Meldplicht datalekken: het schiet niet erg op

Transcriptie

1 CIP-post Meldplicht datalekken: het schiet niet erg op Al geruime tijd is in de 2e Kamer een wetsvoorstel Meldplicht datalekken in voorbereiding. Dit wetsvoorstel is bedoeld om de schade te beperken, die kan ontstaan ten gevolge van het lekken van gevoelige gegevens. De organisatie die verantwoordelijk is voor de verwerking van de gelekte of verloren gegane persoonsgegevens is hierbij de meldplichtige. Nadrukkelijk wordt ook geregeld dat de betrokkenen tijdig en accuraat worden geïnformeerd en geadviseerd over vervolgstappen. Een datalek onder de pet houden of niet (onverwijld) melden is geen optie meer: als het uitkomt hang je. Met de meldplicht alleen houdt het in het voorstel niet op: als bij toetsing vervolgens blijkt dat de zaakjes qua beveiliging niet op orde waren, dan kan het College Bescherming Persoonsgegevens (CBP) een fikse boete uitdelen. Er wordt nog wat gesteggeld over de hoogte, maar het zou zomaar wellicht in de buurt van 800 duizend euro kunnen komen. Dat is overigens nog niets vergeleken bij de boetebedragen die in soortgelijke Europese wetsvoorstellen worden genoemd: maar liefst 1 miljard(!) of 5% van de jaarlijkse wereldwijde omzet. Maar ook hier is over boetes nog een hoop te doen. De boete van maximaal 1 miljard is een voorstel van het Europese Parlement, het voorstel van de EU-Commissie is veel lager: (1 miljoen of 2%). Hoe het ook gaat uitpakken, het lijkt verstandig om op tijd te anticiperen en maatregelen te treffen. Of je ooit slachtoffer wordt van een datadiefstal - van buitenaf of van binnenuit - is voor veel gegevensverwerkende organisaties geen vraag meer. Het is niet de zozeer de vraag óf het gebeurt, maar veeleer wannéér. Als je op dat moment kunt aantonen dat je de juiste maatregelen hebt genomen, en dat die ook in werking zijn, kun je boetes voorkomen. Ooit was het de bedoeling om het wetsvoorstel per 1 januari 2014 in te laten gaan. Nu is het wel zeker dat ook 1 januari 2015 niet gehaald zal worden. In het Europese traject, de Algemene Verordening Gegevensbescherming (AVG) gaat het niet veel beter: dat wordt 2017, en dan moet het niet teveel tegenzitten. Er is dus nog wel even tijd maar vergis je niet: als je eens goed op een rijtje zet wat je allemaal ingeregeld moet hebben om het vermoeden van nalatigheid in de kiem te kunnen smoren, dan valt er in heel veel organisaties en bedrijven nog heel wat in te regelen. Lees meer over meldiplicht datalekken op nov 2014 nummer 6 in deze uitgave o.a. BIR: naar informatiebeveiliging als regulier onderdeel van de bedrijfsvoering lees meer op pagina 3 Veilig delen: naar standaarden, handige hulpmiddelen en software op het gebied van informatieuitwisseling lees meer op pagina 5 Capgemini over SSD: leesbaar en toepasbaar, een absolute win-win voor zowel bedrijfsleven als overheid lees meer op pagina 9 Beveiliging in inkoopcontracten: van audits achteraf naar vooraf sturen op resultaat lees meer op pagina 12 en 13 Gerard Hurkmans, CAK directeur, nieuw in het CIP bestuur: een enorm belangrijk netwerk lees meer op pagina 19

2 2 3 2 BIR implementatie: naar informatiebeveiliging als regulier onderdeel van de bedrijfsvoering Frank Ossewaarde, verbonden aan I-Interim Rijk, is sinds eind 2013 als programmadirecteur verantwoordelijk voor de implementatie van de BIR (Baseline Informatiebeveiliging Rijksdienst) bij de gehele Rijksoverheid. Dit omvat alle departementen, diensten en agentschappen. Daarnaast zijn de ZBO s en gemeenten als belangrijke ketenpartners van het rijk ook in de aandacht van het programma. door Ad Reuijl Voorwoord Aan het eind van de voorjaarconferentie gaf ik aan met welke nieuwe activiteiten we aan de slag wilden gaan. Dat is nog een hele drukte geworden. Inmiddels draait de nieuwe domeingroep Identiteitsfraude onder leiding van Wouter Fellendans van het Ministerie van BZK en zijn er een tweetal Practitioners Communities (voor Secure Software Development en Keten Service Library) opgezet. In de afgelopen periode hebben we bovendien ook weer meerdere kennissessies met kennispartners rond verschillende thema s georganiseerd. In de serie Grip op verschijnt nu een tweede deel: Grip op beveiliging in inkoopcontracten : een mooi instrument waarmee je systematisch kunt nagaan welke concrete zaken er geregeld moeten worden met leveranciers. Ook het jaarplan voor 2015 ligt klaar en is te downloaden vanuit cip.pleio. Nadat met de bestuurders van het CIP (het Bestuurlijk Overleg Compacte Uitvoering) de richting voor de komende jaren is besproken, hebben we met een groep van 25 deelnemers, vnl. leden van domeingroepen en het Rijks ISAC, gekauwd op het plan en daaraan nog extra scherpte toegevoegd. Diversiteit van inbreng vind ik erg belangrijk. Vooral in een netwerkorganisatie zoals we die samen vormen, is het van belang een breed draagvlak te houden voor de dingen die we doen. Daarin zoeken we ook steeds een goede modus tussen wat bestuurders willen en wat managers en uitvoerders signaleren. We gaan de komende tijd werken aan een sterkere verbinding tussen uitvoering en beleid. Ambitie is daarbij dat het voor alle overheidslagen aantrekkelijk moet zijn om aan te haken bij het CIP voor kennisdeling en samenwerking rond informatieveiligheid. Zo willen we ook ons steentje bijdragen in het opvangen van het gat dat de scheidende Taskforce Bid achterlaat. Het Inlichtingenbureau is een klein bedrijf. Zonder externen hebben we nog geen vijftig medewerkers. Dat betekent dat iedere medewerker in zijn functie vaak op meerdere vlakken iets van zijn of haar vakgebied af moet weten. Ook op het gebied van informatiebeveiliging speelt dit punt. Toegangs-, netwerk, applicatiebeveiliging: alles is bij een of twee personen belegd. Aansluiting bij het CIP betekent een extra netwerk van collega's buiten het bedrijf, maar wel binnen het vakgebied. Een welkome aanvulling. Marjolein Etten Specialist Informatiebeveiliging, Inlichtingenbureau Zowel hard als zacht De implementatie van de BIR in de rijksoverheid steunt op twee pijlers: aan de ene kant de harde lijn van afspraken, kaders en controle, en aan de andere kant de zachtere invalshoek waarin het bouwen van een community voor de betrokken professionals centraal staat. Bij dit laatste wordt nadrukkelijk de samenwerking met het CIP gezocht. Informatiebeveiliging is enorm belangrijk. Het is mijn doel dat het de plaats krijgt die het verdient in de reguliere bedrijfsvoeringscyclus van een organisatie. Dat is wat ik met dit programma wil bereiken. Ik ben heel blij met de samenwerking met het CIP op dit vlak Voor betere samenwerking In 2012 is de BIR ontstaan door een samenvoeging van een groot aantal bestaande baselines gebaseerd op de in de markt gangbare ISO-standaarden en De BIR omvat alles bij elkaar zo n 400 regels en voorschriften. De BIR is er op gericht om een gemeenschappelijk beveiligingskader te realiseren, en er bijvoorbeeld voor te zorgen dat ieder onderdeel van de Rijksoverheid dezelfde instellingen voor firewalls en hetzelfde basisbeveiligingsbeleid hanteert, zodat ketensamenwerking eenvoudiger wordt. Daarnaast is ook de bewustwording bij het management een heel