Centric partner van CIP en ondertekent SSD manifest
Centric heeft zich aangesloten als kennispartner van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Ook heeft het ICT-bureau het manifest Grip op Secure Software Development (SSD) ondertekend. Hiermee onderschrijft Centric de SSD Beveiligingseisen en SSD Methodiek voor de ontwikkeling van veilige software voor de overheid.
Het CIP ondersteunt organisaties bij het borgen van informatiebeveiliging en privacy. De instelling, opgericht door vier grote uitvoeringsorganisaties (Belastingdienst, DUO, SVB en UWV), bestaat inmiddels uit een groot aantal overheidsorganisaties en kennispartners. Belangrijkste doelstelling van het CIP is het zorgdragen voor “maximale bescherming” van informatiesystemen tegen alle vormen van gegevens-misbruik en datalekken. Naast onzorgvuldig gedrag bij mensen zelf, is de veiligheid van de software binnen IT-systemen een belangrijke oorzaak voor datalekken. Zo concludeerde het CIP eerder dit jaar uit praktijkcases dat omstreeks driekwart van de security-incidenten door fouten in software wordt veroorzaakt.
Veilige software is dan ook van groot belang voor het beschermen van (persoons)gegevens van burgers en bedrijven. Het CIP heeft daarom in samenwerking tussen overheidsorganisaties en marktorganisaties het proces en normenkader ‘Grip op Secure Software Development’ (SSD) ontwikkeld*. SSD beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van veilige software en ook hoe een IT-leverancier hieraan kan voldoen. De drie pijlers daarbij zijn standaard beveiligingseisen, contactmomenten en het inrichten van de juiste processen. Deze processen zijn onder meer het bijhouden van risico’s, standaard-beveiligingseisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus.
Tot op heden was het manifest ondertekend door zeventien partijen, waaronder Capgemini, Deloitte, Ordina, Sogeti en Supply Value, en daar is onlangs een 18de partij aan toegevoegd: Centric. Door ondertekening van het manifest geeft Centric aan de methode en het normenkader waar mogelijk toe te passen binnen de organisatie. “Klanten moeten kunnen vertrouwen op de integriteit, beschikbaarheid en vertrouwelijkheid van de gegevens en diensten die zij gebruiken,” zegt Freddie Veltmaat, Chief Technology Officer van Centric. Vaste richtlijnen zijn hierbij niet altijd te geven, onder meer omdat gepaste veiligheidsmaatregelen per situatie verschillen. Veltmaat: “Het is daarom belangrijk om met gebruikers van gedachten te wisselen. Grip op SSD biedt hiervoor het juiste kader.”
Noor Ferket, directeur van Centric Public Sector Solutions, voegt toe: “Veel van onze klanten vragen ons naar de maatregelen die wij nemen voor onze software. Wij hechten veel waarde aan openheid en geven graag rekenschap van wat we doen. De methode Grip op SSD biedt een goed raamwerk om hierover in gesprek te gaan en de beveiligingseisen, processen en contactmomenten vast te leggen.” Als kennispartner zal Centric bovendien een actieve bijdrage leveren aan de verdere professionalisering van SSD – zo gaan professionals van het bureau uit Gouda deelnemen aan werkgroepen als Requirements voor mobiele applicaties en Testen.
V.l.n.r. Freddie Veltmaat, Ad Reuijl en Noor Ferket.
Ad Reuijl, directeur van het CIP, laat in een reactie weten “erg blij te zijn met de toetreding van Centric”, waaraan hij toevoegt “Veel overheidsinstellingen zijn klant en in die sector spelen veel risico’s. Kleinere gemeentes hebben vaak onvoldoende mankracht om de juiste maatregelen te treffen. Des te belangrijker dat een partij als Centric met ons in zee gaat en haar kennis deelt.”
* Aan de ontwikkeling van SSD hebben vele overheidsinstanties en marktpartijen bijgedragen. SSD is openbaar en wordt onderhouden en geactualiseerd door een ‘Practitioners Community’.