CIP-post
10101010101101111011010101000110101010101101010101 1010011010101010001011010101010110101010101101010 101010101101010101 000000000000000000000000000 0110101010101101010 000000000000000000000000000 Manifestatie van Softwareveiligheid Vrijwel alle overheidsorganisaties hebben direct contact met burgers en bedrijven en zijn verantwoordelijk voor een zorgvuldige behandeling van de persoonsgegevens in hun processen en informatiesystemen. De veiligheid van de software binnen informatiesystemen is daarbij van cruciaal belang. CIP heeft daarom in samenwerking met overheidsorganisaties en marktorganisaties het proces en normenkader ‘Grip op Secure Software Development’ (SSD) ontwikkeld. Deze methode wordt actueel gehouden binnen de ‘Practitioners Community SSD’. Deze community wil daarnaast ook verleiden en inspireren tot brede, daadwerkelijke toepassing bij zowel overheidsorganisaties als marktpartijen. Als enerzijds de overheidsorganisaties in hun rol van opdrachtgever voor bouw en onderhoud van software en anderzijds de softwareontwikkelaars dit proces samen hanteren, dan wordt daarmee ook gewerkt aan een aantal verbeterpunten uit het rapport van de commissie Elias. Waar in het proces vooral het samenwerkingsaspect sterk wordt benadrukt (rekening houdend met de specifieke rol van beide partijen), biedt het normenkader een goed houvast om te sturen op de softwareveiligheid. Diverse organisaties onderschrijven het Manifest ‘Grip op Secure Software Development’, waarmee zij aangeven de methode en het normenkader daar waar mogelijk toe te passen binnen hun organisaties. We hopen dat er nog vele volgen! Het Manifest is te vinden op de site www.cip-overheid.nl, tabblad SSD Manifestpartijen. Lees verder over SSD op pagina 8
SSD-Manifestpartijen • • • • • • •
Deloitte • CAK • DKTP • OSQR Group • Sogeti • SVB • Valori
Cert2Connect Capgemini DUO OWASP Chapter Leader NL Supply Value UWV
mei 2015 nummer 7 in deze uitgave o.a. PraCo BIR. Op 17 maart startte de BIR Practitioners Community. lees meer op pagina 6
Informatieveiligheid hoeksteen voor DUO. Hoe DUO zijn rol invult bij veilige gegevensuitwisseling. lees meer op pagina 3
Beveiliging in inkoopcontracten laat nog wel eens te wensen over. Daar gaan we aan werken. lees meer op pagina 5
Pilot selfassessment voor ketenbeheersing. CIZ doorloopt een pilot met een tool van de Taskforce BID. lees meer op pagina 11
Op zoek naar Meetbaar Veilig Gedrag. Samen met Ordina en TNO proberen we daar helderheid in te scheppen. lees meer op pagina 14
2
Voorwoord door Ad Reuijl
Het is al weer drie jaar geleden dat de startconferentie van CIP plaatsvond. Op 4 juni noteren we alweer de zevende conferentie. Het is verheugend om te zien dat er nog steeds mensen bijkomen in het netwerk. Ook van kleinere ZBO’s en agentschappen. Het mooie daarvan is dat juist de kleinere organisaties, die vaak weinig mogelijkheden hebben om zelf veel kennis op te bouwen, kunnen profiteren van de kennis die in het brede netwerk te vinden is. Die kennis is verkrijgbaar op verschillende manieren. Op de site www.cip-overheid.nl zijn tal van nuttige handreikingen, methoden, normenkaders en e-learningmodules vrij te downloaden. Op de samenwerkingsomgeving https://cip.pleio.nl/ kunnen nog meer documenten worden gevonden en kan men in contact met elkaar komen over specifieke thema’s of vraagstellingen. De vele kennissessies die belegd worden, zoals de overleggen van de domeingroepen en practitioners communities, de themabijeenkomsten en de conferenties, zijn bedoeld om van elkaar te leren en elkaar te kunnen vinden wanneer dat nodig is.
Ontwikkelingen
Vermeldenswaardig is de start geweest van de Practitioners Community voor de BIR (PraCo-BIR) op 17 maart. Die subcommunity heeft nu 71 ‘PraCo-leden’ uit 45 overheidsorganisaties. 45 mensen konden de eerste sessie meemaken. De belangstelling om van elkaar te leren vanuit implementatie-ervaringen is groot. Overigens heeft CIP de door de Taskforce gemaakte BIR-Operationele producten in beheer genomen. Deze producten geven op bepaalde thema’s verdere duidelijkheid bij het implementeren. Ze zijn te vinden op beide sites van het CIP. In de serie ‘Grip op’ doen zich mooie ontwikkelingen voor bij de verbreding van het draagvlak. Het aantal SSDManifestpartijen groeit gestaag. Door te werken met ‘Grip op SSD’ en ‘Grip op Beveiliging in Inkoopcontracten’ kan een overheidsbedrijf een aantal constateringen van de commissie Elias aanpakken. Het is dan ook van belang dat dit zo breed mogelijk geadopteerd wordt door iedere organisatie die in de rol staat van opdrachtgever voor bouw en onderhoud van software. Van deze en nog veel meer ontwikkelingen kunt u lezen in deze CIP-post en zo ontdekken wat u op meerdere terreinen kunt doen aan uw informatieveiligheid. Van harte aanbevolen!
3
Wim Molema, Manager Informatiebeveiliging en Privacy a.i. bij de Dienst Uitvoering Onderwijs (DUO), is voorzitter van de domein-groep Privacy en lid van het MT van CIP.
Informatieveiligheid hoeksteen voor DUO Mijn werkterrein, privacy en informatiebeveiliging, is een hot issue bij DUO. De persoonsgegevens die DUO beheert vragen om zeer zorgvuldig beleid. DUO heeft dan ook drie Privacy Officers (PO’s) en een Functionaris voor de Gegevensbescherming (FG) in dienst. De Privacy Officers adviseren op alle gebieden zowel aan medewerkers als aan het management met betrekking tot de bescherming van persoonsgegevens. De FG houdt toezicht op de naleving van de wetten en regels op het gebied van de verwerking van persoonsgegevens door DUO en is adviseur voor het bestuur over tactische en strategische zaken.
Identiteitsfraude bij inburgering
Een recent voorbeeld uit het werkveld laat zien dat toezicht loont. Op de toets-locaties van DUO, waar inburgeraars hun inburgeringsexamen afleggen, is het van groot belang om scherp te zijn op identiteitsfraude. Medewerkers van DUO controleren bij deze examens dan ook streng op de juiste legitimatie bij de juiste persoon. Tot voor kort werden kandidaten die zich voordeden als iemand anders alleen weggestuurd en uitgesloten van deelname. In maart 2014 is in Eindhoven en Rotterdam een pilot gestart in samenwerking met de politie. Sinds die datum doet DUO ook daadwerkelijk aangifte van fraude. In 2014 zijn er op deze manier zestien mensen tegen de lamp gelopen waarbij in elf gevallen ook daadwerkelijk aangifte kon worden gedaan.
