Government & Public Sector

  • Share

Werk in uitvoering: ICT-beveiligingsassessments DigiD

Beveiliging van informatie staat in de schijnwerpers. Distributed Denial of Service aanvallen op Nederlandse organisaties beheersten de afgelopen periode het nieuws, maar in de periode daarvoor stonden DigiNotar en DigiD al op de voorpagina’s van kranten in verband met problemen in de beveiliging.

Als reactie op deze incidenten zijn begin 2012 de ICT-Beveiligingsrichtlijnen voor webapplicaties beschikbaar gekomen. De richtlijnen bieden organisaties een leidraad voor het toepassen van bewezen maatregelen gericht op het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en diensten.

De maatregelen die worden aangereikt zijn mede tot stand gekomen aan de hand van best practices van het Nationaal Cyber Security Centrum (NCSC) in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten, en marktpartijen als EY.

Door Logius wordt een afgeleide van de norm gehanteerd voor de beveiliging van de DigiD-koppelingen in Nederland. De norm is bedoeld voor organisaties die gebruikmaken van koppelingen die worden beveiligd met het DigiD authenticatiemechanisme. Per eind 2013 moeten de beveiligingsassessments zijn uitgevoerd.

Wij helpen vele van onze cliënten bij het uitvoeren van de beveiligingsassessments. Onze expertise op het gebied van de lokale overheidsmarkt helpt ons organisaties op een pragmatische wijze te beoordelen tegen de norm van Logius.

We zijn echter ook een partij met kwaliteit hoog in het vaandel, en kijken dan ook scherp naar de verantwoordelijkheid die u heeft op het gebied van beveiliging. Op deze manier helpen wij uw organisatie een stap te zetten op het gebied van professionaliteit.

Onze aanpak kenmerkt zich door:

  • Betrokkenheid bij het opstellen van het normenkader; dit zorgt ervoor dat wij de achtergrond ervan volledig in beeld hebben.
  • Deelname aan de impactanalyse die door KING is georganiseerd; dit maakt dat wij de do’s en don’ts in beeld hebben. Wij zullen u dus geen maatregelen laten treffen die niet noodzakelijk zijn bevonden tijdens de impactanalyse.
  • Centrale aansturing van DigiD beveiligingsassessments, waardoor kennis en ervaring met andere cliënten direct terugvloeit naar u.
  • Technische kennis. Wij hebben de expertise om zowel de audit als de penetratietest uit te voeren. Onze auditors zijn ruim voldoende technisch onderlegd om samen met u de risico’s te bespreken van uw webapplicaties. Wij helpen u maatregelen te implementeren die werkbaar zijn.

Wij kunnen u helpen een actieplan op te stellen om de beveiliging in lijn te brengen met de eisen in de norm van Logius.

De belangrijkste bevindingen op dit moment liggen op het gebied van aantoonbaarheid van de maatregelen die zijn getroffen door de organisatie. Organisaties die zelf een groot deel van het beheer van de DigiD functionaliteit uitvoeren moeten echter ook nog vaak veel maatregelen inrichten, wat leidt tot forse investeringen in geld, tijd en mankracht. Ons advies is dan ook om op zeer korte termijn de inventarisaties af te ronden, zodat een actieplan voor de organisatie ontstaat op basis waarvan u tijdig stappen kunt ondernemen om de aansluiting bij de norm te zoeken.

Onze ervaring is dat het oplossen van de bevindingen uit de initiële inventarisatie, afhankelijk van het aantal van toepassing zijnde maatregelen, de nodige tijd in beslag neemt. Wij adviseren u dan ook tijdig aan de slag te gaan met de norm ICT-beveiligingsassessments DigiD waardoor werk in uitvoering voor u snel werk in afronding mag worden. Nadat de noodzakelijke aanpassingen zijn doorgevoerd, kunt u het beveiligingsassessment uit laten voeren, zodat u uw compliance aan Logius kunt aantonen.

Mocht u geïnteresseerd zijn in onze aanpak, neem dan gerust vrijblijvend contact op met Ad Buckens (06 - 2125 2803).

Connect with us

Blijf verbonden met ons via social media, e-mail alerts of webcasts. Of download onze EY Insights app voor mobiele apparaten.