belangrijk doel, aldus Frank. In control-verklaring De BIR betreft een interdepartementale afspraak en de opdrachtgever is de CIO Rijk. BZK geeft hiermee op dit terrein invulling aan zijn systeemverantwoordelijkheid voor de bedrijfsvoering van de rijksdienst. Inmiddels hebben er in 2014 rijksbreed auditonderzoeken plaats gevonden naar het naleven van de BIR. Deze auditonderzoeken worden in 2015 herhaald. In 2014 ligt de nadruk op het terugkoppelen van bevindingen, in 2015 wordt dit strenger en gaat het langzamerhand meer richting beoordelen. Per 1 januari 2015 dienen alle betrokken organisaties een in control Frank Ossewaarde Programmadirecteur BIR verklaring af te geven. Hierin staat beschreven op welke onderdelen men voldoet, en op welke niet. Voor de zaken waarop men niet voldoet, dient er een goede verklaring te zijn (explain) en een plan van aanpak hoe men alsnog gaat voldoen. Het risicobewustzijn zal hierdoor ook stijgen. De verwachting van Frank is dat de betrokken partijen per 1 januari 2015 nog niet volledig compliant zijn aan de BIR, maar dat de meesten wel in control zijn. Samen met CIP Het verbreden van de doelgroep naar bijvoorbeeld ZBO s is ook een ambitie van het programma. Hiervoor is Frank de samenwerking met het CIP aangegaan. Zo zal hij de trekker worden van de op te richten BIR Practitioners Community van het CIP. Deze community heeft tot doel de implementatie van de BIR te stimuleren door enerzijds praktijkervaringen te delen en te toetsen en anderzijds de leereffecten weer terug te koppelen naar de grotere gemeenschap van het CIP, de overheid en het bedrijfsleven. In deze PraCo, kort voor Practitioners Community, nemen in de eerste plaats publieke partijen deel, mogelijk aangevuld met CIP-kennispartners uit de markt. De PraCo is een mooie aanvulling op het bestaande BIR coördinatoren overleg van de Rijksoverheid.

3 Overheid en bedrijfsleven slaan handen in één voor veilige software 4 5 Zo n twintig organisaties uit overheid en bedrijfsleven hebben zich aangesloten bij de Practitioners Community grip op secure software development van het CIP, waaronder Belastingdienst, Rijkswaterstaat, DICTU, UWV, Ordina, IBM, CGI, SIG, Valori, DKTP, Capgemini, Sogeti, SNS Reaal en diverse ministeries. Het doel van deze marktbrede samenwerking gaat verder dan het delen van ervaringen. Men baseert zich namelijk op de binnen het CIP ontwikkelde methode en normen Grip op SSD, die eerder dit jaar werd gelanceerd tijdens het ibestuur congres. Elke aangesloten organisatie gebruikt die methode en normen als uitgangspunt (comply) en deelt met de groep hoe en waarom eventueel wordt afgeweken (explain). Het uitleggen van afwijkingen is belangrijke input voor de methode en normen aangezien het gaat om óf een gewenste wijziging aan de methode/ normen óf een uitzonderingssituatie die voor andere organisaties relevant kan zijn. De methode en de normen zijn openbaar en worden beheerd door een werkgroep met vertegenwoordigers van de practitioners. Via een wiki kunnen betrokkenen suggesties aanbieden. Degelijke beveiliging van gevoelige informatie en kritieke IT functies is een voorwaarde voor een succesvolle organisatie. Software speelt daarin een sleutelrol en Ad Kint Projectmanager De SSD methode en beveiligingseisen bewijst zich in de praktijk en kan VANDAAG toegepast worden. Elke dag SSD niet toegepast is een dag onveiliger! daarom is het van belang dat beveiligingsrisico s in software worden beperkt en zoveel mogelijk al tijdens de ontwikkeling. De gebruiker van die software, de opdrachtgever, dient daarvoor inzicht te hebben in risico s en duidelijk te zijn naar de leverancier (of eigen ontwikkelafdeling) met betrekking tot de eisen die aan de software worden gesteld. Daarnaast dienen die eisen getoetst te worden. Andersom dient de leverancier navenante maatregelen te nemen en daar waar nodig in dialoog te gaan met de opdrachtgever. Opdrachtgevers vinden het vaak moeilijk om goede afspraken te maken met leveranciers over beveiliging in software. Omdat deze materie voor veel organisaties vrijwel identiek is, is het delen van kennis tussen organisaties opportuun. Delen van kennis leidt tot betere methoden en afspraken vanwege de brede inbreng en helpt leveranciers met het zorgen voor veilige software omdat er overeenkomst is tussen de manier van werken en de eisen van verschillende opdrachtgevers. Door deel te nemen aan de Practitioners Community Grip op SSD onderschrijft men bovenstaande gedachte en committeert men zich aan het toepassen van de methode en de normen van Grip op SSD. Over Grip op SSD Deze methode beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. De drie pijlers daarbij zijn standaard beveiligingseisen, contactmomenten en het inrichten van de juiste processen. Deze processen zijn onder meer het bijhouden van risico s, standaard beveiligingseisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als security specialisten, in een samenwerking met het NCSC en gestoeld op de NCSC richtlijnen voor (web)applicaties. Capgemini over SSD: leesbaar en toepasbaar voor onze medewerkers Stef Hoffman, Chief Risk Officer en CISO van Capgemini is zeer enthousiast over de implementatie van Secure Software Development (SSD). Bij het ontwikkelen van software hebben we te maken met heel veel verschillende standaarden, met name bij de overheid, aldus Stef. En we maken ook mee dat er soms onmogelijke eisen aan software gesteld worden. Zo moesten we laatst aan de eisen voor veilig internet voldoen terwijl het product helemaal geen internet koppeling kende. En dan heb ik het nog niet over oplossingen voor meerdere partijen waar de criteria elkaar tegenspreken en er zo ook een complexe situatie ontstaat. Wat voor slot wil je? Stef geeft verder aan dat er qua informatiebeveiliging vaak omschreven staat dat er ergens een slot op de deur moet komen. Er staat alleen niet bij wat voor slot dat dan precies moet zijn. Ik vergelijk het wel eens met fietssloten. Je hebt sloten van 3 euro, maar ook van 300 euro. Uiteraard verschilt de tijd die het kost om ze open te breken. Belangrijk is de vraag: Wat is er in een bepaalde situatie exact nodig? Dat inzicht wordt vaak niet gegeven. Stef is zeer onder de indruk van SSD. Er is goed over nagedacht en de eisen zijn helder en duidelijk, er wordt exact omschreven wat voor slot er op de deur moet komen. Ontwikkelteams weten exact wat ze moeten doen De ervaring van Stef is dat de teams waarmee hij werkt ook zeer goed te spreken zijn over SSD. Het is helder en duidelijk, mede door de toepassing van de SIVA methode om zaken eenduidig te omschrijven. Capgemini vaardigt 3 collega s af die vanuit 3 verschillende invalshoeken deelnemen aan de Practitioners Community (PraCo) SSD. Daarmee zeker stellend dat de kennis in de eigen organisatie wordt geborgd en dat ook de inbreng zo breed mogelijk is. SSD in 2020 Stef is zeer overtuigd van het belang van SSD: dit normenkader is bijna niet concreter te maken. Dit zou wat mij betreft de standaard in heel Nederland moeten worden en zelfs daarbuiten. SSD is een open standaard en continue aan verbetering onderhevig, dat maakt het nog sterker. Hij ziet een prominente rol voor het CIP om als kwaliteitscontroleur op te treden. Want SSD toepassen moet wel goed gebeuren, en daar heb je controle bij nodig. Daarmee kan het ook een commerciële stimulans zijn voor leveranciers, want als je SSD op de juiste wijze toepast heb je een streepje voor bij klanten. Ik hoop dat SSD wordt geadopteerd door de gehele overheid en dat men zich hieraan wil committen, een absolute win-win situatie voor zowel bedrijfsleven als overheden Stef Hoffman Chief Risk Officer en CISO van Capgemini