Onderwijs mogelijk maken. Daar maakt de Dienst Uitvoering Onderwijs (DUO) elke dag werk van. DUO doet dit in opdracht van het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW), door geld te verstrekken aan onderwijsinstellingen, scholieren en studenten. En door het organiseren van school en staatsexamens en het verzamelen en beheren van onderwijsgegevens in diverse registraties en systemen.
DUO als certificaatautoriteit voor het onderwijs
DUO zet zich niet alleen in voor de betrouwbaarheid van de eigen systemen en processen, maar ondersteunt nu ook de veilige gegevensuitwisseling in het hele onderwijsveld en daar mogen we trots op zijn. Sinds 3 maart zijn we ‘certificaatautoriteit’, een succesvol resultaat van het project Public Key Infrastructure (PKI onderwijs). Ik had de eer het eerste certificaat onder het toeziend oog van een notaris te mogen aanmaken voor DUO zelf. Vanaf april 2015 zal elke school, instelling of commerciële partij die een rol heeft in het onderwijs bij DUO hiervoor een PKIcertificaat afnemen. En DUO zelf natuurlijk ook. Door dit PKI-certificaat zijn de partijen in het onderwijsveld er zeker van dat ze hun onderwijsgegevens beveiligd met elkaar kunnen uitwisselen. DUO vindt privacy en informatiebeveiliging belangrijk; dit geldt voor mij persoonlijk en als het goed is vinden alle CIP partners dit belangrijk. In Domeingroep Privacy hebben we het hierover en willen we good practices delen om van elkaar te leren en zo te verbeteren. We kunnen daarbij meer denkkracht gebruiken dan we nu vaak aan tafel hebben. Daarom roep ik je op om je aan te sluiten bij deze domeingroep. Mail naar
[email protected].
Daarnaast voert DUO voor het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) taken uit op het gebied van inburgeringsbeleid en naturalisatie.
4
Grip op Privacy
Op weg naar informatieveilige inkoop.
Wie is Angelique?
Mijn naam is Angélique van Oortmarssen en ik werk
Inleiding
sinds februari jl. bij het CIP. Na mijn studie rechten (master staats- en bestuursrecht) aan de Universiteit Utrecht, ben ik in aanraking gekomen met het privacyrecht: bij de Stichting Geonovum in Amersfoort heb ik met veel interesse meegewerkt aan een onderzoek naar de relatie tussen privacyrecht en geo-informatie, wat heeft geresulteerd in het Witboek ‘Privacy op zijn plaats, tussen willen weten en wetten’. De juiste balans tussen enerzijds het nuttig gebruik van data en anderzijds de waarborging van privacy is een vraagstuk dat mij, gezien de complexiteit en het belang ervan, zeer interesseert. Mijn werkzaamheden bij het CIP sluiten goed aan bij mijn onderzoek en interesse; ik houd mij namelijk bezig met het opstellen van de documenten ‘Grip op Privacy’ en ‘Privacy Normenkader’.
In het voorbije decennium zijn talloze voorbeelden te noemen van ICT-projecten en -aanbestedingen die geheel of gedeeltelijk faalden ten gevolge van problemen in de relatie tussen opdrachtgever en opdrachtnemer. Sturing van opdrachtgever op de inkoop en de aanbestedingen, alsmede de borging van de afgesproken resultaten moet beter. Met ‘Grip op Beveiliging in Inkoopcontracten’ willen we lessen uit het verleden trekken en het over een andere boeg gooien. Vanaf de start van het proces tot en met de afronding daarvan is resultaatsturing hard nodig. Het document “Grip op de beveiliging in inkoopcontracten” legt voor wat betreft de beveiligingsaspecten hiervoor de basis. Angélique van Oortmarssen Beleidsmedewerker CIP
Met woorden van deze strekking werd een aantal leden uit het CIP-Netwerk uitgenodigd deel te nemen aan een startbijeenkomst over veilig inkopen. Het thema sprak kennelijk aan, want er bleek een ruime belangstelling te bestaan voor het onderwerp.
Privacy in uitvoering.
Impressie van de bijeenkomst
Veel organisaties onderkennen de mogelijkheden die er liggen in het gebruik van de grote hoeveelheid beschikbare data, voor het ontwikkelen van innovatieve, nuttige, maatschappelijke diensten. Tegelijkertijd worstelen ze dan wel met de juiste toepassing van de Wet bescherming persoonsgegevens (Wbp). Zo bevat de Wbp veel open normen, waardoor het in de praktijk soms onduidelijk is hoe er in een concreet geval met data omgegaan dient te worden en wat er nu precies geregeld moet worden. Met het document ‘Grip op Privacy’ beogen we bewustwording bij organisaties te creëren omtrent de diverse aspecten van privacy en het belang van het goed inpassen van privacymanagement in de bedrijfsvoering. In het ‘Privacy Normenkader’ worden de eisen van de Wbp vertaald naar concreet hanteerbare normen, met het doel duidelijkheid te bieden over wat organisaties moeten doen en regelen ten aanzien van hun privacybeleid, de uitvoering daarvan en de controle daarop. Samen met het document ‘Grip op privacy’ willen we concrete handvatten bieden aan organisaties om de juiste omgang met persoonsgegevens te waarborgen en het privacybeleid passend, efficiënt en effectief in de bedrijfsvoering in te passen. Een handvat voor de uitvoerders binnen de organisatie.
Menno van Drunen (Supply Value), Hans de Raad (onafhankelijk ICT-specialist met focus op Open Source), Marcel Koers (CIP) en Turaby Yildirim (RWS) brengen in hun presentaties een aantal ervaringen en stellingen naar voren. Een greep korte daaruit. De top 3 inkooptrends van 2015 zijn in goed Nederlands: 1 Supply Chain Optimization 2 Cost Reduction 3 Flexibility De constateringen en aanbevelingen van de Commissie Elias passeren de revue. De conclusie is gerechtvaardigd dat het contractmanagement bij ICT-projecten in veel gevallen onprofessioneel is. Uit ervaring blijkt dat projecten - na succesvolle aanbestedingen - te vaak in de problemen komen, waarbij operationele problemen direct gerelateerd kunnen worden aan de inkoopkaders. Een groeitraject waarin opdrachtgever en opdrachtnemer samen professionaliseren, is hard nodig. Het accent moet daarbij liggen op het met elkaar duidelijk maken en onderling aanspreken op rollen en roluitvoering. Dit proces moet het karakter hebben van een samenwerking. Er wordt meer van de opdrachtgever verwacht. Daarbij moet de opdrachtgever verantwoordelijkheid nemen voor heldere en specifieke eisen.
