Leveranciersmanagement centraal thema in Kennisnetwerk Informatieveiligheid

Op 28 maart was een mooie club CISO’s uit verschillende organisaties te gast in Assen bij het Wilhelminaziekenhuis. CISO Jan Metselaar ontving het Kennisnetwerk Informatieveiligheid, dat elk kwartaal op een andere locatie bijeenkomt.  

De spreker deze keer was Wilfred Hanekamp, CISO a.i. bij de Veiligheidsregio Fryslân. Hij gaf een interessante presentatie over leveranciersmanagement vanuit het perspectief van informatiebeveiliging. Een belangrijk onderwerp dat met de komst van de NIS2 op toegenomen belangstelling mag rekenen. Goed leveranciersmanagement is zowel in de project- als de procesfase van outsourcing een belangrijke waarborg om incidenten te helpen voorkomen. Drie aandachtspunten stonden centraal in zijn verhaal. 
 
1. Eisen stellen 
Denk goed na over (zinvolle) eisen die je aan leveranciers wilt stellen. Checklists en kaders kunnen hierbij helpend zijn, maar vaar er niet blind op: het blijft maatwerk op basis van een gezonde risico-inschatting. 
 
2️. Proces inrichten 
Zoek de samenwerking op met inkoop zodat informatiebeveiliging een volwaardige plek krijgt in het inkoopproces. Door met elkaar de dialoog aan te gaan en actief betrokken te zijn, voorkom je dat ‘het lastige security-lijstje’ te laat in het proces nog moet worden afgevinkt. 
 
3. Afspraken monitoren 
Gemaakte afspraken dienen periodiek te worden gecontroleerd. Hoe vaak en met welke diepgang is afhankelijk van – alweer- risico-inschatting. Ook hier is een samenwerking met inkopers van grote meerwaarde, bijvoorbeeld door informatiebeveiliging onderdeel te laten zijn van reeds geplande Service-Level-Management-gesprekken. 
 
Levendige discussie 

Dat dit onderwerp leeft bleek ook uit de levendige discussie die onder de deelnemers ontstond. Welke concrete eisen stel je bijvoorbeeld aan leveranciers en tot waar moet je kunnen vertrouwen op de deskundigheid en professionaliteit van de leverancier zelf? In hoeverre moet en wil je invloed hebben op ‘onderaannemers’? En wat zegt de NIS2 eigenlijk over dit onderwerp? Een ding staat als een paal boven water: inzicht in de keten is essentieel. De twee uren van de bijeenkomst waren eigenlijk te kort voor zo’n veelomvattend onderwerp.  
 
Samen met de kartrekkers van dit kennisnetwerk Lars de Haan, Esther de Jong en Bert Moorlag zijn we trots dat dit kennisnetwerk al vele jaren een plek biedt voor CISO’s om cross-sectoraal kennis uit te wisselen en elkaar te ontmoeten.  

Meer informatie over het Kennisnetwerk Informatieveiligheid is te vinden op onze website. Faciliterend programmamanager vanuit Samenwerking Noord is Linn Zuidema.

Oktober is cybersecurity maand

De hele maand oktober staat in het teken van cybersecurity. Om een steentje bij te dragen, wijzen we graag op een aantal initiatieven die kunnen helpen om jouzelf en je organisatie veilig te houden.  

Zo houdt het Digital Trust Center op haar website een actuele lijst bij met bekende (kritieke) kwetsbaarheden in veelgebruikte bedrijfssoftware en ICT-systemen. Je kunt ervoor kiezen om automatische een bericht te ontvangen als een nieuwe kwetsbaarheid bekend wordt door de RSS-feed te gebruiken of door je aan te melden bij de DTC-community 

Ook nuttig: het Digital Trust Center heeft diverse infographics met handige informatie voor jouzelf of om binnen jouw organisatie te delen. Wat dacht je bijvoorbeeld van een phishing-bingokaart, een brochure met mythen en feiten over cybersecurity of de vijf basisprincipes van veilig digitaal ondernemen. Als je daarnaast klaar wil zijn voor de toekomst, kun je leren over manieren om je organisatie te beschermen tegen de dreigingen van quantumcomputers en AI tijdens een webinar van de AIVD. Of kijk naar een van de vele andere activiteiten op de website van Alert Online. Kortom, genoeg te doen in oktober!  

 

Sneller op de hoogte van beveiligingslekken? Gebruik security.txt

Hackers scannen het internet op kwetsbaarheden. Kwaadwillende hackers gebruiken die informatie om cyberaanvallen te plannen. Gelukkig zijn er ook hackers met goede bedoelingen: zij willen organisaties juist waarschuwen bij een beveiligingslek. Maar hoe doen ze dat? Met security.txt weten ze meteen waar ze een lek kunnen melden.