4 De ambitie van het CIP: de kenniscirkel als principe 6 7 Het zal niet verbazen dat velen een mening hebben over de toekomst van het CIP. Een rondgang langs diverse stakeholders en de bestuurders van het CIP leverde een aantal interessante zienswijzen op. Zo was er bij de een behoefte aan een meerjarenvisie, bij de ander de behoefte het zo concreet mogelijk te maken (wat kunnen we samen DOEN), bij nog weer een ander: het verbinden van beleid en uitvoering en stakeholders involveren. Om deze visies mee te nemen in het toekomstplaatje van het CIP werden in eerste instantie de hoofdlijnen vastgesteld in het Bestuurlijk Overleg Compacte Uitvoering. Op 2 oktober 2014 volgde een verbreding van de discussie over de ambitie voor het CIP met een flinke groep deelnemers. De meeting vond plaats bij het SVB in Utrecht. 25 actief betrokkenen van zo n 15 organisaties waren gekomen om dit gezamenlijk te bespreken en vorm te geven. De resultaten zijn verwerkt in het jaarplan Verrijken Wiki, Websites, Domeingroepen, CSP, ISAC Kennis, producten, handreikingen Leren en verankeren Hergebruik Implementatie binnen de organisaties Opening door CIP bestuurder Gerard Hurkmans Bij de opening spreekt Gerard Hurkmans (van het CAK), een van de CIP-bestuurders, zijn waardering uit over initiatieven van het CIP en de noodzaak van het Centrum. Daarna geeft Ad Reuijl, directeur CIP, zijn visie op de toekomst. Mijn motto: "Zeggen wat je doet en doen wat je zegt geeft vertrouwen, en dat is een prima basis voor samenwerking!" Hans van Impelen Senior adviseur AO/IC & Security Officer Gemeente Utrecht Pool van Professionals Privacy scoort hoog Na de opening gaat men in vijf groepjes uiteen om aan het hand van een paar concrete vragen de ambities en doelstellingen voor het jaarplan aan te scherpen. De uitkomsten zijn verschillend maar kennen ook een duidelijke lijn: Productontwikkeling gericht op uniforme privacybescherming. Door het versterken van de basis wordt de samenwerking en informatiedeling vanzelfsprekend, waardoor de autoriteit groeit. Het CIP als paraplu: standaardiseren, normaliseren/ normeren en veranderen. Verrijken, hergebruik en toegankelijk maken vormen de basis van de kenniscirkel Binnen de overheid dé winkel voor IB en Privacyproducten. Na een stemming blijken privacy en de kenniscirkel hoog te scoren. Privacy is een zeer belangrijk maatschappelijk onderwerp en iets waar (nog) meer aandacht voor zou moeten zijn. De toenemende digitalisering van de dienstverlening van overheden en bedrijfsleven levert steeds meer een spanningsveld op als het gaat om privacybescherming. Goed om de domeingroep Privacy en de ID fraude community extra aan te zetten. Daarnaast bevestigen de deelnemers het grote belang van de kenniscirkel: deel kennis, verrijk die met ervaringen uit de praktijk en de kennis van de anderen, en maak die weer toegankelijk met behulp van een wiki. Een goede bijeenkomst waar de deelnemers energie hebben opgedaan om er samen weer een jaar de schouders onder te zetten voor het CIP. En goede input voor Ad Reuijl om richting te kunnen geven aan het CIP de komende periode. PRACO Bij het CIP is de afgelopen maanden een nieuwe term geboren. PraCo. Oftewel Practitioners Community. Inmiddels bestaat er een voor SSD (Secure Software Development) en voor KSL (Keten Service Library). Voor de BIR (Baseline Informatiebeveiliging Rijksdienst) er een in oprichting. De PraCo is in de eerste plaats bedoeld voor het stimuleren van de implementatie van producten, Normen, etc. In een PraCo komt bovendien de kenniscirkel tot zijn volle recht. Het is de plaats waar kennis wordt gedeeld, die met ervaringen vanuit de praktijk van de practitioners wordt verrijkt om vervolgens weer opnieuw met de grotere gemeenschap te worden gedeeld. Daarmee is het een platform voor op implementatie gerichte kennisuitwisseling en ondersteunt daarmee expliciet het zelf doen en aan de slag gaan met de producten van o.a. het CIP. Practitioners Communities CIP Jaarplan vergadering

5 CIP domeingroep Identiteitsfraude Nieuwe domeingroep 'Veilig Delen' 8 9 In de zomer van 2014 is binnen het CIP netwerk een vijfde domeingroep opgericht: de domeingroep Aanpak Identiteitsfraude. Vijf ministeries en veel uitvoerende partijen als politie, Koninklijke Marechaussee, diverse gemeenten, Belastingdienst, UWV, SVB, DUO, RVO, KvK, RDW en IND vinden elkaar in dit netwerk om kennis uit te wisselen en om samen producten te ontwikkelen. In 2014 en 2015 heeft de aanpak van identiteitsfraude drie speerpunten: 1. Een veilig ID een gezamenlijke communicatieaanpak Geen STER spotje in de rust van een voetbalwedstrijd, maar mensen benaderen met een boodschap over identiteitsfraude op de momenten dat ze iets doen met hun identiteit. Bijvoorbeeld bij het ophalen van een nieuw paspoort of rijbewijs, of in de rij op Schiphol, of bij het inloggen met DigiD. Dat is de strategie van de brede communicatieaanpak Een veilig ID, die dit najaar door minister Plasterk is gestart. Diverse partners in publieke én private sector wordt gevraagd om hun eigen kanalen in te zetten met hun eigen concrete tips te geven onder een gemeenschappelijk motto. Dit laatste moet de herkenning vergroten. Dus zoiets als Laat je niet zomaar kopiëren. Een veilig ID, Je DigiD is privé. Een veilig ID en Hang op. Klik weg. Bel uw bank. Een veilig ID. Doel van de communicatie is om het bewustzijn en de kennis over identiteitsfraude te vergroten onder burgers én onder professionals bij overheidsinstellingen en in het bedrijfsleven. 2. Monitor Identiteit Eind 2013 is de eerste Monitor Identiteit naar de Tweede Kamer gestuurd. Eind 2014 volgt de tweede editie. De bedoeling van deze monitor is om jaarlijks een scherper inzicht te krijgen in identiteitsmanagement en identiteitsfraude. Denk aan vragen als Hoe identificeren mensen zich in verschillende situaties? Waar worden kopietjes van identiteitsdocumenten gevraagd? In welke situaties worden welke vormen van biometrie gebruikt? Het wordt deels een kwalitatieve analyse, maar streven is om ook zoveel mogelijk kwantitatieve informatie te verzamelen. 