Hulp bij informatiebeveiliging
Wordt er steeds meer van je verwacht op het vlak van informatiebeveiliging & privacy?
Herken je door de bomen het bos niet meer en ben je op zoek naar hulp?
Zijn wetten & open standaarden te wollig en complex om verantwoordelijkheid te kunnen nemen?
Heb je moeite met het opstellen van passend beleid?
Zoeken specialisten en/of leveranciers naar duidelijkere doelen?
Is een certificering (ISO27001) of nieuwe wettelijke verplichting (NIS2, CRA) onduidelijk?
Zoek je iemand die als brug kan fungeren tussen koers en uitvoering?
Code403 kan je helpen, neem contact op voor een vrijblijvend oriëntatiegesprek.
Weg met teflonschouders, start met het nemen van (eind)verantwoordelijkheid!
Diensten
Code403 kan meerdere diensten aanbieden binnen informatiebeveiliging en bij privacy vraagstukken, bijvoorbeeld:
- Tijdelijke inhuur Information Security Officer (ISO/CISO/TISO).
- Tijdelijke inhuur Privacy Officer (PO).
- Opstellen beleid en interne standaarden.
- Verbetertrajecten, bijvoorbeeld basis-op-orde, vulnerability scanning, implementatie SOC/SIEM.
- Implementatietrajecten, ten behoeve van bijvoorbeeld ISO27001, ISO27002, CISv8, NIS2.
- Verhogen efficiëntie SOC of securityteam, op basis van Agile Kanban.
- Adviezen en volwassenheidsmeting op basis van de CISv8.
- Incident readiness, weet wat je moet regelen als het onverhoopt fout gaat.
- Implementatie en/of beheer van een Information Security Management Systeem (ISMS).
- Assessement van risico's en/of architectuur designs *1.
De focus ligt op organisaties binnen Midden- en Oost-Gelderland (Arnhem, Doetinchem, Zutphen, Apeldoorn). Wanneer de samenwerking hybride kan plaatsvinden, zijn er natuurlijk afwijkende afspraken te maken.
Vanuit de Wet "Deregulering Beoordeling Arbeidsrelatie (DBA)" moet schijnzelfstandigheid worden voorkomen. Hierdoor bestaat er een beperkte inzet aan uren per klant per jaar.
*1 Er worden geen assessments aangeboden in de vorm van penetratietesten (pentesten).
Zoekt u een pentestpartij dan kunnen we u doorverwijzen naar bedrijven, waar Code403 bekend is met een goede kwaliteit van leveren.
Security & Privacy
Informatiebeveiliging
Onze web- en mailservers moeten voldoen aan basisbeveiligingseisen, zoals beschreven door:
- Internet Cleanup Foundation;
- Basisbeveiliging.nl;
- Mozilla Observatory;
- Internet.nl;
- Pas-toe-of-leg-uit;
- SSLLabs.
Vind je alsnog een kwetsbaarheid, meld deze dan via de contactpagina.
Dan starten we samen het Coordinated Vulnerability Disclosure (CVD) proces.
Zaken die niet hoeven te worden gemeld, zijn vastgelegd in een out-of-scope document.
Voor serieuze meldingen mag je binnen 3 werkdagen een reactie van ons verwachten.
Wanneer je ethisch handelt, hangen er geen gevolgen aan de hack.
We vragen je wel om ons respectievelijk 30 of 90 dagen te geven voor een soft- dan wel hardwarematig probleem, voordat je informatie publiekelijk beschikbaar maakt.
Bij een bevestigde kwetsbaarheid kan je worden opgenomen in de Hall of Fame.
Persoonsgegevens
Privacy is een grondrecht en geen verdienmodel.
Gemak en winst zijn hierbij geen geldige grondslagen.
We verwerken daarom alleen persoonsgegevens, wanneer dit proportioneel is aan het doel en er geen andere mogelijkheden zijn.
Er worden op deze website daarom geen:
- Persoonsgegevens opgeslagen;
- Dataverwerkingen gedaan door derden;
- Plug-ins van derden ingezet;
- Derde-partijen ingezet voor dataopslag;
- Cookies ingezet;
- Trackers ingezet;
- Onnodige (java)scripts ingezet.
Tip: Bovenstaande maatregelen om jouw gegevens te beschermen, gelden helaas niet als standaard voor (algemene) websites. Bekijk eens je eigen website en zoek uit hoe het daar is ingeregeld.
Kudo's
Deze website zou niet bestaan zonder een aantal opensource projecten en/of gratis diensten. Deze diensten kunnen extra naamsbekendheid gebruiken, hierdoor dank aan:
- Visual Studio Code voor makkelijk kunnen coderen.
- Apache als webserver.
- Ubuntu als server OS.
- LetsEncrypt voor de publieke certificaten.
- Acme.sh voor het automatiseren van delen van de certificaat aanvraag.
- W3schools voor coding conventies en website voorbeelden.
- Mozilla Observatory voor het testen van de websites.
- Internet.nl voor het testen van de websites en mailservers.
- SSLLabs voor het testen van de TLS instellingen.
- MxToolbox voor het testen van de website.