Bij Rijkwaterstaat wordt werk gemaakt van beveiliging in inkoopcontracten, zowel op het terrein Administratieve Informatievoorziening als bij Industriële Automatisering. Een risico-reductieoverzicht ondersteunt bij de sturing op risico’s; beveiligingseisen voor contracten volgen uit het Security-by-Designproces. We zien veel raakvlakken tussen de praktijk bij RWS en het CIP-product ‘Grip op beveiliging in inkoopcontracten’. Modulair inkopen (herbruikbare componenten, kleiner kijken) kan ook verbetering opleveren en tot duurzamere eindresultaten leiden. Om faalkansen te minimaliseren, wordt een prestatiegerichte aanpak aanbevolen, die risico-gedreven is, waarbij enerzijds controle en sturing real-time worden ingericht en anderzijds normen meer kennis- dan juridischgedreven worden vastgesteld. Het effect is dat onderlinge verwachtingen helder afgestemd en vastgelegd worden en een verandering in de richting van een vertrouwensrelatie mogelijk wordt. Belangstellenden voor het vervolg van de ontwikkeling van ‘Beveiliging in Inkoopcontracten’ kunnen zich opgeven bij Ad Kint,
[email protected].
Startbijeenkomst “Breek met de traditionele inkoop van ICT(-beveiliging) 25 februari 2015.
5
6
Een uitgewerkte BIR in één gemeenschappelijke taal. Aanleiding
In de verschillende overheidslagen is ervoor gekozen de BIR, of varianten daarvan, als basisnormenkader te hanteren. De implementatie en de organisatie daaromheen zijn in verschillende stadia van ontwikkeling. Om elkaar te voeden met ervaringen en goede praktijken hebben we een zg. ‘Practitioners Community’ (PraCo) gevormd met als specifiek doel de implementatie van de BIR te bevorderen. Vakgenoten ontmoeten elkaar over de grenzen van organisaties en overheidslagen heen rond het thema BIR.
BIR Practitioners Community van start op 17 maart 2015.
De bijeenkomst
De eerste PraCo-BIR - bij de SVB in Utrecht – trekt 45 personen van 35 organisaties. Volle bak dus en dat is een goed teken. De inloop verloopt gemoedelijk en na het nuttigen van een kop koffie schrijft men zich in voor twee korte workshops. Men kan kiezen uit een zestal onderwerpen, namelijk: • • • • •
BIR-beleidsvorming Risicoanalyse Beleid gericht op de uitvoering Leveranciersmanagement Beheer- en bewakingsprocessen
"Ik hoop op een snel vervolg met best practices van collega's, waarvan ik kan leren"
Opening
Frank Ossewaarde geeft het startschot voor de vergadering en heet iedereen welkom. Hij stipt de samenwerking met het CIP aan en benadrukt dat hij het heel positief vindt dat de zaal vol zit met mensen uit de operatie. Het praktische element moet voorop staan in de PraCo. Ad Reuijl, directeur van het CIP, neemt het stokje over en vertelt kort over het CIP, een publiek-private netwerkorganisatie met kennisdeling en -ontwikkeling als doel, die werkt aan onderwerpen/producten en wil inspireren tot de implementatie daarvan. De filosofie van de PraCo sluit sterk aan op dit laatste, doordat deze als doel heeft het netwerk bij implementatie te ondersteunen. Hij verwijst daarbij nadrukkelijk naar CIP.Pleio.nl; de plek om te netwerken, kennis te delen en samen aan producten te werken. Vandaag de dag droomt hij van een uitgewerkte BIR in een gezamenlijke taal.
Kennismaking
Na de introductie gaan we van start en Kees van der Maarel vraagt het gezelschap naar het midden van de zaal te komen. Hij past de zogenaamde landkaartmethode toe, wat inhoudt dat hij in de hoeken van de zaal plaatsnamen heeft opgehangen die corresponderen met de uithoeken van Nederland. Op basis van geboorteplaats neemt iedereen een plekje in de ruimte in en maakt men kennis met een aantal mensen. Dit herhaalt zich als gevraagd wordt ‘op de landkaart’ te gaan staan volgens de werklocatie. Het doel is op een ongedwongen manier kennis te maken en de eerste ideeën uit te wisselen. Je ziet al snel dat de zaal gevuld is met gelijkgestemden. Even kort voorstellen en dan direct door naar de inhoud. “Hoe heet je, waar werk je en waar loop jij tegenaan bij de implementatie van de BIR? Oh interessant, daar wil ik graag meer over weten.” Vervolgens gaat Ad Kint met de teams aan de slag “op zoek naar parels”; practices uit de praktijk die nu al gedeeld kunnen worden in de community. Spontaan worden enkele practices genoemd van verschillende organisaties, die men op cip.pleio zal aanbrengen.
"Dit had al veel eerder moeten gebeuren"
7
8
Over de positionering van SSD Zo af en toe krijgen we de vraag binnen over de samenhang van Grip op Secure Software Development met andere kaders die betrekking hebben op de ontwikkeling van veilige software. Kaders die soms heel specifiek zijn, programmeertaalgericht, zeer uitgebreid, etc. Wat is eigenlijk de meerwaarde van Grip op SSD ten opzichte van het woud aan modellen, code standaards en frameworks dat er al is?
9
"Goed om aan het begin van het ontwikkeltraject een normenkader te hebben waarin security goed geborgd is."
Antwoord in een notendop
SSD is in de eerste plaats een instrument in de handen van de opdrachtgéver die daarmee zijn verantwoordelijkheid en rolinvulling in de samenwerking met de opdrachtnemer/leverancier kan waarmaken. Maar ook voor de opdrachtnémer maakt het proces duidelijk wat we verwachten van hem in de samenwerking.
“Ik hoop dat SSD wordt geadopteerd door de gehele overheid en dat men zich hieraan wil committeren; een absolute win-winsituatie voor zowel bedrijfsleven als overheid”
Het basisnormenkader van Grip op SSD schept duidelijkheid over de belangrijkste producteisen die de opdrachtgever stelt aan de opdrachtnemer en wel op een zodanige wijze dat: • gesprek mogelijk is op een hanteerbaar niveau (en dus voorkomen wordt dat de partners in allerlei veel te technische diepten verstrikt raken); • de opdrachtgever zich vooral tot het WAT beperkt en dat de opdrachtnemer gerespecteerd wordt in zijn verantwoordelijkheid over het HOE. Om die WAT-vraag daadwerkelijk met de 'HOE' in te vullen, zal de opdrachtnemer soms gebruik maken van dieperliggende technische kaders: eigen technische standaards, programmeertaalgerichte specifieke conventies, methodes voor risicoanalyse, etc. SSD is dus bovenliggend kader dat de opdrachtgever helpt om in termen van product- én proceseisen zijn leveranciers aan te sturen en te toetsen.