3. Barrièremodel Identiteitsfraude. Het barrièremodel is een fenomeen uit de criminaliteitsbeheersing. Idee is om met veiligheidspartners samen te bekijken hoe criminelen opereren en op welke plaatsen de verschillende partijen barrières kunnen opwerpen. Zo ontstaat meer samenhang in de aanpak van criminaliteit. Bekend is het barrièremodel hennepteelt ( barrieremodellen.nl). In samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) wordt een Barrièremodel identiteitsfraude ontwikkeld. Banken, verzekeraars, gemeenten, KvK, Belastingdienst, Centraal Meldpunt Identiteitsfraude en fouten (CMI) en diverse andere partijen denken mee. Samenhang in de aanpak is het doel, met daaraan verbonden het breder inzetten van beproefde technieken, methoden en protocollen. Met deze speerpunten geeft de domeingroep Identiteitsfraude invulling aan de kabinetsvisie op de Aanpak van Identiteitsfraude, die vorig jaar naar de Kamer is gestuurd. Essentie van die visie is wat wel de transformatie van bolwerken naar netwerken is genoemd: Grote organisaties en zware ketens zijn kwetsbaar tegenover de kleine, creatieve, wendbare dadergroepen die hen bestoken en makkelijk van aanvalsstrategie kunnen veranderen. Het antwoord op identiteitsfraude komt van moderne netwerken die snel reageren en slim anticiperen op identiteitsfraude. Voor vragen en suggesties, graag contact opnemen met Wouter Fellendans. wouter.fellendans@minbzk.nl Wouter Fellendans Projectleider Aanpak Identiteitsfraude bij het ministerie van BZK Vis unita fortior (vereende kracht maakt sterker). Ferdinand Nobibux Security Officer bij UWV Het proces van gegevensuitwisseling is kwetsbaar voor gegevensdiefstal. Gegevensuitwisseling gebeurt overal waar organisaties samenwerken in ketens. Of het nu transacties, documenten of informatie in andere vormen betreft. Centrale vraag is hoe doe je dat veilig? Om antwoorden op die vraag te vinden start het CIP onder de bezielende leiding van Ad Kint een nieuwe subcommunity: Veilig Delen. De groep gaat zich bezig houden met vraagstukken rond het veilig delen van informatie. Dergelijke vraagstukken zijn er volop door de opmars van cloudtechnieken, het koppelen van systemen, spionageschandalen, regelgeving rond het verwerken van persoonsgegevens, classificatie van gegevens, enzovoort. Daarnaast zijn er veel meer manieren van het delen van informatie dan alleen puur digitaal. Denk bijvoorbeeld aan het uitwisselen van gegevens in gesprekken. De groep gaat nadenken over deze risico s en hoe ze zijn te beperken. Natuurlijk wordt er vooral praktisch gekeken naar oplossingen in de vorm van standaarden en handige hulpmiddelen, vaak in de vorm van software tools. LocalBox is daarin een belangrijke. Maar ook kan gedacht worden aan tips voor veilig telefoneren, voor het veilig voeren van gesprekken, etc. Omdat bewustwording hierin een belangrijke rol speelt, zal met de domeingroep Awareness goed contact worden gehouden.

6 CIP in Cijfers In de rubriek CIP in Cijfers deze keer een inkijkje in het zogenaamde weerbaarheidbeeld. Crisisorganisatie: T.a.v. crisisorganisatie valt op dat veelal een crisis- 20 ja Om een idee te krijgen hoe de participanten van het CIP omgaan met de organisatie van informatiebeveiliging, en continuïteitsplan bestaat, maar dat dit in veel hebben we in september een kleine enquête uitgezet. Hoewel CIP-deelnemers uit alle overheidslagen komen, hebben gevallen niet getoetst en geoefend wordt. Hierin 15 nee we ons op dit punt beperkt tot organisaties met een centrale uitvoeringstaak: een aantal Agentschappen, ZBO s, schuilt het risico dat, wanneer het crisisplan echt een Overheidsstichtingen, Hoge Colleges van Staat en enkele onderdelen van de rechtsprekende macht. 33 van de in totaal keer aangesproken moet worden, er toch weer veel 10 onbekend 44 uitgezette enquêtes werden ingevuld. Voor de andere overheidslagen (Rijk, Provincies, Gemeenten, Waterschappen) improvisatie nodig is, actoren onbekend zijn met hun maken de betreffende koepelorganisaties een soortgelijk beeld op. rol en die van anderen, etc. Om te voorkomen dat het 5 crisisplan een schijnzekerheid wordt, is periodieke oefening onvermijdelijk. Enkele highlights uit de enquête Bij vrijwel alle organisaties is informatieveiligheid onderdeel van het bedrijfsbeleid en is het ook belegd als onderdeel van een directie- of bestuursportefeuille (90%). Dat geldt in wat mindere mate voor de rapportage daarover: ca. 55% van de organisaties neemt een statement op in het jaarverslag. Voor driekwart van de organisaties is informatieveiligheid een onderwerp in de afstemming met het departement. 0 Crisis- en continuiteitsplan ingericht Crisis- en continuiteitsplannen periodiek getoetst en geoefend Als we inzoomen op de organisatie van de informatiebeveiliging, dan hebben bijna 85% van de organisaties een CISO of gelijkwaardige functie en een beveiligingsorganisatie met vastgelegde verantwoordelijkheden. Dat heeft overigens slechts in ca. 35% van de situaties geleid tot de inrichting van een SOC. Kansen voor versterking liggen hier in het samen doen van een aantal SOC-taken, bijvoorbeeld door aansluiting te zoeken bij een van de Shared Service Centra. Interessant zijn daarbij de bevindingen in het denken over de mogelijkheden van een gezamenlijk SOC (o.a. bij BZK-DGOBR/Noordbeek, bij de werkgroep SOC van het CIP en tussen Belastingdienst en UWV). Gehanteerde normatiek Op het punt van de harmonisatie van normenkaders kunnen nog stappen worden gemaakt: zie onderstaand taartdiagram voor de huidige situatie. Adoptie van één baseline heeft onder meer het voordeel van grotere eenduidigheid binnen ketens van dienstverlening. Binnenkort zullen we dan ook starten met een Practitioners Communitiy BIR om dit te bevorderen. Deze vraag werd door 29 respondenten beantwoord. 14 hanteren de BIR, 7 kozen voor ISO-27001, 4 voor een eigen kader, gebaseerd op ISO27001, 2 organisaties hebben een volledig eigen kader; 2 geen of onbekend. Aandacht voor bewustzijn Bij het onderwerp leren en ontwikkelen geeft bijna driekwart van de organisaties aan hiermee bezig te zijn. 23 organisaties hebben een beeld gegeven van de middelen die zij inzetten. In vrijwel alle gevallen betreft dat een combinatie van meerdere middelen. Als meest gebruikte middel wordt e-learning opgegeven. Veelal zet men ook workshops in. Trainingen en werkoverleggen worden ook vaak genoemd. Organisatie zet in op blijvend bewustzijn bij medewerkers ja nee onbekend Slechts een enkele keer worden genoemd: serious gaming, mystery guests, enquetes, inspelen op incidenten in de media, intranetuitingen, presentaties. O.i. blijft het van belang zoveel mogelijk persoonlijke interactie te zoeken om het leerproces zo effectief mogelijk te maken. De meeste respondenten geven aan dat ook te doen. Hulpmiddelen zijn overigens te vinden op de sites van ibewustzijn en CIP. Wat kunnen we opmaken uit deze cijfers? Welke conclusies vallen er nu eigenlijk te trekken? Vooreerst moet gesteld worden dan het hier geen stevig, statistisch onderbouwd onderzoek betreft. De uitkomsten moeten worden gezien als een steekproef en wel van het type selfassessment. Een auditer met een rode pen zou wellicht een strenger beeld schetsen. Toch menen we te kunnen vaststellen dat het thema leeft, in de organisaties van de respondenten ruime aandacht krijgt en dat men er ook duidelijk op organiseert. De grote response (toch driekwart van de aangeschreven organisaties) geeft op zich ook aan dat men informatieveiligheid van belang acht. Op het punt van implementatie van een gemeenschappelijke baseline is nog wel een wereld te winnen. Een mooie uitdaging om daar in CIP-verband mee aan de slag te gaan. Mogelijk dat we bij een volgende gelegenheid wat verder kunnen inzoomen en het beeld kunnen voorzien van meer scherpte en diepte.

