Hulp met het organiseren van uw Coordinated Vulnerability Disclosure (CVD) beleid?
Cyberdreigingen ontstaan door kwetsbaarheden in de ICT-infrastructuur, toepassingen en of in de organisatie van bedrijfsactiviteiten. Zij kunnen het effectief beschermen van bedrijfsactiviteiten en van bedrijfs- en persoonsgegevens ondermijnen. Uiteindelijk kunnen deze kwetsbaarheden de continuïteit van de bedrijfsvoering bedreigen en een bedrijf zelfs stil leggen. De oorzaken van de kwetsbaarheden kunnen liggen in bijvoorbeeld de complexiteit van de digitale systemen, het ontbreken van “security by design”, het onjuist implementeren en of het onvoldoende testen. De oorzaken kunnen ook liggen bij ketenpartners die producten, toepassingen en diensten aan het bedrijf leveren.
Delen van onderzoeksresultaten
Een kwetsbaarheid kan door een onbekende onderzoeker worden opgemerkt. Als deze onderzoeker te goeder trouw is, wil hij graag de onderzoeksresultaten delen met het bedrijf. Het is belangrijk om op een juiste manier met de onderzoeker/ melder en de melding om te gaan om te voorkomen dat de informatie in ongewenste handen valt alvorens het bedrijf de kwetsbaarheid kan verhelpen.
Met een Coordinated Vulnerability Disclosure (CVD)-beleid kan een bedrijf inregelen dat kwetsbaarheden die buiten het bedrijf zijn gesignaleerd op een gecontroleerde wijze (onder uw regie) worden afgehandeld. In het beleid worden kaders aangegeven voor het documenteren en analyseren van deze kwetsbaarheden en het snel verhelpen ervan door het treffen van passende maatregelen.
Hierdoor blijven de gevolgen voor de bedrijfsvoering beperkt. Op de website laat het bedrijf in een CVD-Verklaring weten hoe kwetsbaarheden gemeld kunnen worden en onder welke voorwaarden.
Inbedden in de eigen organisatie
Alvorens een bedrijf met een CVD-Verklaring naar buiten kan treden, zal CVD eerst ingeregeld moeten zijn in de eigen organisatie. Immers, een onderzoeker beloven om te werken volgens afspraken en deze vervolgens niet nakomen kan een averechts gevolg hebben waardoor de onderzoeker andere wegen gaat bewandelen om de kwetsbaarheid te exploiteren.
Wat is onze aanpak?
Een bedrijf moet keuzes maken hoe zij CVD wil organiseren. Als er weinig kennis en/of capaciteit beschikbaar is, dan kan besloten worden om het proces uit te besteden. Er kan ook gekozen worden voor een gedeelte uitbesteding en de eigen kennis aan te vullen door trainingen.
Ondersteuning
Wij kunnen u ondersteunen bij:
- Het ondersteunen bij het opstellen van een businesscase om mogelijkheden te verkennen en onderbouwde besluiten te nemen;
- Het opstellen van een intern CVD-beleid en een externe CVD-verklaring;
- Het uitwerken van rollen, taken en bevoegdheden;
- Het opstellen van een procedure om een melding goed en tijdig af te handelen inclusief documenteren en rapporteren;
- Het maken van afspraken met experts om op afroep beschikbaar te zijn bij het afhandelen van een kwetsbaarheid zoals technische IT-kennis en juridische kennis;
- Het opleiden van medewerkers om rollen uit te voeren; en
- Het onderhouden van het contact met de melder.
Herkennen van kwetsbaarheden
De meeste bedrijven maken gebruik van cloud-dienstverleners voor het ondersteunen van de bedrijfsprocessen met IT-producten en -diensten waarmee de bedrijfsactiviteiten effectief zijn georganiseerd. De meeste clouddienstverlening biedt het bedrijf een scala aan professionele beheersmaatregelen gericht op bijvoorbeeld het NIST CyberSecurity Framework Core, April, 2018.
MYOBI Vertrouwensnetwerk voegt aan dit NIST framework het managen van kwetsbaarheden in IT-producten en -diensten van het bedrijf die door onderzoekers zijn geconstateerd; een Coordinated Vulnerability Disclosure.
Vertrouwensnetwerk helpt gebruikers
De meeste bedrijven maken gebruik van cloud-dienstverleners voor het ondersteunen van de bedrijfsprocessen met IT-producten en -diensten waarmee de bedrijfsactiviteiten effectief zijn georganiseerd. De meeste clouddienstverlening biedt het bedrijf een scala aan professionele beheersmaatregelen gericht op bijvoorbeeld het NIST CyberSecurity Framework Core, April, 2018.
MYOBI Vertrouwensnetwerk voegt aan dit NIST framework het managen van kwetsbaarheden in IT-producten en -diensten van het bedrijf die door onderzoekers zijn geconstateerd; een Coordinated Vulnerability Disclosure.
Heeft u vragen of wilt u een afspraak maken?
Heeft u vragen over het organiseren, implementeren of uitbouwen van uw verantwoordingsplicht? Onze service-eigenaar, André Biesheuvel of één van zijn collega’s, bespreekt graag uw specifieke casus.