOOR DR. VINCENT WIEGEL OP 16 OKTOBER 2014 VERBINDENDE CONTROL DOOR MR. DR. HARRIE AARDEMA OP 6 NOVEMBER 2014 INKOOP

Nadere informatie

Commitment without understanding is a liability

Commitment without understanding is a liability Commitment without understanding is a liability Accent Organisatie Advies Risicocultuur tastbaar maken Propositie van Accent Organisatie Advies Frank van Egeraat Januari 2017 Nederlandse Corporate Governance

Nadere informatie

Servicedesking! Hot or Not? Egbert van der Steege MSc

Servicedesking! Hot or Not? Egbert van der Steege MSc Servicedesking! Hot or Not? Egbert van der Steege MSc FACTO CONGRES 2013 Servicedesking! Hot or Not? 11 juni 2013 BENT U TEVREDEN OVER DE PERFORMANCE VAN UW (FACILITAIRE) SERVICEDESK? DRAAGT UW (FACILITAIRE)

Nadere informatie

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid Rapport Informatieveiligheid en de Raad Met de hamer op tafel Enquête over hoe raadsleden denken over het thema Informatieveiligheid Inhoudsopgave 1. Inleiding 2 1.1 Achtergrond 3 1.2 Achtergrond enquête

Nadere informatie

The Road to Working Capital Excellence. Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal

The Road to Working Capital Excellence. Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal The Road to Working Capital Excellence Werken aan structurele verbeteringen door het tussen de oren krijgen van werkkapitaal The road to Working Capital Excellence Vraag Aanpak Toepassing Resultaat Quick

Nadere informatie

Bestuurssecretaris en...

Bestuurssecretaris en... het Zijlstra Center for Public Control and Governance www.hetzijlstracenter.nl Bestuurssecretaris en... Oriëntatie op de functie bestuurssecretaris het Zijlstra Center for Public Control and Governance

Nadere informatie

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW)

Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) Werkgroep Borging: Peter Konings (Belastingdienst), Rutger Heerdink (UWV), Rene Backer (SVB), Sjoerd Weiland (RDW) November 2013 Deze sheets bevatten achtergrondinformatie bij het plan Borging awareness

Nadere informatie

Succesvol ERP selecteren en implementeren. Mitopics BV dé specialist op ERP-gebied vanuit risicobeheersing

Succesvol ERP selecteren en implementeren. Mitopics BV dé specialist op ERP-gebied vanuit risicobeheersing Succesvol ERP selecteren en implementeren Mitopics BV dé specialist op ERP-gebied vanuit risicobeheersing Onze concurrenten hebben veel betere informatie! Onze klanten verwachten meer van ons! Onderhoud

Nadere informatie

Utrecht Business School

Utrecht Business School Post HBO Inkoopmanagement & Procurement De Post HBO opleiding Inkoopmanagement & Procurement duurt onge veer 5 maanden en omvat 10 colleges van 3 uur. U volgt de opleiding met 10-15 studenten in Utrecht.

Nadere informatie

FUNCTIEFAMILIE 1.2 Klantenadviserend (externe klanten)

FUNCTIEFAMILIE 1.2 Klantenadviserend (externe klanten) Doel van de functiefamilie Vanuit een specialisatie professioneel advies of begeleiding geven aan externe klanten deze klanten oplossingen aan te reiken of maximaal te ondersteunen in het vinden van een

Nadere informatie

Case 1: de fusie. Wat was de aanleiding om 3TGO in te zetten?

Case 1: de fusie. Wat was de aanleiding om 3TGO in te zetten? Case 1: de fusie Wat was de aanleiding om 3TGO in te zetten? Twee regionale organisaties zijn samengegaan in een grotere, provinciegrens overlappende organisatie en de integratie verliep niet zo soepel

Nadere informatie