7 Een prestatiegerichte aanpak van beveiliging in inkoopcontracten Audits achteraf over het HOE van informatiebeveiliging geven allang geen houvast meer. Door vanaf het begin te sturen op resultaat komt het onderwerp in een vroeg stadium op tafel en kan het niet meer onder het kleed geveegd worden. Huidige beveiligingsovereenkomsten gaan veelal uit van het laten uitvoeren van audits op basis van ISO (req s) en (controls) en herhalen daartoe de vereisten uit ISO Daarnaast zijn zij vaak gebaseerd op een klassieke verhouding tussen opdrachtgever en opdrachtnemer en is er geen aandacht voor ketenverantwoordelijkheden, zeker niet als sprake is van een cloudgebaseerde oplossing. De klassieke beveiligingsovereenkomsten zijn daarom niet meer bruikbaar. Zij grijpen door hun klassieke aanpak teveel in op HOE de leverancier zijn werk moet doen. De leverancier wordt veelal niet aangesproken op het daadwerkelijk leveren van prestaties bij het borgen van reële beveiligingsrisico s. De klassieke aanpak is gericht op audits achteraf, waardoor de leverancier alleen achteraf kan worden aangesproken op de geleverde kwaliteit, dus pas na een aangetoonde tekortkoming. In die situatie is geen sprake van een effectieve relatie. Sturen op resultaat Door informatiebeveiliging op een andere manier in inkoopcontracten mee te nemen wordt grip gekregen op het stelsel van maatregelen die de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van informatie en informatiesystemen waarborgen. Het is echter voor organisaties een uitdaging om als opdrachtgever vereisten mee te geven aan de informatiebeveiliging bij de contractering van (ICT-)diensten. De opzet voor een beveiligingsovereenkomst moet er op gericht zijn de beveiligingsrisico s te voorkomen en beveiligingsincidenten te monitoren en eventueel in samenspraak hierop zo nodig preventieve maatregelen te nemen. Met een prestatiegerichte aanpak in beveiligingsovereenkomsten wordt een aanzet gegeven tot een trendbreuk in beveiligingsovereenkomsten en ontstaat een proactieve houding bij opdrachtgever en leverancier. Een andere wijze van controle en sturing leidt tot een proactieve houding bij opdrachtgever en leverancier. Commissie ICT Door, in lijn met het eindrapport van de commissie ICT onder voorzitterschap van Ton Elias, nut en noodzaak van maatregelen in een vroeg stadium duidelijk en afgestemd te krijgen wordt de: Realiteitszin vergroot: Haalbaarheid bepaal je samen, door de resultaten in een vroeg stadium af te stemmen, te onderbouwen en zo (onnodige) risicovolle maatregelen (en technieken) voorkomen. Kennis opgebouwd: Kennis bouw je samen op. Dit vraagt om afstemming over de inhoud. Over de inhoud moeten opdrachtgever en leverancier gesprekspartners zijn. Perverse prikkels voorkomen: Afstemming over de inhoud, opzet en monitoring in een vroeg stadium voorkomt dure reparaties later in de contractperiode. Bestuurbaarheid vergroot: Door resultaten (haalbaar en) meetbaar te maken en de governance op het resultaat in te richten wordt sturing op het resultaat mogelijk. De prestatiegerichte aanpak van informatiebeveiliging in inkoopcontracten sluit aan op de thema s in het rapport van de tijdelijke Kamercommissie ICT. Privacy Een ingekochte (cloud) dienst is een schakel in een keten van samenhangende diensten. Dit komt door verdergaande outsourcing en het inzetten van meerdere andere partijen door de leveranciers steeds meer voor. Hierdoor wordt het aantal betrokken partijen steeds groter. Daarmee worden de privacy en de juridische kaders steeds belangrijker. De leverancier wordt juridisch ook aanspreekbaar voor wat zich in de keten achter de door hemzelf geleverde dienst gebeurt. Dit verplicht hem tot het maken van formele afspraken. Overigens kan hier in plaats van verplicht ook gesproken worden over het bewust maken. Bedenk hierbij dat de achterliggende diensten vaak niet binnen de eigen landsgrenzen of binnen Europa beschikbaar worden gesteld. Een te contracteren dienst bestaat uit een keten van diensten, die veelal over landsgrenzen heen gaat. Hierdoor vraagt privacy extra aandacht in het contract. Passende afspraken over beveiliging en privacy Grip op informatiebeveiliging in inkoopcontracten beschrijft een template voor een beveiligingsovereenkomst en geeft invulling aan het informatiebeveiligingsbeleid van organisaties. De opzet van de beveiligingsovereenkomst is bruikbaar voor organisaties binnen en buiten de rijksoverheid. Aan de hand van deze template kan een organisatie een selectie maken van die artikelen die binnen de eigen aanpak van informatiebeveiliging past. Het document is relevant voor allen die een (ICT-) dienst inkopen en die in aanvulling op een hoofdovereenkomst specifiek aandacht geven aan het correct laten nemen van beveiligingsmaatregelen. Grip op informatiebeveiliging in inkoopcontracten is opgezet als template, zodat een passende invulling kan worden gegeven aan het beleid van de eigen organisatie. Rijks ISAC - volle kracht vooruit In de vorige CIP post kondigden wij de kick off van de Rijks ISAC aan. ISAC staat voor: Information Sharing and Analysis Center. Het Rijks ISAC is een kennisnetwerk op het gebied van informatiebeveiliging voor de sector Rijk In verschillende andere vitale sectoren is ook een ISAC actief. Denk hierbij aan de bankensector, de havens en energie. Inmiddels heeft de ISAC al twee succesvolle meetings achter de rug. Op 10 juni verzamelden zo n 25 ISAC leden zich bij het BKWI in Utrecht voor de kick off om elkaar te leren kennen en van gedachten te wisselen over de lidmaatschapsrichtlijnen. De Rijks ISAC is ontstaan in samenwerking tussen het Directoraat-Generaal Organisatie en Bedrijfsvoering Rijk (DGOBR) en het CIP. In de Rijks ISAC zijn de volgende organisaties vertegenwoordigd: ministerie voor Wonen en Rijksdienst, CIP, DJI SSC-I, SSC-ICT, SVB, UWV, BKWI, Inlichtingen bureau, Logius, DUO, Belastingdienst, CBS, Kadaster, DICTU, OM, CIZ en CAK. Voorzitter Op 23 september vond de tweede meeting plaats. Hier werden de lidmaatschapsrichtlijnen vastgesteld en gesproken over het voorzitterschap. Dit werd de eerste keer ad interim ingevuld door het CIP, en de tweede maal door DGOBR. Het is echter de bedoeling dat er uit het midden van de leden een voorzitter wordt gekozen. Inmiddels heeft Frank Katsburg zich als enige kandidaat gesteld, de volgende vergadering zal er gestemd gaan worden mochten zich in de tussentijd nog meer kandidaten aanmelden. Rondje rood Het Rijks ISAC wordt door de leden zeer op prijs gesteld. Zo werd er de tweede vergadering informatie uitgewisseld over samenwerking op het terrein van SOC s (Security Operation Centres) van de verschillende leden, en ook een eerste rondje rood gedaan. Hierin wisselen de deelnemers vertrouwelijke informatie uit die alleen mondeling wordt doorgegeven en niet verspreid mag worden. Het is een heel goede manier om van elkaars crises te leren en de informatiebeveiliging bij de overheid als geheel naar een hoger plan te brengen. Het CIP is trots op de bijdrage die het heeft kunnen leveren aan de oprichting van het Rijks ISAC en hoopt dat dit samenwerkingsverband nog een lang leven is beschoren. De volgende Rijks ISAC staat gepland op 4 december Marcel Koers Senior Enterprise Architect Heb je vragen over de Rijks ISAC? Neem dan contact op met Marit Bakker van NCSC.

