Continue inzet op bewustwording, organisatie en techniek is nodig om veilig te kunnen blijven werken. Van beheerder tot bestuurder en van onderzoeker tot student: iedereen speelt een rol in het veilig kunnen blijven studeren, werken en onderzoeken.
Beveiligingscommunity's: samen werken aan beveiliging en privacy
Over SCIPR
Informatiebeveiligers en privacy officers in het onderwijs werken samen in SCIPR (SURF Community voor Informatiebeveiliging en PRivacy). We stellen daar met elkaar onder andere beleid en leidraden op om de informatiebeveiliging en privacy van jouw instelling te verbeteren.
In de SCIPR-community werken we samen aan het verbeteren van professionele informatiebeveiliging en privacy. Wij zijn een community of practice en helpen je informatiebeveiliging verder te professionaliseren door:
- gemeenschappelijk kennis te verbeteren
- beleid en procedures over informatiebeveiliging te ontwikkelen
- beleid, procedures en best practices via leidraden beschikbaar te stellen
- mee te werken aan de ontwikkeling van SURFaudit. Dit is het meetinstrument voor het Normenkader Informatiebeveiliging HO
- mee te werken aan de ontwikkeling van leidraden en adviezen die je helpen om aan de veranderende privacywetgeving te voldoen
Leidraden en starterkits
We hebben verschillende best practices vastgelegd in modellen, leidraden en starterkits.
Wil je lid worden van SCIPR? Stuur dan een mail naar lidmaatschap@scipr.nl.
Contactpersonen
- voorzitter SCIPR: Anita Polderdijk (Hogeschool Windesheim)
- secretaris SCIPR: Menno Nonhebel (KNAW)
Over SCIRT
Operationele security-experts bespreken in SCIRT actuele security-uitdagingen en wisselen de laatste tips & trucs uit met vakgenoten. Het doel is het algehele kennis- en ervaringsniveau binnen onderwijs en onderzoek naar een hoger niveau te tillen.
We wisselen op verschillende manieren kennis met elkaar uit:
- digitaal, bijvoorbeeld via e-mail, een eigen wiki en secure messaging
- op bijeenkomsten waar je elkaar leert kennen en op een laagdrempelige en vertrouwde manier kennis uitwisselt
- tijdens workshops, bijvoorbeeld op het vlak van nieuwe cybersecurity-technieken of -tools
- op de jaarlijkse tweedaagse Security- en Privacyconferentie. Deze organiseren SCIRT, de SCIPR-community en SURFcert gezamenlijk.
De bijeenkomsten en workshops worden minimaal 3 keer per jaar georganiseerd.
Hoe vertrouwelijk is een de informatie? Zeg het met kleuren
Het Traffic Light Protocol (TLP) is een eenvoudig protocol dat door cybersecurityprofessionals wordt gebruikt om met kleuren aan te geven hoe vertrouwelijk een specifieke informatieuitwisseling is. Iedereen weet dan vervolgens hoe die informatie behandeld moet worden. Het is cruciaal dat iedereen binnen de community dezelfde betekenis hecht aan de 4 TLP-kleuren: TLP:RED, TLP:AMBER, TLP:GREEN en TLP:WHITE.
Betekenis van de TLP-kleuren
Een basisprincipes van het gebruik van TLP is dat alleen de verstrekker van informatie de "baas" is over wat de ontvangers ermee mogen doen. Ontvangers die twijfelen of breder willen verspreiden, moeten dus altijd eerst toestemming vragen aan de verstrekker.
TLP:RED
- "For your eyes and ears only"
- De informatie wordt uitgewisseld op strikt vertrouwelijke basis en is alleen bedoeld voor de rechtstreekse ontvangers ervan.
- De ontvanger mag TLP:RED-informatie niet verder verspreiden.
- Alleen de verstrekker van de informatie kan bepalen wanneer, en onder welke voorwaarden, de informatie verder verspreid kan worden.
TLP:AMBER
- De informatie wordt uitgewisseld op vertrouwelijke basis en is bedoeld voor de ontvangers ervan, maar deze mogen dit ook delen met collega's binnen de eigen organisatie als daar een goede reden voor is (need to know), bijvoorbeeld om een beveiligingsprobleem te kunnen oplossen.
- Een ontvanger van TLP:AMBER-informatie die deze doorgeeft aan collega’s, moet aan deze collega’s uitleggen dat zij de informatie niet verder mogen verspreiden (in feite wordt de informatie voor hen dan TLP:RED).
TLP:GREEN
- De informatie is niet publiek maar mag wel, in redelijkheid, worden gedeeld binnen de eigen community.
- TLP:GREEN-informatie mag dus bijvoorbeeld gedeeld worden binnen de eigen instelling, zolang het niet publiek wordt.
TLP:WHITE
- Dit is in beginsel publieke informatie die vrij gedeeld mag worden.
- Let wel, oorspronkelijke rechten en plichten, zoals auteursrechten, blijven natuurlijk van toepassing.
Lid worden van SCIRT kan alleen met een e-mailadres van een bij SURF aangesloten instelling en als je werkt als een operationeel security-expert. Omdat er regelmatig gevoelige informatie gedeeld wordt binnen de SCIRT-community, hebben we een code of conduct en een aanmeldingsprocedure. Heb je belangstelling, dan informeren we je hier graag verder over. Stuur een e-mail naar: lidmaatschap@scirt.nl .
Organisatie van de SCIRT-community
De huidige, gekozen voorzitter is Ewald Beekman (voorzitter@scirt.nl), hij is IT Security Officer bij het Amsterdam UMC. Don Stikvoort (secretaris@scirt.nl) is de secretaris. Rogier Spoor (surf@scirt.nl) begeleidt en ondersteunt de SCIRT-community vanuit SURF.
Een programmagroep bereidt de inhoudelijke programma-onderdelen voor. Deze bestaat uit:
- Ewald Beekman - Amsterdam UMC
- Bauke Gehem - Summa College
- Lars Hameeteman - ErasmusMC
- Remon Klein Tank - WUR
- Rogier Spoor - SURF
- Don Stikvoort - Open CSIRT Foundation (extern)