Handleiding: de implementatie van Responsible Disclosure

Het voeren van een responsible disclosure beleid kan grote impact hebben op jouw bedrijfsvoering. Het is daarom van belang dat je de invulling van het responsible disclosure beleid en de procedure zorgvuldig afweegt. In deze handleiding geven we je handvaten hoe je dit het best kunt implementeren.

medewerkers zitten aan een picknicktafel

Modelbeleid

Voor alle hogeronderwijsinstellingen hebben we dit responsible disclosure modelbeleid en een operationele procedure opgesteld. Deze handleiding is ontwikkeld als handvat voor een goede invulling van het beleid en de aanpak.

Voor wie?

Deze implementatiehandleiding is bestemd iedereen die verantwoordelijk is voor het formuleren van het informatiebeveiligingsbeleid van een instelling. Deze implementatiehandleiding is een middel om te komen tot een goede invulling van het responsible disclosure beleid. 

Waarom?

Er zijn voorbeelden uit de praktijk bekend waar een ongewenst resultaat het gevolg is van een slecht opgesteld beleid en aanpak. Een niet goed geformuleerde beloningsstructuur kan er bijvoorbeeld toe leiden dat er mensen worden aangetrokken die met grote regelmaat een melding doen met als reden zo veel mogelijk beloningen te innen. Ook kunnen spelregels die de eisen van openbaarmaking niet goed beschrijven, grote irritatie opwekken. Bijvoorbeeld bij een melder van een kwetsbaarheid die zijn bevindingen wil presenteren op een beveiligingsconferentie. Dat wil je natuurlijk het liefst voorkomen.

Doel

Het doel van responsible disclosure omvat het volgende: 

  • garanderen dat de geïdentificeerde kwetsbaarheid geadresseerd wordt
  • het verkleinen van het risico die ontstaan zijn door de kwetsbaarheid
  • gebruikers voorzien van voldoende informatie om de risico’s te bepalen die ontstaan zijn door de kwetsbaarheid op hun systemen
  • het vaststellen van de verwachtingen om te komen tot een positieve communicatie en coördinatie tussen de betrokkenen