Op het iBestuur Congres 2014 is de methode ‘Grip op secure sofware development’ gepresenteerd door Marcel Koers van UWV en Rob van der Veer van de Software Improvement Group (SIG). Zij stonden aan de wieg van deze methode die beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. Ad Reuijl, directeur van het Centrum Informatiebeveiliging en Privacy (CIP), heeft de methode aangeboden aan de nieuwe Rijks-cio Dion Kotteman.
Uit verschillende onderzoeken blijkt dat ongeveer 75 procent van de security-incidenten wordt veroorzaakt door softwarefouten. Opdrachtgevers vinden het vaak moeilijk om goede afspraken te maken met leveranciers over beveiliging in software. Ze weten niet welke eisen er moeten worden gesteld, hoe je die op maat maakt en hoe je daarover de dialoog moet aangaan met de leverancier. Daarnaast weten ze vaak niet hoe de kwaliteit van software moet worden getoetst, hoe er met risico’s die overblijven moet worden omgegaan en wat ze moeten doen bij nieuwe bedreigingen. ‘Het is goed om aan het begin van het ontwikkeltraject een normenkader te hebben waarin security goed geborgd is’, meent de nieuwe Rijks-cio Dion Kotteman.
Grip op secure sofware development
Sinds medio 2012 is het CIP actief als samenwerkingsplatform voor security binnen de overheid. Een flink aantal overheidorganisaties delen en ontwikkelen kennis op het gebied van informatiebeveiliging en privacybescherming. Een aantal markpartijen is aangesloten als kennispartner. Binnen de CIP-samenwerking is een aanpak ontwikkeld om de genoemde problemen het hoofd te bieden, met als resultaat de methode ‘Grip op secure sofware development’.
Deze methode beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. De drie pijlers daarbij zijn standaard beveiligingseisen, contactmomenten en het inrichten van de juiste processen. Deze processen zijn onder meer het bijhouden van risico’s, standaard beveiligingseisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als securityspecialisten.
Ben benieuwd of de privacy bijdraagt tot bescherming gegevens. Ik kreeg van UWV een dossier van een andere client met alle ins en outs.
Ad Reuijl is wat dat betreft een uitstekend persoon op die plek. Waar ik alleen nog steeds moeite mee heb is dat er nog steeds geen eenduidige E2E procedure is die helder stelt dat het een collectieve beweging moet worden waar een ieder naar ratio gewoon een verantwoordelijkheid heeft.
Tot nu toe moet er vooral veel gebabbeld en gelobbyd worden terwijl de materie waarmee en waar over het gaat dat niet is. Een tweede voorwaarde ben ik jammer genoeg ook nog niet tegen gekomen. De basis van een eenduidig protocol.
Of moet daar ook eerst lange tijd met vooral heel veel partijen over worden gepolderd?
@ DGE1965
Ik heb meerdere van dergelijke verhalen en anderen waaruit je op kunt maken dat er nog heel veel ‘standaard’ werk nog steeds niet goed blijkt opgezet en ingeregeld. En men laar een manke trein maar doordenderen. Dit laatste is in en met IT desastreus vaak.