VKA is actief als kennispartner van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Het CIP is actief als samenwerkingplatform binnen de overheid. Een flink aantal (vooral uitvoerende) overheidorganisaties, adviesbureau’s en dienstverleners delen en ontwikkelen kennis op het gebied van informatiebeveiliging en privacybescherming.
Organisaties hebben nog onvoldoende vat op security, getuige de explosieve groei van incidenten. In de praktijk blijkt dat 75% van die incidenten hun oorzaak vinden in softwarefouten. Opdrachtgever en leverancier vinden het vaak moeilijk om goed af te stemmen over beveiliging in software. Welke eisen moet je stellen? Hoe maak je die op maat? Hoe blijf je daarover afstemmen met de leverancier? Hoe toets je de kwaliteit van de software? Wat doe je met risico’s die overblijven? Wat als er nieuwe bedreigingen zijn?
Binnen de CIP-samenwerking heeft een aantal organisaties de handen ineen geslagen om te komen tot een aanpak om de bovengenoemde problemen het hoofd te bieden. Dat heeft geresulteerd in de Methode “Grip op secure sofware development (SSD)”.
De SSD-methode beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. De drie pijlers daarbij zijn 1) standaard beveiligingseisen, 2) contactmomenten en 3) het inrichten van SSD-processen. Dat zijn processen voor onder meer het bijhouden van risico’s en standaard beveiligingseisen, evenals het doen groeien van de organisatie naar hogere volwassenheidsniveaus.
Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als security specialisten.
Je kunt hier de stukken vinden.