- BIMI inspector voor het testen van de BIMI instellingen.
- Png2Svg voor het maken van een CSP-compatible (clean) BIMI SVG plaatje.
- ITfoundry voor het aanbieden van een mooi fonttype.
- FontAwesome voor het aanbieden van een websymbolen.
- Achecks voor het controleren van accessibility conform WCAG.
- DKIMValidator voor het testen van je DKIM header in verzonden e-mails.
- Basisbeveiliging voor het continue testen van de website.
Een speciale dank voor vrienden als Elzzbeth, Paul, Dennis, Rutger en Felix voor het leveren van feedback en adviezen.
Tip: Denk eens aan welke opensource projecten worden gebruikt binnen je eigen organisatie. Doneer, draag bij aan de naamsbekendheid of help in de doorontwikkeling om dit soort mooie initiatieven in stand te houden.
Missie, Visie en Doelstellingen
Missie
De missie van Code403 is om Nederland een stukje veilig te maken door organisaties te helpen, die bewust zijn van hun verantwoordelijkheden en stappen willen maken. Dit gebeurt niet door dure oplossingen naar binnen te kruien of een groep mensen te detacheren. Ook zijn outsourcing & outtasking geen standaardoplossingen voor een probleem, wanneer je zelf eindverantwoordelijk blijft. Code403 leert bij voorkeur iemand vissen, zodat deze zelf zijn/haar eten kan vangen, zonder te afhankelijk te worden van een derde-partij. Waarbij we samenwerken om organisaties van volwassenheidsniveau 1 naar 3 te laten groeien.
Code403 is geen uniek bedrijf en er zijn meer bedrijven die op hun eigen manier een vergelijkbaar product leveren.
Echter de nuchtere en praktische aanpak, gecombineerd met de kennis van beleid tot en met implementatie, maakt Code403 een goede partner om problemen mee aan te pakken.
Visie
Iedere organisatie zal de eigen (basis)beveiliging op orde moet hebben. Afhankelijk van de belangen van de organisatie zullen er extra stappen moeten worden genomen, om informatiebeveiliging op een voldoende niveau te krijgen. Echter elke organisatie heeft zijn eigen belangen, processen, dreigingen, risico's en uitdagingen. Daarom werkt niet elke "standaard" oplossing en is er meestal maatwerk nodig. Daarnaast worden er regelmatig dure en complexe oplossingen naar binnen gehaald, die risico's niet of nauwelijks wegnemen en alleen maar meer problemen veroorzaken. Dit kost frustratie bij alle betrokkenen en moet worden voorkomen.
Code403 gelooft erin dat je als organisatie eindverantwoordelijkheid moet nemen en een parallel traject zou moeten starten:
- Het oppakken van quick-wins, meestal op het vlak van basishygiene en problemen die al binnen de operationele teams bekend zijn (het brandjes blussen).
- De koninklijke weg waarin je vanuit het management eerst gaat kijken naar je medewerkers en actuele dreigingen.
Hieruit destileer je reële risico's en maatregelen, die je gezamenlijk gaat analyseren en verbeteren (de oorzaak aanpakken).
Op de voortgang dient goede rapportage ingericht te worden en sturing plaats te vinden. Bij voorkeur wordt hiervoor een interne medewerker uit het topmanagement aangesteld als exective sponsor en eindverantwoordelijk gehouden voor de informatiebeveiliging. Daarnaast wordt een (interne) medewerker aangesteld als 2e-lijns beleidmaker, de Chief Information Security Officer (CISO). Deze persoon draagt de interne verantwoordelijkheid om het beleid op te stellen en krijgt het mandaat om het beleid te laten implementeren door het 1e-lijns management. De operationele specialisten uit de 1e-lijn worden in staat gesteld het beleid uit te voeren. Bij voorkeur is er een 3e-lijn die de effectiviteit van het beleid en de implementatie toetst. Al deze personen kunnen worden ondersteund en begeleid vanuit Code403.
Een goed fundament is de basis van iets moois.
Code403 gelooft in een gestructureerde documentatie en werkwijze.
Er wordt bij voorkeur een wiki-achtige oplossing gebruikt, die goed de relaties tussen bronnen en oplossingen kan weergeven en bruikbaar is binnen management en operationele teams.
Daarnaast moeten risico's zichtbaar en klein worden gemaakt.
Hierbij wordt een risico opgeknipt in haalbare doelen, die bij voorkeur volgens een planmatige methode worden aangepakt.
Hierdoor kan je makkelijker meters maken en je successen met het gehele team vieren.
Het helpt ook mee in het zichtbaar maken van verbetering richting stakeholders en maakt de benodigde investering beter inzichtelijk.
Doelstellingen
Wil je binnen je organisatie informatiebeveiliging aanpakken, dan kunnen we samen aan de volgende doelen gaan werken:
- Is er structuur in het oerwoud van in- en externe stakeholdereisen, wensen & verwachtingen?
- Zijn de rollen & verantwoordelijkheden binnen de top-, management- en operationele lagen duidelijk beschreven en belegd?
- Is duidelijk welke dreigingen reëel zijn voor de organisatie (wie willen, om welke reden schade aanbrengen)?