Duurzame doorontwikkeling normenkader (SSD) voor het ontwikkelen van veilige software. "Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een ‘big bang’, maar via een groeimodel te komen tot een volwassen SSD"
De snelle ontwikkeling van cybercrime vereist een continue doorontwikkeling van het normenkader van Grip op SSD voor het ontwikkelen van veilige software. Daar waar de meeste normenkaders de nadruk leggen op auditing, bevatten de normen in Grip op SSD handvatten voor zowel uitvoering als auditing. Met behulp van de methode SIVA zijn ze dusdanig beschreven dat voor iedereen duidelijk is wie wat moet doen in de ontwikkelingsketen. Relevante normen uit verificatiemodellen, zoals ASVS van OWASP en CSA(cloud) worden overgenomen en uitgewerkt tot toepassingsnorm. Voor eisen aan mobiele applicaties is een aparte werkgroep aan de slag met het doel de SSDnormen hiermee aan te vullen. Resultaten worden gedeeld en besproken in de SSD practitioners community.
“Grip op SSD, de beveiligingseisen is een voorbeeld dat in andersoortige scopes navolging verdient” “Alles overziend komen we tot de conclusie dat dit document veel bruikbaarder is dan andere normenkaders die we hebben gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak”.
10
Ambassadeurs van de kwalitatieve content
Pilot self-assessment voor ICT-Ketenbeheersing
De juiste balans bewaren in de huidige digitale informatiesamenleving is een lastige klus. We hebben te maken met veel dynamiek en allerlei soorten bedreigingen, voor zowel individu als organisatie, en die moeten beteugeld worden. Hanteerbaar gemaakt worden. Wil je dit in je eentje bereiken? Dan wensen wij je succes.
Het CIZ heeft een pilot uitgevoerd met het door de Tasforce BID ontwikkelde self-assessmenttool voor het peilen van het risicobesef binnen de ICT keten. Daarin wordt ook gekeken naar de wijze waarop ketenpartijen hun diensten inrichten. Om ‘in control’ te zijn, moet je zekerstellen dat enerzijds de vanuit je eigen bedrijfsvoering genomen maatregelen adequaat zijn en dat anderzijds de ketenpartijen ons op een adequate wijze informeren over de geleverde diensten.
Power by numbers
Als samenwerkingsplatform wil het CIP juist gedeeld het gevecht aangaan. Door elkaar op te zoeken, samen te werken en zo elkaar verder te helpen. Power by numbers. Dat is wat we faciliteren, samen veiliger worden, in het belang van de bescherming van de gegevens van onze afnemers en de continuïteit van onze dienstverlening aan hen. In dit speelveld is goed communiceren van cruciaal belang. Daar werken we hard aan binnen het CIP. Een van de belangrijkste communicatievormen is het gezamenlijk creëren van kwalitatieve content en dat ook te delen met elkaar. Hoe meer mensen het onder ogen krijgen, reviewen en doorzetten, des te meer draagvlak het krijgt. En dat hebben we nodig. Uiteindelijk is het doel dat we de gezamenlijk gecreëerde content geïmplementeerd krijgen.
Mijn naam is Roger Vikdazir, een vrolijke vent die graag als generalist gezien wil worden. Ik heb in het verleden dan ook meerdere takken van sport beoefend. In de spoelkeuken begonnen en opgeklommen via de sociale wetenschap en de consultancy tot projectmanager bij het CIP. Verantwoordelijk voor de communicatie en relatief nieuw in veld. Vader van een zoon (tweede op komst) en in Amsterdam gelukkig samenwonend met Anne.
“It’s not about pushing your message, but pulling in your customers.” Natuurlijk moeten we het wel slim onder de aandacht brengen, door bijvoorbeeld op de website gebruik te maken van visuele effecten, zoals een streamer: zeer korte tekst die de lezer ertoe verleidt onmiddellijk het stuk te lezen. Maar nog beter is gebruik te maken van jullie ambassadeurschap. Dus bezoek cip.pleio.nl, bespreek issues waar je tegenaan loopt, doe mee met een van de domeingroepen en deel je kennis en producten. Als we dat met z’n allen doen, dan komen we verder en het CIP zal alles uit te kast halen om jullie helpen. CIP helpt je verder…
• Beschikbaarheid van de dienstverlening. Beschikbaarheid betreft het waarborgen dat informatie en aanverwante bedrijfsmiddelen (informatiesystemen) tijdig toegankelijk zijn. • Integriteit van de informatie-uitwisseling. Integriteit behelst het waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan.
Nog verduidelijking nodig
In de workshops werden de vragenlijsten van het selfassessment ingevuld. Bij de invulling van de vraagstelling in de tool was nog wel aanvullende uitleg nodig; de context van de vragen bleek telkens verduidelijkt te moeten worden. Dit proces werd begeleid door de enthousiaste ontwikkelaars. Het leverde interessante discussies en inzichten op.
Product moet zichzelf verkopen
Maar hoe bereiken we dat? De kunst ligt niet in het verkopen, maar in het juist niet verkopen. Als de inhoud kwalitatief goed is en relevant en de lezer ook helpt bij het maken van moeilijke keuzes. Dan zal hij terugkomen voor meer en is de verbinding gelegd.
Bij het self-assessment staan twee beveiligingsaspecten centraal:
Roger Vikdazir Projectmanager bij UWV
Er is zowel gekeken naar de verschillende ketenpartijen van welke het CIZ direct afhankelijk is voor het ontvangen van belangrijke informatie ter ondersteuning van het primaire proces, als naar de risico’s voor wat betreft beschikbaarheid en/of data-integriteit, die samenhangen met deze afhankelijkheden. Daarbij worden twee fases in de informatieveiligheidsketen onderscheiden: • Voorkomend; dit betreft de beheersingsmaatregelen ter preventie van incidenten. • Herstellend; dit betreft de beheersingsmaatregelen om snel en adequaat te kunnen reageren op incidenten. Het belang van het uitspreken van de wederzijdse verwachtingen en de invulling van verplichtingen van het werken in de keten werden nog eens onderstreept. Daarbij werden de afspraken met de toeleverende partijen en de afspraken rond de interne bedrijfsvoering tegen elkaar afgezet.
Stof tot nadenken
Het was interessant om nog eens heel bewust stil te staan bij de mate waarin de organisatie afhankelijk is van de toeleverende partijen, welke risico’s er ontstaan als de afspraken multi-interpretabel zijn en hoe de afspraken geborgd zijn in meerdere organisaties binnen de keten. Daarbij is het niet (altijd) noodzakelijk om alles bureaucratisch ‘dicht te timmeren’. Je kunt ook bepalen of er voldoende ruimte is voor gefundeerd ‘vertrouwen’ in de ketenpartijen. Door bijvoorbeeld in te schatten in hoeverre je actief betrokken wordt bij de besluitvorming bij de betreffende ketenpartij en/of in hoeverre kennis wordt gedeeld. De pilot heeft voldoende stof tot nadenken gegeven. Annemieke de Rooij, Coördinerend Beleidsmedewerker CIZ Mo Bosma, CISO CIZ
11
12
Waar iedere manager van droomt ........ een veilige en integere organisatie!
