Training Coordinated Vulnerability Disclosure (CVD)

Coordinated Vulnerability Disclosure, CVD, is een krachtige en kostenefficiënte beheers- en beveiligingsmaatregel gericht op het in ontvangst nemen, analyseren en treffen van passende en aanvullende maatregelen van gedocumenteerde kwetsbaarheden in IT-producten en diensten alsmede de implementatie hiervan in de organisatie. Een CVD past binnen een gebruikelijke beheers- en beveiligingsstructuur (bijvoorbeeld Zero Trust), DevSecOps-cyclus, aankopen en managen van IT-producten en -diensten (bijvoorbeeld een leverancier komt haar wettelijke en contractuele verantwoordingsplicht na) en de verantwoordingscyclus van de bedrijfsleiding. Randvoorwaardelijk voor een effectieve werking van CVD is een voldoende kennisniveau bij de bedrijfsleiding, management en (interne en externe) medewerkers.

Docent: Caroline Willemse & André Biesheuvel

Vragen?

Neem gerust contact met ons op om uw behoefte met ons te bespreken.

Start

  • Op aanvraag

Duur

  • 4 uur

Investering

  • Op aanvraag

Het plaatsen van een verklaring CVD op de bedrijfswebsite is niet voldoende voor het effectief benutten van deze beheersmaatregel. Naast het inrichten van de CVD en opbouwen van het kennisniveau bij medewerkers en management is een verstandige aansturing nodig. Het treffen van voorbereidingen kan betrekking hebben op het maken van contractafspraken met leveranciers van IT-producten en -diensten over het toepassen van CVD, het opbouwen van een bestand aan vertrouwde ethische hackers die ingezet kunnen worden voor nieuwe releases van geïmplementeerde IT-producten en -diensten, het toepassen van een doordachte communicatiestrategie CVD, en of CVD integraal opnemen in de beveiligingsorganisatie van het bedrijf, in het bijzonder de beveiligingshygiëne.

Er zijn organisaties die een dergelijke CVD strategie uitvoeren. Wij denken aan een jaarlijkse uitnodiging aan ethische hackers de bedrijfssystemen aan te vallen (zie de CVD van de gemeente Den Haag en een NOS verslag).

Als onderzoekers; ethische hackers, daadwerkelijk kwetsbaarheden hebben ontdekt dan moeten de interne processen adequaat (dus goed en niet chaotisch) verlopen. Hiervoor is nodig dat de opgeleide CVD-coördinatoren “de sloepenrollen” goed uitvoeren en de samenhang zien met aanpalende zaken zoals het melden van incidenten en datalekken. De coördinatoren schatten de impact van de kwetsbaarheden in op de continuïteit van de bedrijfsactiviteiten en zorgen voor passende maatregelen die de aansprakelijkheids- en kostenrisico’s van kwetsbaarheden wegnemen.

Speciale aandacht is er voor het maken van afspraken met leveranciers van IT-producten en -diensten. Het biedt het bedrijf comfort als een leverancier ook een CVD heeft ingericht, geconstateerde kwetsbaarheden in de producten en diensten onmiddellijk worden weggewerkt en het testen en operationeel maken van de producten en diensten professioneel plaatsvindt. De keerzijde is dat, als een leverancier geen CVD plus actielijnen heeft ingericht, het bedrijf de kans loopt met een leverancier in een conflict te komen over het wegnemen van de kwetsbaarheden.

Met behulp van communicatie en marketing vestigt het bedrijf de aandacht van het beschikken over een georganiseerde CVD op zich. Voor partners van een bedrijf (bijvoorbeeld klanten en leveranciers) kan een CVD een argument zijn om zaken te doen en of het aangegeven volwassenheidsniveau te geloven. Het trekt ook de aandacht van ethische hackers de producten en de diensten te testen op kwetsbaarheden. De onderzoekers die gedocumenteerde kwetsbaarheden aan het bedrijf rapporteren zijn potentiële partners waarmee vervolgens zaken gedaan kunnen worden.

De workshops, die ondersteund worden met trainingen op de bedrijfsspecifieke leeromgevingen, zijn gericht op het organiseren van een effectieve CVD en worden verzorgd door professionals van Duthler Associates. Het doel is het opbouwen of verbeteren van de CVD en verankeren van de CVD-processen in de bedrijfsvoering.

De workshop is bedoeld voor medewerkers die verantwoordelijk worden voor een effectieve organisatie van CVD. Het bestaat uit twee delen:

  1. Achtergrondinformatie voor het programma trainen van CVD professionals. Professionals van Duthler Associates houden de programma’s in de bedrijfsspecifieke leeromgeving actueel voor organisatorische, juridische en technische ontwikkelingen; en
  2. Het voorbereiden, het verzorgen en het bespreken van de uitkomsten van de workshop met de sleutelfunctionarissen, management en de bedrijfsleiding.

Bedrijven vragen aandacht voor specifieke onderwerpen. Op afroep is het mogelijk dat de workshop bedrijfsspecifiek wordt gemaakt.

In de workshop (een dagdeel) worden de volgende onderwerpen besproken:

  • Korte inleiding actualiteiten CVD (met name ENISA en rapporten over cybercriminelen);
  • Rollen, taken, bevoegdheden en verantwoordelijkheden in algemene zin en toegepast voor de bedrijfsorganisatie. Korte beschrijving van de interne en externe rollen die nodig zijn voor een effectieve CVD;
  • Organiseren van de voorbereiding, implementatie en beheer van de CVD-bedrijfsprocessen. Hierbij komen ook de partners in scope: leveranciers van IT-producten en -diensten, onderzoekers (ethische hackers) en beroep doen op externe professionals;
  • Organiseren van de bedrijfsjuridische functie CVD;
  • Organiseren van communicatie en marketing CVD;
  • Organiseren bewustwording CVD, sloepenrollen en blijvend aandacht vragen voor CVD; en
  • Vastleggen van kwetsbaarheden, analyse van de impact en passende maatregelen wegnemen van kwetsbaarheden. Op basis van deze vastleggingen voor bedrijfsleiding en het management operationele rapportages samenstellen waaruit ook de toegevoegde waarde blijkt.

Als het gaat om een “inhouse” workshop geeft het bedrijf aan wie de deelnemers zijn aan de workshop.

Hoe kan ik mij aanmelden?

Na aanmelding krijgt u direct toegang tot de cursus in onze leeromgeving. De totale kosten voor de module bedragen €500, – (exclusief btw en per persoon).

Deelnemers van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) en de The Hague Security Delta krijgen 15% korting op het volledige opleidingsaanbod. Neem contact op met onze servicedesk.

Particulieren en overheidsinstellingen zijn vrijgesteld van BTW.

Heeft u vragen of behoefte aan een afspraak?

Op de agenda van de bedrijfsleiding blijft maar kennis- en verandermanagement staan en elk jaar blijkt dat er eigenlijk niet veel is gebeurd. Neem gerust contact met ons op via +31 (0) 70 392 22 09 of servicedesk@duthleracademy.nl. Maak een afspraak met één van onze opleidingsadviseurs.