8 14 Programma ibewustzijn 15 Denken aan beveiliging doet wonderen Ieder gevoel van urgentie om wat dan ook te doen ontstaat pas als er bewustzijn is. Daarom is het belangrijk te werken aan Awareness. Want als we alleen al eens denken aan beveiliging wordt gedrag veranderd. Toen ik ooit werkte bij een bouwer van telefooncentrales werkte, keken de mensen mij wat gek aan dat beveiliging een thema zou worden op het moment dat er zou worden overgeschakeld op bellen via internet. De telefooncentrale is zo stabiel dat downtime niet voorkomt en het hacken van een telefooncentrale was ondenkbaar. De enige hack die de laatste jaren was voorgekomen gebeurde bij een hotel in Azië waar een medewerker een extra kabel had getrokken van de centrale naar de straat. Daar plaatste hij een tentje met 'cheap international calling'. Ondertussen betaalde het hotel de rekening. Zien is geloven Dus toen de software gemaakt voor hardware zonder wereldwijde toegang op het internet werd toegelaten bleek bij tests al snel een reeks aan kwetsbaarheden: gevoeligheden voor DDoSaanvallen, het overnemen van een server, wel het risico van downtime en andere problemen. Niet vreemd, omdat de technologie in een compleet andere context werd geplaatst. Pas hierna begrepen de collega's de problemen die dreigden en volgde actie. Dat laatste is belangrijk, omdat bij werkende beveiliging de betrokkenen bij informatieverwerking een sleutelrol hebben. Het is niet vanzelfsprekend voor deze personen dat ze een rol te vervullen hebben of dat er überhaupt risico s aan het gebruik van technologie zitten. Daarom vervult de domeingroep Awareness een belangrijke taak in het aanreiken van hulpmiddelen voor bewustwording. Want als je beseft dat er risico's spelen dan volgt er vanzelf ander gedrag. Precies dat laatste wil je bewerkstelligen om beveiligingsplannen tot een succes te maken. Vaak vraag ik bij lezingen aan mensen om een minuut per dag eens te denken aan beveiliging en privacybescherming. Gewoon een klein momentje: ben ik op de goede weg, welke risico's spelen er, hoe kan ik problemen oplossen. Zoiets kan prima onder de douche, tijdens het wachten op de lift, op een station of waar dan ook. Of kijk af en toe eens op Pleio, zodat de gedachten van anderen kunnen inspireren. Wie dat doet zal al heel snel meters maken. De afgelopen maanden is door het programma ibewustzijn hard gewerkt aan het samenstellen van een overheidsbreed toepasbaar pakket om het bewustzijn over informatieveiligheid bij managers en medewerkers te verhogen. ibewustzijn is van, door en voor Rijksambtenaren, én andere overheden. ibewustzijn ondersteunt de overheidsmanager van nu die verantwoordelijk is voor efficiënt en effectief werken, dus ook voor digivaardig, digiveilig en ibewust werken. Nieuwe verantwoordelijkheden De digitalisering in Nederland en de overheden neemt steeds meer toe. We bedienen onze burgers en bedrijven in toenemende mate met behulp van online diensten en digitale apparaten. Werknemers zijn steeds minder gebonden aan een vaste werkplek. De technologische ontwikkelingen bieden ook aan ambtenaren de gelegenheid om meer tijd-, plaatsen apparaatonafhankelijk te werken. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Van belang is dat ambtenaren niet alleen bekend raken met de kansen en bedreigingen van, maar ook weten hoe er mee om te gaan. ibewustzijn is bedoeld om over de risico s van het gebruik hiervan te informeren en te wijzen op de invloed van eigen handelen. Daarom biedt ibewustzijn een uitgebreide campagne met e-learning en workshops aan. Van posters tot online game Deze onderdelen zijn in een interdepartementaal programma samengesteld. Daarbij zijn de beschikbare techniek, materialen en expertise die al binnen verschillende rijksonderdelen ontwikkeld waren, gebundeld, geactualiseerd en hergebruikt ten behoeve van alle departementen en uitvoeringsorganisaties. Het programma ibewustzijn Rijk van de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR) levert - in de Rijkshuisstijl - via de e-learning omgeving vijf modules, toetsen, een bibliotheek en de online game Lek! aan. Het programma levert ook workshops en een mediacampagnetoolbox. Inmiddels zijn de eerste trainers van diverse departementen door de Taskforce BID opgeleid om de workshops te kunnen geven. De ICBR zorgt er voor dat het leer- en communicatieprogamma ibewustzijn Rijk beschikbaar blijft en periodiek geactualiseerd en opnieuw aangeboden wordt. Eigenlijk is dat altijd zo. Dat we een spionageprobleem hebben, hadden we al langer kunnen en moeten weten. Het probleem is van alle tijden. Maar toen Snowden ons de omvang en de ernst liet zien, drong het besef pas door dat we ook echt wel een probleem hebben. Als dat besef doordringt volgt er uiteindelijk actie. Zien is immers geloven. Beveiligingsbewustzijn Voor informatiebeveiliging is dat niet anders. Sinds DigiNotar weten we dat het goed op orde hebben van governance belangrijk is. Dankzij Lektober weten we dat structureel niet bezig zijn met beveiliging problematisch is en leidt tot een structuur van onveiligheid. De vele andere voorbeelden maken ons bewust dat we een beveiligingsprobleem hebben. Op die voorbeelden volgde actie op gebied van governance, technische maatregelen en vooral rond bewustzijn. Brenno de Winter Onderzoeksjournalist Werk veilig en vaardig ibewust Overheid Meer weten over ibewustzijn? Neem dan contact op via ibewustzijn@rijksoverheid.nl Campagne ibewustzijn Rijk is ook doorvertaald en geschikt gemaakt voor de overheden: de gemeenten, waterschappen en provincies. Deze campagne is op 27 oktober 2014 live gegaan onder de naam ibewustzijn Overheid. Voor meer informatie en de beschikbaarheid van deze campagne, zie

