Inhouse trainingen voor CVD-professionals

1.499 exclusief btw

Coordinated Vulnerability Disclosure, CVD, is een krachtige en kostenefficiënte beheers- en beveiligingsmaatregel gericht op het in ontvangst nemen, analyseren en treffen van passende en aanvullende maatregelen van gedocumenteerde kwetsbaarheden in IT-producten en diensten alsmede de implementatie hiervan in de organisatie. Een CVD past binnen een gebruikelijke beheers- en beveiligingsstructuur (bijvoorbeeld Zero Trust), DevSecOps-cyclus, aankopen en managen van IT-producten en -diensten (bijvoorbeeld een leverancier komt haar wettelijke en contractuele verantwoordingsplicht na) en de verantwoordingscyclus van de bedrijfsleiding. Randvoorwaardelijk voor een effectieve werking van CVD is een voldoende kennisniveau bij de bedrijfsleiding, management en (interne en externe) medewerkers.

Categorie:

Het plaatsen van een verklaring CVD op de bedrijfswebsite is niet voldoende voor het effectief benutten van deze beheersmaatregel. Naast het inrichten van de CVD en opbouwen van het kennisniveau bij medewerkers en management is een verstandige aansturing nodig. Het treffen van voorbereidingen kan betrekking hebben op het maken van contractafspraken met leveranciers van IT-producten en -diensten over het toepassen van CVD, het opbouwen van een bestand aan vertrouwde ethische hackers die ingezet kunnen worden voor nieuwe releases van geïmplementeerde IT-producten en -diensten, het toepassen van een doordachte communicatiestrategie CVD, en of CVD integraal opnemen in de beveiligingsorganisatie van het bedrijf, in het bijzonder de beveiligingshygiëne.

Er zijn organisatie die een dergelijke CVD strategie uitvoeren. Wij denken aan een jaarlijkse uitnodiging aan ethische hackers de bedrijfssystemen aan te vallen (zie de CVD van de gemeente Den Haag en een NOS verslag).

Als onderzoekers; ethische hackers, daadwerkelijk kwetsbaarheden hebben ontdekt dan moeten de interne processen adequaat (dus goed en niet chaotisch) verlopen. Hiervoor is nodig dat de opgeleide CVD-coördinatoren “de sloepenrollen” goed uitvoeren en de samenhang zien met aanpalende zaken zoals het melden van incidenten en datalekken. De coördinatoren schatten de impact van de kwetsbaarheden in op de continuïteit van de bedrijfsactiviteiten en zorgen voor passende maatregelen die de aansprakelijkheids- en kostenrisico’s van kwetsbaarheden wegnemen.

Speciale aandacht is er voor het maken van afspraken met leveranciers van IT-producten en -diensten. Het biedt het bedrijf comfort als een leverancier ook een CVD heeft ingericht, geconstateerde kwetsbaarheden in de producten en diensten onmiddellijk worden weggewerkt en het testen en operationeel maken van de producten en diensten professioneel plaatsvindt. De keerzijde is dat, als een leverancier geen CVD plus actielijnen heeft ingericht, het bedrijf de kans loopt met een leverancier in een conflict te komen over het wegnemen van de kwetsbaarheden.

Met behulp van communicatie en marketing vestigt het bedrijf de aandacht van het beschikken over een georganiseerde CVD op zich. Voor partners van een bedrijf (bijvoorbeeld klanten en leveranciers) kan een CVD een argument zijn om zaken te doen en of het aangegeven volwassenheidsniveau te geloven. Het trekt ook de aandacht van ethische hackers de producten en de diensten te testen op kwetsbaarheden. De onderzoekers die gedocumenteerde kwetsbaarheden aan het bedrijf rapporteren zijn potentiële partners waarmee vervolgens zaken gedaan kan worden.

De workshops, die ondersteund worden met trainingen op de bedrijfsspecifieke leeromgevingen, zijn gericht op het organiseren van een effectieve CVD en worden verzorgd door professionals van Duthler Associates. Het doel is het opbouwen of verbeteren van de CVD en verankeren van de CVD-processen in de bedrijfsvoering.

Inhoud

De workshop is bedoeld voor medewerkers die verantwoordelijk worden voor een effectieve organisatie van CVD. Het bestaat uit twee delen:

  1. Achtergrond informatie voor het programma trainen van CVD professionals. Professionals van Duthler Associates houden de programma’s in de bedrijfsspecifieke leeromgeving actueel voor organisatorische, juridische en technische ontwikkelingen; en
  2. Het voorbereiden, het verzorgen en het bespreken van de uitkomsten van de workshop met de sleutelfunctionarissen, management en de bedrijfsleiding.

Bedrijven vragen aandacht voor specifieke onderwerpen. Op afroep is het mogelijk dat de workshop bedrijfsspecifiek wordt gemaakt.

In de workshop (een dagdeel) worden de volgende onderwerpen besproken:

  • Korte inleiding actualiteiten CVD (met name ENISA en rapporten over cybercriminelen);
  • Rollen, taken, bevoegdheden en verantwoordelijkheden in algemene zin en toegepast voor de bedrijfsorganisatie. Korte beschrijving van de interne en externe rollen die nodig zijn voor een effectieve CVD;
  • Organiseren van de voorbereiding, implementatie en beheer van de CVD-bedrijfsprocessen. Hierbij komen ook de partners in scope: leveranciers van IT-producten en -diensten, onderzoekers (ethische hackers) en beroep doen op externe professionals;
  • Organiseren van de bedrijfsjuridische functie CVD;
  • Organiseren van communicatie en marketing CVD;
  • Organiseren bewustwording CVD, sloepenrollen en blijvend aandacht vragen voor CVD; en
  • Vastleggen van kwetsbaarheden, analyse van de impact en passende maatregelen wegnemen van kwetsbaarheden. Op basis van deze vastleggingen voor bedrijfsleiding en het management operationele rapportages samenstellen waaruit ook de toegevoegde waarde blijkt.

Als het gaat om een “inhouse” workshop geeft het bedrijf aan wie de deelnemers zijn aan de workshop.

Investering

De sleutelfunctionarissen doorlopen de “inhouse” workshop CVD. Met name coördinatoren CVD trekken samen op en delen ervaringen uit. Deze coördinatoren zullen verantwoordelijk zijn voor het handhaven van het kennisniveau bij medewerkers in de organisatie

Periodiek, tweemaal per jaar, komen de sleutelfunctionarissen samen en doorlopen een workshop training CVD professionals. De organisatie van de workshop kan uiteindelijk heel in handen liggen van interne coördinatoren CVD waarbij professionals onderdelen voor hun rekening nemen.

Kenmerken:

  • Doelgroep: management en medewerkers;
  • Doel: effectieve CVD organisatie;
  • Voorbereiding: de professional verkent de groep van deelnemers, verzoekt om casusbeschrijvingen, verzorgt en beheert een programma in de bedrijfsspecifieke leeromgeving;
  • Toetsvragen aan medewerkers: ja;
  • Rapportage: verslag van de workshop dat gebruikt kan worden als een blog op de website; en
  • Financiering een “inhouse” workshop inclusief intake, de voorbereidingen en het verzorgen van de workshop € 1.499 excl. BTW.