13
Iedere bestuursvoorzitter wil dit resultaat op de bestuurstafel. Uiteindelijk geen incidenten meer met kans op (imago) schade. Maar ondertussen blijft zijn wereld zich wel in razendsnel tempo veranderen. Hij kan en mag daarom niet stil zitten. Wat vandaag nog veilig is, hoeft dat morgen niet meer te zijn. Nieuwe dreigingen en risico’s brengt hij door analyses in kaart. Over aanvullende veiligheidsmaatregelen beslist hij daarna aan de bestuurstafel waarbij hij bewust risico’s neemt. Periodieke incidentenrapporten en managementinformatie onderbouwen zijn beslissingen. Daardoor is hij in staat om de kosten te beheersen. Hij doet zijn uiterste best voor een optimaal resultaat. Maar tegelijkertijd weet hij dat de mens altijd de zwakste schakel is en blijft.
Is bewustwording daarvoor de ultieme oplossing of blijkt het toch een paradox te zijn? Bewustwording is pas effectief en efficiënt als het uiteindelijk leidt tot onbewust bekwame medewerkers. Het doel is dan bereikt. Bij de waan van alledag met andere, soms tegengestelde prioriteiten en (te) weinig tijd, geld en menskracht lijkt bewustwording wel belangrijk te zijn maar wordt het zelden bewust als een nuttig managementinstrument ingezet om de doelen van de organisatie te bereiken.
Dit is te veranderen. Allereerst moet de bestuurlijke wil aanwezig zijn om bewustwording goed te positioneren met voldoende (financiële) middelen. Daarnaast helpen de volgende aandachtspunten om de doelen te bereiken. Verwerk in de missie en/of visie van de organisatie dat veiligheid en integriteit belangrijk zijn. De Te Beschermen Belangen (TBB) zijn bekend en zijn bovendien bepalend voor verdere acties om veiligheid en integriteit te garanderen. De organisatie opereert transparant en reageert adequaat op incidenten. Een lid van het bestuur heeft veiligheid in portefeuille, maakt die taak ook 'echt' waar en is tevens verantwoordelijk voor (de aansturing van) een centrale veiligheidsorganisatie.
Iedereen in de organisatie kent de uitgangspunten als het om veiligheid gaat. Deze zijn vastgelegd in beleidsdocumenten, normenkaders, richtlijnen, checklijsten e.d. en zijn dagelijks eenvoudig te raadplegen op de eigen intranetsite van de organisatie. In deze zgn. 'hard controls' zijn ook de taken, verantwoordelijkheden en bevoegdheden van iedereen binnen de organisatie helder verwoord. Uitgangspunt daarbij is dat de lijnmanager verantwoordelijk is voor zijn eigen omgeving maar ook dat iedere medewerker oog heeft voor zijn eigen veiligheid en dit op orde heeft en houdt. Een belangrijke rol is weggelegd voor de centrale veiligheidsorganisatie. Deze organisatie houdt namens de bestuurder toezicht op de staat van integrale veiligheid en adviseert waar nodig het lijnmanagement. Onderwerpen die daarbij aan bod (kunnen) komen zijn: • • • • • •
fysieke beveiliging personele beveiliging informatiebeveiliging integriteit bescherming persoonsgegevens crisis- en continuïteitsmanagement
Toezicht op deze onderwerpen geschiedt in de PlanDo-Act-Control cyclus waarbij lijnmanagers tijdig risicoanalyses uitvoeren op hun (bedrijfskritische) processen en systemen en incidenten direct melden. Onder regie van de centrale veiligheidsorganisatie wordt het bestuur periodiek geïnformeerd over de belangrijkste gebeurtenissen en ontwikkelingen in deze onderwerpen. Vaak blijkt dat de technische kant van veiligheid wel op orde. Incidenten (en dus schade) komen voort uit onduidelijkheid in de organisatie(structuur) zelf of uit onwetendheid bij de medewerker.
Bewustwording kan deze tekortkomingen verminderen zodat zowel organisatie als medewerker niet langer de zwakste schakels hoeven te zijn in de veiligheidsketen. De volgende kanttekeningen zijn van belang:
1 Zorg bij bewustwording voor heldere boodschappen
afgestemd op de specifieke doelgroep. Juist maatwerk is dan belangrijk. Grote, gelijksoortige campagnes voor alle medewerkers werken niet.
2 Maak bewustwording bespreekbaar aan de
bestuurstafel en binnen directies. De beslissingen worden daar genomen en verder de organisatie ingestuurd.
3 Bouw aan een organisatiecultuur waarin fouten mogen
worden gemaakt en waar ze zonder problemen kunnen worden opgebiecht.
4 Spreek elkaar aan op ongewenst en onveilig gedrag. 5 Bevorder en stimuleer voorbeeldgedrag van leidinggevenden.
6 Stel op alle niveaus binnen de organisatie
gezichtsbepalende ‘ambassadeurs’ aan die een voortrekkersrol vervullen bij het uitdragen van de boodschap.
7 Bespreek veiligheid tijdens de periodieke managermedewerker gesprekken.
8 Gebruik incidenten om van te leren en maak deze (geanonimiseerd) bekend in de organisatie.
9 Bied korte films, workshops, cursussen, lezingen aan om kennisachterstand te verkleinen.
10 Beloon goede initiatieven op het terrein van veiligheid. 11 Betrek medewerkers bij het bedenken en organiseren van bewustwordingsacties.
Bewustwording is gebaat bij een doordachte aanpak met vooraf benoemde doelen. Resultaten zullen bovendien eerder worden bereikt als acties afwisselend zijn en een speels karakter hebben. Humor mag er ook bij. Maar ook een confronterende aanpak werkt goed met bijvoorbeeld acteurs in verschillende rollen net als onverwachte penetratietesten. Periodieke maar gedoseerde herhaling versterkt het effect van de acties. De individuele medewerker moet geprikkeld worden en gaan nadenken over zijn eigen rol in het grotere speelveld van integrale veiligheid. Uiteindelijk leiden dan een hoger niveau van veiligheidsbewustzijn en toegenomen kennis van de dossiers van integrale veiligheid bij individuele medewerkers tot een juiste houding en bijbehorend gedrag. Incidenten nemen af, (imago)schade wordt minder en geld blijft over om andere dingen mee te doen. Bewustwording heeft zijn doel bereikt: onbewust bekwame medewerkers zorgen voor een veilige en integere organisatie.