9 16 Laten we elkaar helpen en daarmee onze managers en bestuurders Creëer meer eenduidigheid in baselines De beroepsgroepen IT-architecten, informatiebeveiligers en IT auditors houden zich bezig met zaken die vaak in essentie over hetzelfde gaan. Een min of meer gemeenschappelijk fundament voor deze activiteiten wordt geboden door de algemeen geaccepteerde 'baselines'. Dit zijn de algemeen als gezond minimum beschouwde basisprincipes voor informatiebeveiliging. Maar het zijn meestal ook nogal drakerige documenten. Ze zijn uitgebreid en lastig te lezen. Het is niet verwonderlijk dat managers en bestuurders vrijwel onmiddellijk afhaken als je erover begint. En dat is nog niet alles. Je kunt zelfs als doorgewinterde gebruiker van de baselines moedeloos worden als je één thema kiest en zaken rond dit thema naast elkaar legt en probeert te analyseren: want ze zijn ook nog eens niet eenduidig. Iedere professional zal lezen en interpreteren vanuit zijn eigen invalshoek. Managers horen vanuit de verschillende disciplines dus mogelijk verschillende dingen en dat leidt uiteraard tot misverstanden en helpt niet mee de populariteit te vergroten. En dat terwijl ook het management meer zou moeten willen weten over deze normenkaders, al was het maar om bij risico-afwegingen keuzes te kunnen maken die zij ten volle kunnen overzien en verantwoorden. Laat ik inzoemen op de meerduidigheid. Als je de huidige baselines, zoals Cobit, de ISO serie, NIST en Standard of Good Practice naast elkaar legt dan merk je het volgende: Cobit evalueert zaken, de zogenaamde "states of affairs" op basis van control objectives. Als omschrijving wordt aangegeven dat een control objective het gewenst resultaat of het doel is dat bereikt moeten. Met andere woorden het "waarom"-aspect. Maar zie wat er feitelijk staat: Voorbeeld: Control objective: "Establish a process to monitor the business sector, industry, technology, infrastructure, legal and regulatory environment trends. Incorporate the consequences of these trends into the development of the IT technology infrastructure plan". Het "Wat" wordt geadresseerd en zelfs ook een beetje 'Hoe'. ISO 2700x formuleert eerst een "objective" en vervolgens de "controls" waarmee de "state of affairs" wordt geëvalueerd. "Objective" geeft aan wat je wil bereiken en controls drukken uit wat er gedaan moet worden om dit te bereiken. Vervolgens worden er implementatie guidelines weergegeven. Soms vraag je je af of de genoemde guidelines ook daadwerkelijk guidelines zijn. Voorbeeld: 1. Doelstelling: (Waarom) Handhaven van de integriteit en beschikbaarheid van informatie en IT voorzieningen. 2. Control (Maatregel) : (Wat) Er behoren back-upkopieën van informatie en programmatuur te worden gemaakt en regelmatig te worden getest overeenkomstig het vastgestelde back-upbeleid Je zou toch denken dat een zin die begint met "Er behoren..." een norm betreft, die aangeeft welke acties je moet ondernemen, onder meer met behulp van de backups, om aan de doelstelling te kunnen voldoen. Maar volgens de schrijvers is het een maatregel. De Standard of Good Practice formuleert eerst een "principe" en vervolgens een "objective". Hierna volgen maatregelen die op het 'wat' gerelateerd zijn. Het "Principe" geeft aan wat er gedaan moet worden en het 'objective' geeft aan wat je wilt bereiken. Voorbeeld: 1. Principle (Wat) Back-ups of essential information and software used by the network should be performed on a regular basis, according to a defined cycle. 2. Objective (Waarom) to ensure that, in the event of an emergency, essential network information or software required by the networkcan be restored within critical timescales Nist formuleert controls (het wat) om de 'states of affairs" te evalueren. Daarna volgen detail guidelines die op het 'wat' gerelateerd zijn. Voorbeeld: Separation of duties (Wat) The information system enforces separation of duties through assigned access Op basis van het bovenstaande constateren we dat er verschillende begrippen en volgorde ervan gehanteerd worden, zoals: de begrippen en volgorde" control" en "objectives". de begrippen en volgorde: "principe" en "objective", het begrip "control" het begrip "control objectives". Hierin zijn twee begrippen gecombineerd toegepast. Standaard COBIT ISO 2700 ½ Standard of Good Practice NIST evalueert op basis van... Control Objectives (High- en Detailed level) (1) Objective (2) Controls (1) Principle (2) Objective Controls Als de verschillende normenkaders, die overigens in essentie allemaal over hetzelfde gaan en hetzelfde nastreven, al niet eenduidig te vergelijken zijn, en ook nog eens de professionals hun eigen referentiekaders hanteren voor de interpretatie, dan is ook niet verwonderlijk dat we onze bestuurders of managers deze zaken niet duidelijk kunnen maken. Wiekram Tewarie Bedrijfseconomisch adviseur accountantsdienst adresseert... Waarom (desired result or purpose to be achieved) Beschreven : Control Objectives( Wat) Waarom (Wat je bereiken wil) Wat (algemeen en detail) Wat Waarom (Wat je bereiken wil) Wat (algemeen en detail) Ik denk daarom dat het van groot belang is een bepaald voorschrift (syntax) te hanteren om eenduidigheid tussen zowel de normenkaders en daarmee ook in dit beroepsveld te creëren. Zo kunnen we aan de ene kant de professionals met elkaar verbinden en aan de andere kant ook de koppeling maken naar onze managers. Bijvoorbeeld door uit te gaan van de begrippen "principles" en "principle driven rules". De principles moeten zo omschreven worden dat deze door de verschilllende beroepgroepen en belanghebbenden begrepen en eenduidig geïnterpreteerd kunnen worden. De rules vormen criteria waarmee de principles kunnen worden nagestreefd. De syntax moet zodanig zijn dat er ook een verbinding moet zijn tussen de elementen die in de principles (Wat en Waarom) worden geadresseerd en de principles driven rules (Hoe, Wanneer). Er zijn bedrijfstakken waar een uniforme communicatietaal in standaard expressies zelfs van levensbelang is. De vliegtuigindustrie bijvoorbeeld kent veel van zulke standaardwoorden, schrijfwijzen en betekenissen. Juist om misverstanden in de communicatie tussen piloten en verkeersleiders te voorkomen. Wat dat betreft mogen we van geluk dat spreken dat er binnen de informatiebeveiligingsdiscipline niet zo snel mensenlevens op het spel staan. Of moeten we wachten tot de massale uitval van een energie centrale of een hack van de stormvloedkering? 17