Security.txt is een simpel tekstbestand met de contactinformatie van de persoon of het meldpunt voor beveiligingsincidenten van een organisatie. Je zet security.txt in 3 simpele stappen op je webserver. Daardoor weten ethische hackers precies waar ze eventuele kwetsbaarheden het beste kunnen melden. Organisaties kunnen al in 5 minuten een security.txt-bestand aanmaken. Kleine moeite, groot effect! Meer informatie over Security.txt is te vinden op de website van het Digital Trust Center.

Security.txt wordt aanbevolen door het Digital Trust Center, opgericht door het Ministerie van Economische Zaken en Klimaat om ondernemers digitaal weerbaarder te maken. Samenwerking Noord werkt samen met het Digital Trust Center, onder andere door het delen van relevante informatie over kwetsbaarheden binnen ons Kennisnetwerk privacy & Security. Wil je meer weten over het Kennisnetwerk privacy & security of wil je meedoen? Neem dan contact op met programmamanager Linn Zuidema via l.zuidema@samenwerkingnoord.nl.

Samenwerking Noord werkt samen met het Digital Trust Center

Cyberveiligheid is een steeds belangrijker thema voor zowel onze ledenorganisaties als voor Samenwerking Noord. We zijn daarom erg blij met onze samenwerking met het Digital Trust Center (DTC). Het DTC, is een initiatief van het ministerie van Economische Zaken en Klimaat en het helpt organisaties met advies en tools om veilig digitaal te ondernemen. Door de samenwerking kunnen we relevante informatie over cyberdreigingen en praktische tips delen met onze ledenorganisaties. Daarnaast kunnen de collega’s uit onze ledenorganisaties gebruik maken van de expertise en tools van het DTC op het gebied van cyberveiligheid en privacy en de netwerkbijeenkomsten bezoeken.Het DTC heeft een online community waar cyber gerelateerde vragen te stellen zijn aan andere cyberexperts. De leden bestaan uit onder andere CISO’s, IT-leveranciers en werknemers in de privacy hoek. Samenwerking Noord is een van de 48 aangesloten samenwerkingsverbanden van DTC. Relatiemanager Anouk de Rooij zal in het voorjaar spreken tijdens een van onze evenementen.Samenwerking Noord heeft al enige tijd een eigen kennisnetwerk voor privacy en security dat regelmatig bijeenkomsten organiseert.

Brainstormsessie Onderzoeksagenda Cybersecurity Noord-Nederland

Op donderdag 10 maart jl. organiseerde Samenwerking Noord een gezamenlijk event met Cybersecurity Noord-Nederland (CSNN) om de onderzoeksagenda voor cyber security te toetsen en aan te vullen. Tijdens deze brainstormsessie leverden de aanwezigen (onderzoekers en eindgebruikers) input vanuit de eigen kennis en ervaring.

Achtergrondinformatie CSNN
Het CSNN-project ging van start in 2019 met steun van de provincie Groningen en de gemeente Groningen vanuit de zogenaamde RSP-middelen.

CSNN kent diverse werkpakketten: (1) coördinatie, programmamanagement, valorisatie en roadmapping, (2) recht en veilige digitale transformatie, (3) cyber security by design, (4) automated security response, (5) IoT Lab, (6) valorisatie van resultaten en (7) weerbaarheidstoolbox.

De volgende partners hebben een onderzoeksagenda voor cyber security opgesteld:

  • Hanzehogeschool,
  • Noorderpoort
  • NHL Stenden (Maritiem Instituut Willem Barentsz en Thorbecke Academie)
  • Rijksuniversiteit Groningen
  • Eurofins Cyber Security
  • TNO

Tijdens de bijeenkomst van 10 maart lag de focus op de onderzoeksagenda voor de middellange termijn, waarmee we in Noord Nederland beter en effectiever kunnen innoveren.

Klik hier voor gedetailleerde weergave van de onderzoeksagenda

Figuur 1 De onderzoeksagenda

Uitkomsten

Bijna alle deelnemers benoemden de menselijke aspecten van informatiebeveiliging als een noodzakelijk item op de onderzoeksagenda. Ook de volgende onderwerpen werden als relevant bestempeld:

  • Cybercrisis
  • Security van machine learning
  • Artificial intelligence
  • Software security testing
  • Security van geconvergeerde OT/IT omgevingen
  • Privacy by design

Het gros van de deelnemers was content met de breedte van de bestaande onderzoeksagenda. Ze noemden enkele onderwerpen ter aanvulling:

  • Cyberoorlog
  • Afhankelijkheid van tech giganten
  • Aansluiting bij onderwijsinstellingen en het opleiden van jonge specialisten
  • Digitale veerkracht
  • Internationale focus
  • Supply chain van embedded partij

Alles bij elkaar was het een interessante sessie. In het Cybersecurity Noord-Nederland project krijgt alle input een plekje. Voor meer informatie kunt u contact opnemen met Albina Vitochina.

Met dank aan Paul Klooster (student-assistent Digital Society Hub, Hanzehogeschool) voor zijn bijdrage aan dit artikel.