De beveiligingsupdate: video's om bewust te blijven
14
Om voldoende weerstand te bieden tegen realistische dreigingen zouden we eigenlijk iedere dag moeten werken aan awareness in de eigen organisatie. Met de juiste focus nemen risico’s af en groeit het leger van bewuste en alerte gebruikers. Helaas lukt dat niet overal en dat besef is bij aanvallers goed doorgedrongen. Op veel verschillende manieren proberen criminelen de goedgelovigheid van mensen te misbruiken. Daarom moeten we ons blijven richten op het bewustzijn dat onze informatiesamenleving aandacht nodig heeft.
CIP-cast: De Beveiligingsupdate
Carlijn Broekman Research Scientist TNO
Op zoek naar meetbaar informatieveilig gedrag Op 9 april vond bij TNO in Den Haag een rondetafelbijeenkomst plaats, als vervolg op de bijeenkomst in oktober 2014, destijds onder de vlag van Alert Online georganiseerd door CIP en Ordina, met als onderwerp: Meetbaar Veilig Gedrag.
Leermodel
Op 30 oktober werd door Ordina een leermodel gepresenteerd dat met de nodige aanpassingen ook goed toepasbaar leek te zijn voor awarenessprogramma’s. Die programma’s hebben immers ten doel om via een leerproces gedragsverandering te bewerkstellingen. De input die tijdens deze sessie verzameld is, werd door een werkgroep (bestaande uit Ordina, TNO en verschillende overheidsparticipanten) verwerkt. Door de werkgroep is het model vereenvoudigd. Het kent nu een zestal stappen die starten met het in kaart brengen van doelen en doelgroepen en die, via bewust te kiezen en toe te passen interventies, eindigen met (waar mogelijk) een vaststelling van het effect op het gedrag. Op 9 april werd dit doorontwikkelde model gepresenteerd aan ongeveer 20 deelnemers van verschillende organisaties. Vervolgens werden de zes stappen in drie groepen verder uitgediept. In deze groepen ontstonden aan de hand van richtinggevende vragen leuke discussies waaruit weer veel materiaal is verzameld voor het vervolg. Daarbij viel overigens wel op dat het echt meetbaar maken nog wel een flinke uitdaging is en ook niet altijd objectief mogelijk zal zijn.
Voor alle organisaties bestemd
Met het verzamelde materiaal gaat de werkgroep aan de slag om het model verder vorm te geven. De verbeterde versie die hieruit volgt, staat dan ter beschikking van alle organisaties die doelgroepgericht met bewust gekozen interventies aan beïnvloeding van informatieveilig gedrag willen werken. Ordina en TNO kunnen daarbij, indien gewenst, een helpende hand bieden. Doel is om in november 2015, tijdens de volgende AlertOnlineweken, een definitief model te presenteren.
Door de domeingroep Awareness wordt een campagne in gang gezet waarbinnen op reguliere basis video’s worden uitgebracht met de naam ‘De Beveiligingsupdate’. We noemen het CIP-casts. De bedoeling is de aandacht te vestigen op die thema's die belangrijk zijn voor een groeiend bewustzijn. Een deel van de CIP-casts richten we op de eindgebruiker en bevat basiskennis, een ander deel zal meer verdiepend zijnen richt zich, bijvoorbeeld, op IT’ers. Iedere aflevering is afgestemd op een specifieke doelgroep en is ook zo herkenbaar. Onderwerpen kunnen variëren van veilig bestanden delen en veilig mailen tot verantwoord gebruik van systemen, van de gevaren van draadloze internetverbindingen tot de gevaren van het meenemen van data, van hacking tot identiteitsfraude. In de meeste afleveringen komen experts aan bod in interviews met deelnemers van het CIP. Afhankelijk van het thema wordt de inhoud verrijkt met animaties, illustraties, voorbeelden van hacks en andere waardevolle toevoegingen. Soms zullen bepaalde problemen of kwetsbaarheden worden uitgelegd, met het doel de alertheid te verhogen.
Heb jij ideeën voor CIP-Casts? CIP maakt CIP-casts: korte, gefilmde boodschappen over informatieveiligheid. We beogen daarmee een breed publiek bewust te maken van informatieveiligheidsrisico’s en waar mogelijk maatregelen aan te bieden om mensen en de organisaties waarin zij werken te beschermen tegen die risico’s. De filmpjes kunnen vrij gebruikt worden op eigen intranetten, op het klantenportal, etc. Heb je behoefte aan - of ideeën over - een onderwerp voor een CIP-cast, laat het ons dan weten en mail naar:
[email protected].
Vrij beschikbaar
De video's zijn om niet beschikbaar onder een Creative Commons-licentie, zodat ze gemakkelijk in organisaties te gebruiken zijn. Door de meerdere doelgroepen die we bedienen is er ook wat variatie mogelijk met betrekking tot de inzet van de video's. Zelf bijdragen is ook mogelijk, want ook bij dit initiatief draait het om participatie. Dat kan door video's aan te leveren, het aanbieden van expertise voor de video's of het sponsoren van een draaidag waardoor u uw eigen thema's kunt agenderen. Een draaidag levert drie specifiek door de sponsor bepaalde video’s op. Met De Beveiligingsupdate ontstaat een kanaal om doorlopend mensen bewust te houden van de risico's die spelen. Met deze video’s wordt een instrument aangereikt om medewerkers en gebruikers op laagdrempelige wijze en met vaste regelmaat te betrekken bij het thema informatieveiligheid en daarmee steeds weer de aandacht te vestigen op de rol die iedereen moet spelen bij het veilig houden van de informatiesamenleving.
15
16
Beveiligingsstress Zeer frequent worden we, via diverse media, gewezen op beveiligingsrisico’s die we lopen in onze steeds verdergaande digitale samenleving. Hoe paranoïde laten we ons maken; hoe voorzichtig moet je zijn? Van alle kanten krijg ik tips over hoe om te gaan met wachtwoorden: • Wachtwoorden moet je niet opschrijven. • Je moet niet voor alle sites die je bezoekt hetzelfde wachtwoord gebruiken. • Soms moet je die wachtwoorden ook nog periodiek verplicht wijzigen. • Al die wachtwoorden moeten sterk zijn, dus minimaal 8 posities, cijfers, (hoofd)letters en speciale tekens bevatten.
17
The Battle
Het zijn niet een of twee wachtwoorden die je moet onthouden. Je hebt ze voor het werk, voor de bank (vaak meerdere), de energieleverancier, je mail, de kabelmaatschappij, alle leveranciers bij wie je een persoonlijke registratie hebt, enz. Het is maar een kleine greep. Je hebt er tientallen.
De ontwikkeling van het eID-stelsel heeft te maken met de belangen van Speurders en Privacy-adepten. Crime fighters maken zich zorgen over de inperkingen van hun opsporingsmogelijkheden in de analoge en de digitale werelden. De voorvechters van Privacy maken zich zorgen over de in hun ogen ontoelaatbare uitbreiding van het risico op schending van de privacy van de burger.
