In de software behoren (by design) beveiligingsmaatregelen te zijn opgenomen die persoonsgegevens en bedrijfsgeheimen effectief beschermen. Als door een fout in de software, de implementatie hiervan of het werken met de software een kwetsbaarheid ontstaat waardoor een maatregel niet effectief is, dan wordt de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van gegevens bedreigt. CVD is een maatregel om de kwetsbaarheden die (buiten het bedrijf) zijn gesignaleerd te kennen onder eigen regie af te handelen. 

Steeds meer gebruik van IT-gedreven producten en diensten

Bedrijven maken meer en meer gebruik van IT-gedreven producten en diensten voor het ondersteunen van de bedrijfsprocessen waarmee de bedrijfsactiviteiten zijn georganiseerd. Het Europese ENISA – CVD, NCSC – CVD, OM – CVD, de Carnegie Mellon University en vele anderen zijn het eens dat software kwetsbaarheden bevatten die door personen worden ontdekt of niet. De meeste personen helpen mee de kwetsbaarheden op te lossen maar er zijn ook personen die de kwetsbaarheden misbruiken voor bijvoorbeeld chantage-praktijken (cybercriminelen).

De bedrijfsleiding wenst de kwetsbaarheden te kennen en vervolgens passende maatregelen te treffen om niet ten prooi te vallen aan cybercriminelen. De medewerkers wensen duidelijke instructies van het management welke procedure-stappen gevolgd moeten worden bij geconstateerde kwetsbaarheden in de IT-gedreven producten of diensten. Het organiseren van een CVD voorziet in de behoefte van de bedrijfsleiding, het management en de medewerkers.

Waarom biedt MYOBI de CVD-functionaliteit aan haar gebruikers?

Het vinden en bij een bedrijf melden van kwetsbaarheden in de software van IT-gedreven producten en diensten is een krachtige beheersmaatregel voor het bedrijf mits dit onder regie van het bedrijf gebeurt. Naar aanleiding van de melding coördineert het bedrijf het wegnemen van de kwetsbaarheid door het treffen van aanvullende en passende maatregelen. 

Veelal is het bedrijf voor het wegnemen van kwetsbaarheden aangewezen op haar leveranciers van IT-gedreven producten en diensten. De leveranciers moeten over de capaciteit beschikken wijzigingen door te voeren voor al haar klanten. Dat vraagt van de leverancier veel stuurmanskunst om de goede reputatie niet te beschadigen. De belangen van het bedrijf en leverancier lopen niet altijd synchroon. Deze belangentegenstelling is een motivatie van MYOBI haar rol van vertrouwde derde partij aan te bieden.

Voor het organiseren van een CVD zijn de waardeproposities en een businesscase nodig. De bedrijfsleiding moet kunnen begrijpen wat de kosten en opbrengsten zijn. MYOBI maakt het opstellen van deze documenten praktisch uitvoerbaar met een standaard uitwerking van de organisatie van een CVD, bewustwordings- en trainingsprogramma’s CVD, en een portfolio CVD met draaiboeken en contracttypen.

MYOBI levert CVD als onderdeel van het gebruik van het vertrouwensnetwerk. In de waardepropositie en de businesscase van het vertrouwensnetwerk hebben wij het organiseren van CVD meegenomen.

Wat kost een CVD?

CVD-dienstverlening is onderdeel van het vertrouwensnetwerk. In de contractportfolio data zorgt MYOBI voor contract- en draaiboekitems CVD. Bovendien staat het bewustwordings- en kennisprogramma CVD voor de gebruikers van het vertrouwensnetwerk open. 

MYOBI brengt de gebruiker van het vertrouwensnetwerk € 250 per kwetsbaarheid in rekening voor het authentiseren van de identiteit van de ethische hacker en het faciliteren van een veilige communicatie.

Hoe organiseer ik een CVD?

Registreer u op het vertrouwensnetwerk en volg het bewustwordings- en kennisprogramma CVD. Met behulp van het programma stelt u een plan van aanpak samen en zet de volgende stappen:

• Formuleer CVD beleid en plaats de CVD Verklaring op uw website. Voor ethical hackers is het belangrijk dat u gebruik maakt van de nationale en Engelse taal;
• Benoem de bedrijfscoördinator CVD en maak deze bekend in de organisatie;
• Richt met behulp van de portfolio data de draaiboeken- en contractitems de CVD-processen in; 
• Organiseer voor sleutelfunctionarissen bewustwordingsbijeenkomsten en bespreek de bedrijfsdoelen van een operationeel CVD;
• Evalueer de implementatie en start de communicatie.

Zie hier de whitepaper.

Ondersteuning implementatie

Een bedrijf kan de hulp inroepen van professionals van Duthler Associates voor het bedrijfsspecifiek maken van de contractportfolio data, verzorgen van bewustwordings- en trainingsprogramma’s en of het implementeren van de CVD.

De implementatie CVD houdt rekening met de verantwoordingsplicht van de bedrijfsleiding voor het organiseren van compliance met wettelijke en contractuele verplichtingen op het vlak van het beschermen van persoonsgegevens en desgewenst bedrijfsgeheimen. Het organiseren van het CVD kunnen wij beschouwen als een toets op het aangegeven volwassenheidsniveau door de bedrijfsleiding.

24/7 beschikbaar

Het komt voor dat een bedrijf onvoldoende capaciteit heeft om 24/7 tijdig op meldingen van kwetsbaarheden te reageren. Het bedrijf kan MYOBI Servicedesk inzetten tijdig op kwetsbaarheden te reageren.

CVD- coördinator

Kwetsbaarheden kunnen betrekking hebben op verschillende IT-systemen. Soms is het een medewerker van een afdeling die de kwetsbaarheid afwerkt en soms is er aanvullende kennis nodig. Juist in die situaties is het mogelijk een beroep te doen op professionals van Duthler Associates of IT-specialisten die bekend zijn op het vertrouwensnetwerk.