10 CIP en de Alert Online campagne Op donderdag 30 oktober vond, als onderdeel van de Alert-Online campagne, een Ronde tafel conferentie plaats met als titel Van Security Awareness naar meetbaar veilig gedrag. Deze conferentie werd door Ordina georganiseerd in samenwerking met het Centrum Informatiebeveiliging en Privacybescherming (CIP). Het doel van deze bijeenkomst was om gezamenlijk het gewenste gedrag van de medewerker in termen van security awareness te definiëren en te bepalen hoe dit meetbaar kan worden gemaakt. Aan de hand van een door Ordina gebruikt 8-velden model: 'van kennis naar resultaat' werd geschetst hoe te komen van Doel naar Leren en vervolgens van Leerevaluatie tot Resultaat. De aanwezigen werden uitgedaagd om voor twee fictieve medewerkers te bepalen wat het gewenste gedrag is. Vervolgens werden succesfactoren betreffende security awareness door de aanwezigen geplot op een balance scorecard. Met de verzamelde informatie en de resultaten uit de discussie wordt verder gegaan om een concreter model te maken. Dit model zal in een vervolgsessie in februari 2015 teruggekoppeld worden. Een meer gedetailleerd verslag van de ronde tafel kunt u binnenkort lezen op: cip.pleio.nl. Gerard Hurkmans, nieuw in het bestuur: het CIP is een enorm belangrijk netwerk Gerard Hurkmans, Directeur Strategie, Informatiebeleid en Communicatie bij het CAK (Centraal Administratie Kantoor), is in het voorjaar van 2014 tot het CIP bestuur toegetreden. Hij versterkt namens het CAK het Bestuurlijk Overleg Compacte Uitvoering (BOCU) dat het CIP bestuurt en opdrachtgevend is aan de directeur van het CIP. Dit doet hij samen met bestuursleden van de Belastingdienst, UWV, DUO en SVB. Naast zijn functie bij het CAK is Gerard lid van de Manifestgroep, de loonaangifteketen en de Stichting RINIS. Hierin is ketensamenwerking een rode draad. De Manifestgroep is een informeel samenwerkingsverband van 15 grote uitvoerders die met elkaar samenwerken om de dienstverlening naar burgers en bedrijven te verbeteren. Daarnaast is Gerard voorzitter van het Afnemersoverleg Loonaangifteketen (met meer dan 700 afnemers - denk aan pensioenuitvoerders, deurwaarders, zorgverzekeraars, uitvoerders van overheidstaken). De doelen van het Afnemersoverleg Loonaangifteketen zijn om meer invloed te verkrijgen op de gegevensset van de polisadministratie en het verbeteren van de kwaliteit van de geleverde gegevens door een constructieve dialoog met de keteneigenaren (Belastingdienst, CBS en UWV). Tot slot helpt hij als voorzitter van de raad van toezicht van de stichting RINIS organisaties in het publieke domein om snel en veilig gegevens uit te wisselen, zowel in Nederland als in Europees verband. RINIS biedt niet alleen de techniek maar ook ondersteuning en advies. RINIS staat voor Routerings Instituut (inter)nationale Informatiestromen. Op dit moment hebben zich elf Nederlandse uitvoerders van publieke taken (sectoren) bij RINIS aangesloten. Kortom, klinkt als een ideaal CV voor een CIP-bestuurder. Ik heb de nodige ervaring opgedaan in samenwerking tussen overheidspartners en met informatiebeveiliging. Ik zie het CIP als een enorm belangrijk netwerk waarin de uitwisseling en opbouw van kennis op een goede manier wordt gefaciliteerd. Ik zie hier mooie initiatieven en ook concrete samenwerking op belangrijke dossiers ontstaan. Zoals Secure Software Development en de implementatie van de Baseline Informatiebeveiliging Rijk (BIR). Ik steun het CIP van harte en zal er vanuit mijn bestuurdersfunctie op toezien dat alle betrokkenen goed worden gefaciliteerd in het behalen van de ambities van het CIP. Gerard Hurkmans Directeur Strategie, Informatiebeleid en Communicatie bij het CAK Gerard over het CAK: Het CAK heeft een centrale positie in de zorg bij het uitvoeren van financiële regelingen en het informeren van burgers. Goede klantvoorlichting is de pijler van onze dienstverlening. Samen met onze medewerkers werken we aan de professionele uitvoering van de wettelijke taken; klantgericht en met respect en begrip voor mensen én regels. Eén van de kerntaken is het berekenen en innen van de eigen bijdragen voor zorg vanuit de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Wmo. Daarnaast zijn we verantwoordelijk voor de financiering van AWBZ-instellingen en voor de uitbetaling van de Compensatie eigen risico (Cer) en de algemene tegemoetkoming voor chronisch zieken en gehandicapten (Wtcg). Deze taken voeren we uit voor het ministerie van Volksgezondheid, Welzijn en Sport (VWS).

11 Persoonlijke drijfveren In Nederland informatiebeveiligingsproducten ontwikkelen die wereldwijd vernieuwend zijn en met experts bouwen aan een kenniscommunity, dat is wat mij drijft! We wonen in een land van adviseurs en scheppen veel te weinig eigen producten. Grote organisaties, de overheid incluis, wenden zich voor IT-oplossingen standaard tot Amerikaanse bedrijven. Dat kan anders. In het verleden heeft BHOLD aangetoond dat in Nederland Top Class Autorisatie Management software wordt gemaakt - vandaag is dat een Microsoft product. Ik hoop dat ik met iwelcome wederom een steentje mag bijdragen, nu met Identity en Access Management (IAM) as-a-service (IDaaS). Ik denk dat nog maar weinig mensen het weten, maar mede door de eherkenning federatie is iwelcome het enige Europese bedrijf in het IDaaS Magic Quadrant van Gartner. Helemaal boeiend is dat volgens Gartner de IAM wereld op de schop gaat en vanaf volgend jaar as-a-service hèt dominante leveringsmodel is voor IAM. Dit komt vooral doordat organisaties open moeten zijn, open voor de ketenpartners, open voor consumenten, open voor cloudservices. Spannende tijden en volop uitdagingen voor organisaties, adviseurs en leveranciers om in te spelen op deze ontwikkelingen. Maarten Stultjens Business Development Manager iwelcome Colofon Dit is CIP-Post, de nieuwsbrief van Centrum informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar info@cip-overheid.nl. Concept en realisatie: Adrenaline Communicatie BV