Dus toch maar opslaan in een wachtwoordkluis? Zou die wachtwoordkluis in de cloud staan; is die dan wel veilig? Op de harde schijf van mijn PC dan? Als die crasht ben ik alles kwijt. Dan maar een kopie op een memory stick, maar waar leg ik die dan neer. Als mijn huis afbrandt zijn PC en memory stick verdwenen. Bij een inbraak ook, lijkt me.
Wordt het eID een bedreiging of een zegen voor de maatschappij? Wat zijn de voordelen en nadelen, welke argumenten snijden hout? Zijn het wel tegenstellingen? Waar zit de balans en synergie? Wie gaat bepalen hoe de kwartjes zullen vallen?
De memory stick wil je toch in de buurt van je PC bewaren, want je moet regelmatig updaten; de persoonlijke sites vliegen je namelijk om de oren. IIIIIIEEEEEKKKKKK Mijn hoofd is echt niet groot genoeg om alles op te slaan. Ik denk dan dat opschrijven en ergens goed verstoppen een goed alternatief is. Maar dat is natuurlijk absoluut niet veilig. Ergens moet ik dus toch een risico incalculeren. Ik doe de voor- en achterdeur goed op slot zodat niemand er al te gemakkelijk bij kan. Dat is geen extra maatregel, dat deed ik toch al. Wordt vervolgd...
Wat drijft mijn deelname aan het CIP?
Met de grote uitdagingen die op ons af komen in de securitywereld van vandaag red je het niet alleen. Kennisdelen en samen een netwerk vormen is essentieel. Het CIP faciliteert hier uitstekend in. Ik wil graag de aanwezige kennis binnen mijn UWV-team met de andere CIP-partners delen. Binnen UWV is het Security Operations Center in februari 2015 formeel geopend. Zelf heb ik daarbij een prominente rol gespeeld. De ervaringen die ik in dit proces heb opgedaan, deel ik graag met andere overheidspartners. Tom de Haan Security Officer bij UWV
Deze en andere vragen zijn aan de orde gesteld in "The Battle", een debat in Lagerhuisstijl tussen beide kampen, met een Mister Speaker and all, en het eID als belangstellende toehoorder. Het debat was georganiseerd door de domeingroepen Privacy en ID-fraude en vond op 21 mei plaats in de fraaie entourage van PBLQ in Den Haag. De opzet van het Lagerhuisdebat, met tot de tanden bewapende woordvoerders en fanatieke aanhang van beide kampen op de tribunes, mag dan wat ludiek van karakter zijn geweest, in het middaggedeelte moest toch de synergie worden gevonden. Want het doel van dit alles was te komen tot een gewogen en concreet advies dat zou kunnen worden meegenomen in de uiteindelijke specificaties van het eID-stelsel. Zoals steeds bij de onderwerpen ‘privacy’ en ‘identiteitsfraude’ was de belangstelling ook nu weer groot. De ruim 40 deelnemers hebben zich zichtbaar vermaakt en elkaar uitgebreid aan de tand gevoeld. Tot een breed gedeeld advies is het nog niet gekomen, daarvoor liggen de belangen en wensen van beide zijden te principieel uit elkaar. Het resultaat is wel een lijst met belangwekkende en inspirerende opletpunten en suggesties - ook nieuwe kansen - voor het eID. Daaruit kiezen en knopen doorhakken is echter niet aan het eID of een van beide kampen, maar aan de politiek. Twee partijen waren niet of nauwelijks vertegenwoordigd in dit spektakel: de burgers en de bedrijven, in feite de beoogde dagelijkse gebruikers van het nieuwe stelsel. Ook tussen deze groepen zal een haat-liefde verhouding bestaan in het perspectief van privacy versus gemak. Goed idee voor nog een Battle?
18
Reputatie, Vertrouwen en Continuiteit. Een interview met Yuri Bobbert. Wat is jouw achtergrond?
Ik heb een vrij brede achtergrond. Zowel IT als bedrijfskunde. De laatste 10 jaar heb ik leidinggegeven aan een beveiligingsadviesorganisatie die ik in 2004 heb opgericht. Primair kwam dat neer op het managen van het groeiproces en inspirerend leiden op de inhoud. Dat inspireren doe ik door als onderzoeker (verbonden aan Radboud University en Antwerp University) ons vakgebied kritisch te beschouwen en deze kennis terug te geven aan de praktijk. Door mijn opa Charles Breijer (Nederlands cineast, fotograaf en verzetsstrijder tijdens de Tweede Wereldoorlog, red.) ben ik geïnspireerd om blijvend te zoeken naar waarheidsvinding.
Welke opdracht heb je gekregen bij UWV?
Mijn opdracht is om van een reactieve houding te bewegen naar een meer proactieve organisatie die in control is ten aanzien van de sturing, beheersing, rapportering en verantwoording over informatiebeveiliging. Daarbij heb ik drie elementen op het oog: de reputatie die we als overheidsinstelling hebben en willen behouden, het vertrouwen dat we genieten bij burgers en politiek en de continuïteit van onze dienstverlening.
De schrijvende CISO Mijn persoonlijke ambitie is om mijn lectoraat “Business Information Security” aan de Hogeschool NOVI, mijn onderzoeksrol aan de Universiteit van Antwerpen en Radboud, te combineren met mijn functie als CISO. Zodanig dat ik nieuwe inzichten uit de wetenschap kan toepassen en toetsen aan de praktijk en andersom. Mijn tweede boek, “Hoe veilig is mijn ‘aandeel’?”, is een verslaglegging van de afgelopen 4 jaar aan praktijktoepassingen in combinatie met wetenschappelijke kennis van methode en theorieën.
Welke uitdagingen zie je op security gebied?
BIR-Operationele producten nu ook verkrijgbaar bij het CIP Inmiddels heeft de Taskforce BID zijn activiteiten afgebouwd. Na nog wat afrondende werkzaamheden in de eerste maanden van 2015 was het dan echt afgelopen.
Ik maak vaak het vergelijk met de boekhoudafdeling. Boekhouden doen we niet alleen omdat de wet op de jaarrekening dat eist, maar ook omdat we onze huishouding op orde willen hebben en onze doelen willen halen. Na honderden jaren hebben we dat kunstje geleerd. Ons vakgebied is nog jong en we hebben nog een hoop te doen voordat we zo stabiel zijn als de boekhoudwereld. Dat is niet de enige uitdaging, ook aan bewustzijn en gedrag moet nog gewerkt worden. Daarbij zijn oog voor bestuurlijke verhoudingen en communicatie kritische succesfactoren.