Bijeenkomst Informatiebeveiliging

Op 13 februari van 9.30 tot 12:30 uur heeft de Sector Woningcorporaties een bijeenkomst over informatiebeveiliging gepland.

Op het programma staat het onderwerp “BIC building blocks”. Dat is gereedschap dat de corporaties samen met Audittrail hebben ontwikkeld om de beveiliging op een hoger plan te krijgen. De gastspreker is Bert Moorlag (CISO UMCG) en zal komen vertellen over de beveiliging in de ziekenhuiswereld.

Locatie:
Lefier/MyOffice
Winschoterdiep 50 Groningen

Belangstelling?
We hebben maximaal 15 plaatsen beschikbaar voor leden van Samenwerking Noord. Graag opgeven via a.devries@lefier.nl

Cyber Science Center: uniek kenniscentrum voor digitale veiligheid

Hoe kun je als internetgebruiker je veiligheid vergroten, hoe gaan cybercriminelen precies te werk en hoe kun je als organisatie een bijdrage leveren aan je eigen digitale veiligheid maar ook aan die van anderen? Om dergelijke vragen te beantwoorden is meer nodig dan enkel technologische kennis. Ook vakgebieden als psychologie, pedagogiek, criminologie, rechten en communicatiewetenschappen spelen hierin een belangrijke rol. Om wetenschappers uit al die disciplines samen te brengen, is onlangs vanuit NHL Hogeschool in Leeuwarden het Cyber Science Center geopend. ‘Ik durf wel te stellen dat onze multidisciplinaire aanpak wereldwijd uniek is’, zo zegt prof. Dr. Wouter Stol, lector Cybersafety én geestelijk vader van het Cyber Science Center. Lees verder

Bert Moorlag, nieuwe voorzitter kennisgroep Informatieveiligheid: ‘Mooi moment om naar buiten te treden’

Sinds 1 maart heeft de kennisgroep Informatieveiligheid een nieuwe voorzitter: Bert Moorlag, senior information security officer bij het UMCG. Moorlag ziet het als zijn opdracht de kennis en kunde die binnen de kennisgroep aanwezig is, verder te verspreiden binnen Samenwerking Noord. “Mijn voorganger, Eric Algera, heeft de afgelopen anderhalf jaar al veel mensen bij elkaar weten te brengen. Nu is het een mooi moment om te kijken op welke wijze de andere organisaties binnen Samenwerking Noord mee kunnen doen”, zo zegt hij. Lees verder

Kennisgroep Informatieveiligheid: ‘We komen in een steeds verder stadium’

De kennisgroep Informatieveiligheid heeft zich de afgelopen maanden meer en meer als Best Practice weten te profileren. ‘We komen in een steeds verder stadium’, zegt voortrekker Eric Algera (RDW). ‘Nu is het belangrijk dat dit ook resultaten gaat opleveren voor de stuurgroep en andere leden.’

De kennisgroep Informatieveiligheid groeit niet alleen figuurlijk, maar ook letterlijk. Er waren al zeven vaste leden (UMCG, DUO, CJIB, Martini Ziekenhuis, RDW, de gemeente Groningen en Provincie Groningen) en in de afgelopen maanden zijn door ook de RUG en DICTU Assen bijgekomen.  ‘De opkomst is inderdaad heel erg goed en iedereen is enthousiast’, zegt Eric. ‘Ik zie ook dat wij als organisaties elkaar buiten de Best Practice om meer en meer opzoeken. Zo nemen we een kijkje in andermans keuken of doen we een klusje voor elkaar.’

De groep is inmiddels zo groot, dat er onderling is besloten voorlopig geen nieuwe leden toe te laten. ‘Maar, de kennis die wij hebben willen we juist gebruiken om anderen te helpen’, zegt Eric. In het nieuwe jaar hoopt de kennisgroep meer naar buiten te treden en in dienst te komen staan van andere organisaties die zijn aangesloten bij Samenwerking Noord. ‘We willen graag helpen en vragen beantwoorden!’

De kennisgroep komt elke laatste vrijdag van het kwartaal bijeen. Omdat er in de Best Practice zaken worden besproken als informatiebeveiliging, maar ook problemen en zaken binnen de aangesloten organisaties zelf, heeft de kennisgroep er voor gekozen een geheimhoudingsdocument te ondertekenen. ‘We bespreken gevoelige informatie in vertrouwen’, zegt Eric. ‘Dat moet gewoon binnenkamers blijven.’

Eric zelf is sinds de oprichting van de Best Practice Security in 2014 voortrekker. ‘Dat bevalt goed, maar ik denk dat we volgend jaar eens moeten gaan nadenken over een eventuele opvolger’, zegt hij. ‘Ik vind het in ieder geval mooi om te zien dat we steeds meer gaan samenwerken en een echte groep worden. Het was een vruchtbaar jaar!’