- Zijn risico's bekend en formeel belegd voor de belangrijkste bedrijfsprocessen en stakeholders (wat is echt belangrijk voor de organisatie)?
- Zijn alle eisen, wensen en verwachtingen vertaald naar concreet, bruikbaar en goedgekeurd strategisch beleid.
- Zijn strategische keuzes vertaald naar operationeel beleid & interne standaarden?
- Zijn de operationeel specialisten betrokken en geholpen met het omzetten van het beleid en de standaarden naar processen & procedures?
- Zijn operationeel specialisten getraind in het zelf kunnen vaststellen van de werking van maatregelen?
- Is informatiebeveiliging onderdeel geworden van de dagelijkse werkzaamheden en terugkerend van aard?
- Is voor auditors en externe controleurs duidelijk hoe de opzet, bestaan & werking zijn geborgd?
Code403 zegt niet alleen tegen een ander wat er moet gebeuren, maar neemt als securitybedrijf ook een voorbeeldfunctie in.
Informatiebeveiliging maakt onderdeel uit van het DNA.
Je kunt dit bijvoorbeeld zien aan de publiekelijk beschikbare systemen, die goed scoren bij online security scanners.
Er kan hiermee tevens worden aangetoond dat een veilige basis in de praktijk mogelijk is, ongeacht de organisatiegrootte.
Een groot voordeel hierbij is dat van beleid tot en met implementatie kan worden ondersteund, afhankelijk van jouw behoefte en beschikbare middelen.
Code403 kan je helpen met de gebieden die je nog niet op orde hebt en over het algemeen geldt hierbij "U vraagt, wij draaien."
Sterk fundament
Bij het implementeren van informatiebeveiliging is het belangrijk om een goed fundament te hebben.
Zonder dit fundament kan niet de kwaliteit worden geleverd, die je als opdrachtgever mag verwachten.
Ben je verantwoordelijk voor een organisatie met de volgende karakteristieken, dan is het verstandig om eerst gedragscomponenten aan te pakken, voordat je complexe verbetertrajecten in gang gaat zetten.
- Is de organisatie sterk bureaucratisch ingesteld, met zeer lange doorlooptijden.
- Wordt er niet aangestuurd op het nemen van (eind)verantwoordelijkheid.
- Worden medewerkers niet in staat gesteld hun verantwoordelijkheid te kunnen nemen.
- Is er geen duidelijk doel voor ogen.
- Gaat het uiteindelijk om het behalen van een vinkje.
- Is er geen tijd voor het vastleggen van afspraken & reviewen van documentatie.
- Wordt het budget volledig ingezet op medewerker awareness.
Over Code403
Organisatievorm
Code403 is opgestart in 2024 en valt onder de constructie: freelance / ZZP / eenmanszaak.
De Kamer van Koophandel gegevens zijn in te zien via KvK Zoeken.
Kernwaarden
De volgende kernwaarden zijn kenmerkend voor een Code403 medewerker en geven aan hoe het bedrijf te werk gaat:
- Adaptief: Met aanpassingsvermogen bij tegenslagen en koerswijzigingen;
- Ethisch: Door het vertonen van respectvol en verantwoordelijk gedrag;
- Informeel: Door middel van korte lijntjes, makkelijk benaderbaar en werken vanuit gelijkwaardigheid;
- Integer: Door te werken conform normen & waarden. Openheid en geen verborgen agenda's;
- Kwaliteitsgericht: Door te zoeken naar een goede balans tussen kwaliteit & kwantiteit, zonder afbreuk te doen op het eindresultaat;
- Leergierig: Nieuwsgierig en altijd open voor nieuwe informatie en meningen;
- Nuchter: Kalm, rustig en beheerst;
- Ontspannen: Heb je invloed, dan doe je er wat aan. Heb je dat niet, dan laat je het los;
- Respectvol: Door het tonen van respect voor hiërarchie, kennis, ervaring en op persoonlijk vlak;
- Teamspeler: Gericht op het behalen van een gezamenlijk resultaat.
Oorsprong
Een code "403 - Forbidden" is een foutmelding die wordt ingezet bij het beveiliging van webdiensten:
Quote:
The 403 (Forbidden) status code indicates that the server understood the request
but refuses to fulfill it. A server that wishes to make public why
the request has been forbidden can describe that reason in the response content...
Bron: IETF RFC9110
Een code simpel te onthouden en geeft het conform een gestandaardiseerde definitie dezelfde resultaten.
In tegenstelling tot de andere HTTP-foutcodes zoals codes 401 en 404
luistert het systeem naar de aanmelder,
neemt het een afgewogen beslissing, gebaseerd op vastgestelde feiten en afspraken
en geeft deze waar nodig feedback richting aanmelder,
waarbij de beveiliging te allen tijde geborgd blijft.
Deze karakteristieken zijn vanuit Code403 belangrijk in de menselijke interactie, vastlegging en ook randvoorwaardelijk voor een goed resultaat.
Contactgegevens
Wilt u contact opnemen met Code403 of zoekt u extra informatie over de organisatie, dan kunt u de volgende gegevens gebruiken:
Copyright © 2024 - Code403
