Het Centrum Informatiebeveiliging en Privacybescherming is een publiek-private netwerkorganisatie die bestaat uit participanten en kennispartners. Participanten zijn (semi-)overheidsorganisaties en andere non-profit organisaties, waarvan medewerkers meedoen aan één of meer van de werkverbanden in het netwerk. Kennispartners zijn marktpartijen die met een convenant verbonden zijn en een hoeveelheid uren hebben toegezegd in de samenwerking.
Vanuit het principe ‘voor allen, door allen’ deelt het CIP kennis op alle mogelijke manieren. Zo zijn er onder andere themagerichte sessies, ‘practitioner communities’, een digitale samenwerkingsomgeving en conferenties. Ook stelt het CIP kennis ter beschikking in de vorm van samen uitgebrachte handreikingen, materialen voor gebruik in bewustzijns – campagnes, serious games, et cetera. Inhoudelijk variëren de onderwerpen van Secure Software Development tot Privacy Self Assessment workshops. De producten zijn door iedereen vrij te gebruiken onder de open source licentie Creative Commons Naamvermelding-GelijkDelen. Eventuele vrijwillige financiële bijdragen worden altijd gebruikt voor de versterking van de samenwerking.
Producten CIP voor iedereen beschikbaar
Het CIP wil als samenwerkingsplatform een relevante bijdrage leveren aan de informatieveiligheid in Nederland. Vandaar ook dat iedereen kan beschikken over de producten. Het is ook toegestaan om eigen varianten te maken, mits je de herkomst (de naam CIP) eraan blijft verbinden en dezelfde creative commons licentie gebruikt voor het nieuwe product. Op https://www.cip-overheid.nl/ vind je alle downloadbare producten. Ze zijn gebundeld in de volgende categorieën.
Secure Software (in het bijzonder de productlijn Grip-op-SSD) is van belang als je de veiligheid van je applicaties wilt zekerstellen. Het gaat hier om basisbeveiligingseisen die een opdrachtgever in aanbestedingen en contracten kan gebruiken als veiligheidseisen aan het op te leveren softwareproduct. Deze eisen zijn zowel bruikbaar in de relatie tussen opdrachtgevers en leveranciers als tussen producteigenaren en ontwikkel- of onderhoudsafdelingen. Ze zijn concreet en testbaar. Het is een invulling van security by design op het terrein van de software. Op de site van Forum Standaardisatie wordt Grip-op-SSD inmiddels ook aanbevolen: als iedereen deze eisen zou hanteren, zou ons landschap aanzienlijk beter beschermd zijn tegen ‘hacken en lekken’.
Awareness-producten zijn talrijk. Zo kun je beschikken over een basisset van eenvoudige e-Learningmodules, die je zelf als sources kunt downloaden, naar believen kunt veranderen voor je eigen doel en die je kunt opnemen in je eigen Leer Management Systeem. Er is een handreiking voor de opzet van awareness programma’s. Ook een verzameling CIP-casts: korte filmpjes, in de vorm van interviews met host Brenno de Winter, die in enkele minuten een IB&P-onderwerp uitleggen. Een wel hele leuke vorm van het creëren van awareness is het doen van één van de serious games van het CIP: bestrijd met een groep collega’s, relaties of klanten een hacker die het je moeilijk maakt en beperk de schade die hij toebrengt. Leren door ervaren!
Op Ketengebied heb je met de ‘Keten Service Library’ een gesystematiseerde inventarisatie van keten governance practices in handen. Een relatief nieuw product is de ‘Handreiking Bestuurlijke Communicatie bij Crises’. Dit document met vooral de twee krachtige bijlagen is zeer aan te bevelen voor iedereen die in ketens werkt. In dit document is nu eens niet uitgegaan van de technische, oplossingsgerichte communicatie, maar is de blik gericht op communicatie naar stakeholders.
Privacybescherming is een thema dat onder druk van de nieuwe Europese wetgeving zeer veel aandacht heeft gekregen binnen de CIP-productontwikkeling. Met de productlijn Grip-op-Privacy wil CIP organisaties te hulp komen om privacy management op orde te krijgen en te houden. De Privacy Baseline vertelt wat je op orde moeten hebben in de organisatie (de AVG vertaald in 13 hanteerbare principes). De handreiking Privacy bij Design is het instrument dat ontwerpers, architecten et cetera in de ontwerpfase helpt privacy-vereisten direct mee te nemen bij de ontwerpkeuzen. Met de Privacy Self Assessment – PriSA (volledig gebaseerd op de baseline) toets je hoe jouw organisatie ervoor staat en geeft het tool aan wat je nog te doen hebt. Als je de self assessment door meerdere collega’s laat invullen, kun je in een workshop in gesprek gaan op basis van een door CIP geconsolideerd groepsresultaat en elkaar verrijken met de diverse inzichten. In deze workshop vul je het plan dat het tool je aanreikt nog aan met eigen bevindingen tot een stevig plan van aanpak. De PriSA is ook goed te gebruiken als PDCA-instrument om periodiek de voortgang in kaart te brengen en bij te sturen.
Voor vragen aan het CIP ga naar: www.cip-overheid.nl/contact/
Ad Reuijl is directeur van het CIP. Hij is sinds medio 2009 werkzaam bij het UWV. Vanaf 2012 heeft hij het CIP opgezet. Ad is bereikbaar via ad.reuijl@uwv.nl