De taskforce heeft veel kunnen doen aan de zichtbaarheid van informatieveiligheid onder bestuurders in de overheid. Een en ander in samenwerking met koepelorganisaties (VNG, Unie van Waterschappen en Interprovinciaal Overleg, BZK/DGOBR) en kennisorganisaties (Informatiebeveiligingsdienst gemeenten en uiteraard CIP).
Hoe ga je daaraan de komende tijd vormgeven?
Ten eerste maakt het duidelijk dat veiligheid alleen bereikt wordt als we over een breed scala maatregelen treffen en niet alleen in de techniek.
Mijn visie is ‘een veilig digitaal UWV’, waar veiligheid in ons DNA zit zoals dit ook voor de auto- en vliegtuigindustrie het geval is. Mijn missie is om als UWV daarin een voorbeeld te zijn voor anderen. Dat voorbeeld willen we zijn met ons UWV Security Operations Center (USOC), met de toepassing van Grip op Secure Software Development (waarin we dé oplossing zien voor veel beveiligingsproblemen), met SIVA, de uniforme schrijfwijze voor architectuur, beleid en auditing (ontwikkeld door dr. Wiekram Tewarie) en met de adoptie van de Baseline Informatiebeveiliging Rijk (BIR). Deze elementen moeten samen bijdragen aan een structureel hoger niveau van informatieveiligheid.
Het woord ‘informatieveiligheid’ kwam ik eigenlijk voor het eerst tegen in het vocabulaire van de taskforce. Een goed gekozen term, die zich in twee opzichten onderscheidt van het begrip ‘informatiebeveiliging’.
Bij het uitfaseren van de taskforce hebben we een aantal afspraken gemaakt. Zo zal CIP de z.g. BIR-Operationele producten in beheer nemen en ter beschikking stellen. Ze staan inmiddels ook op www.cip-overheid.nl. Voor een aantal thema’s binnen de BIR bieden deze producten concrete handreikingen bij de praktische invulling. Daarnaast bezien we, samen met mensen van BZK/BI en VNG of het mogelijk is een deel van de bestuurscoalitie rond de taskforce voort te zetten. Het is immers van belang dat informatieveiligheid op de bestuursagenda blijft. Ad Reuijl directeur CIP
Voor de 7e keer collegiaal gastvrij “Het organiseren blijft een feestje,
Met het CIP en zijn netwerk heeft het UWV sterke bondgenoten. Het doel is om samen de ketens van dienstverlening en gegevensuitwisseling veiliger te maken en daarmee het vertrouwen bij burgers in de dienstverlening van de overheid op een permanent hoog niveau te krijgen en te houden. Mijn strategie is om maatregelen op het gebied van informatiebeveiliging zoveel mogelijk meetbaar te maken en ‘evidence based’, dat wil zeggen gebaseerd op de best beschikbare feitelijke informatie over doelmatigheid en doeltreffendheid zodat we achteraf niet voor verrassingen komen te staan.
Ten tweede spreekt het woord aan omdat het nadruk legt op de veiligheid van het product (informatie), in plaats van op het proces of op de maatregelen die nodig zijn om te komen tot dat veilige product. Wij nemen dit begrip dan ook graag over in óns woordenboek.
we worden steeds professioneler, het programma wordt elke keer interessanter en uitdagender”
Jeroen Booij en Petra van Dellen, Managementassistenten van de CIO van het UWV en het CIP.
“Nooit geweten dat, toen we er in 2012 aan begonnen, het zo grootschalig zou worden.”
Yuri Bobbert Ciso, UWV
Rechts van Petra: Joyce Baserat en Veronica Amiabel, Managementassistenten van de Taskforce BID en de SVB.
Met veel plezier staan wij ook in 2015 weer voor iedereen paraat! Met de hartelijke CIP groeten: Jeroen, Veronica, Joyce en Petra.
19
000000000000000000000000000 0101011010110101011 000000000000000000000000000 01101010011011010101 010101101011010101101010101011011110110101010001101 01101010011011010101010011010101010001011010101010 Doe je best en heb een goed humeur Tot enige jaren geleden was ik op een belangrijke rijksopleiding co-docent voor het blok ambtelijk- politieke verhoudingen. Wij organiseerden altijd een college met Arthur Doctors van Leeuwen. Zijn aanwezigheid maakte iedere keer diepe indruk op de cursisten. Hij sloot zijn college altijd af met tien raadgevingen om je in het veld van deze verhoudingen (als overheidsmanager) goed te kunnen bewegen. Natuurlijk zaten daar heel bekende en nuttige aanbevelingen bij, zoals over de veilige omgang met informatie. Maar twee opmerkelijke en behartenswaardige aanbevelingen sprongen eruit: doe je best in je werk en heb een goed humeur. Zo althans heb ik ze geïnterpreteerd en onthouden. De cursisten, allen met een niet geringe ambtelijke schaal, schreven deze tien raadgevingen met grote aandacht op. Ook de laatste twee en ik moest daar altijd om glimlachen. Stel je leest je aantekeningen terug als hogere overheidsambtenaar en je wordt gemaand je best te doen en een goed humeur te hebben… Maar, is er eigenlijk wel reden tot lachen? Die laatste twee raadgevingen bedoelde Doctors van Leeuwen bloedserieus en er zitten diepe gronden achter. Althans zoals ik het begrijp. Een is bijvoorbeeld dat je als ambtenaar in de altijd complexe werkelijkheid van onze mediademocratie alleen als je écht je best doet, die voortdurende scherpte kan opbrengen om zowel risico’s goed te zien als bestuurlijk kansen voor beleidsvoortgang te bieden.
Henk Wesseling was bestuurlijk hoofd van de interbestuurlijke Taskforce Bestuur en Informatieveiligheid Dienstverlening die in februari de werkzaamheden aan het veld heeft overgedragen. Mijn glimlach kwam niet voort uit de vanzelfsprekendheid van deze twee laatste raadgevingen. Ze zijn helemaal niet vanzelfsprekend. In ieder geval niet voor mij en ook niet als je om je heenkijkt, hoeveel goede collega’s er ook zijn. Ze zijn van toepassing op ieder veld waar het ingewikkeld is en de eigen verantwoordelijkheid om er iets van te maken voorop staat. Zoals bijvoorbeeld in het veld van informatieveiligheid. De raadgevingen zijn eenvoudig en krachtig en je hoeft ze ook niet op te schrijven om ze te onthouden. Je moet ze gewoon praktiseren. Je best doen, met een goed humeur, daar wordt de wereld een stuk informatieveiliger van.
Een ander punt is dat een goed humeur het beste voorbeeldgedrag is dat je collega’s kunt bieden in het openbaar bestuur. Lastig is het immers altijd in het openbaar bestuur en dat afwentelen door er ‘de pest in te hebben’, waar komen we dan?
Colofon Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar
[email protected]. Concept en realisatie: Adrenaline Communicatie BV