Renamed NIS folder, created scratch file longlist
This commit is contained in:
parent
52406b5edb
commit
2ded0b3024
26 changed files with 743 additions and 14 deletions
|
|
@ -0,0 +1,497 @@
|
|||
# Scratch file long list
|
||||
|
||||
---
|
||||
|
||||
**Wie IT ziet als een puinruimer, calculeert de schade al in.**
|
||||
|
||||
---
|
||||
**Pantone colors**
|
||||
|
||||
These are the Pantone colors we chose for our Canvases.
|
||||
|
||||
Pink is for... yellow is for ... etc. You may notice they resemble the colors of 3M's Post-It notes.
|
||||
|
||||
This is no coincidence. We like the playfulness and open-world possibilities they can bring to business environments.
|
||||
|
||||
Just as our canvases do. They also introduce a certain playfulness - the possibility for discovery and exchange of ideas, in the stern world of risk management and compliance.
|
||||
|
||||
Inviting people to be creative with and develop ownership for the risks that come with being inventive.
|
||||
|
||||
+ Call to action
|
||||
---
|
||||
**Stukje: informatieveiligheid in projecten**
|
||||
|
||||
Denkend aan Control 5.8 - Information security in project management:
|
||||
|
||||
"To ensure information security risks related to projects and deliverables are effectively addressed in project management throughout the project life cycle".
|
||||
|
||||
https://www.ipma.nl/iso-voor-projectmanagement
|
||||
---
|
||||
**Keeping projects secure**
|
||||
|
||||
Risico's op 3 vlakken:
|
||||
- Het op te leveren product (vanaf ontwerp via testen tot oplevering)
|
||||
- De uitvoering van het project (incl de mensen en tooling)
|
||||
- De overdracht aan en borging in de staande organisatie
|
||||
|
||||
Mind map van de risico's / kwetsbaarheden
|
||||
|
||||
Check ISO 27001 en NIST
|
||||
|
||||
---
|
||||
|
||||
**NIST CSF 2.0 GV.RR-01**
|
||||
|
||||
---
|
||||
|
||||
Organizational leadership takes responsibility for decisions associated with cybersecurity risks and establishes a culture that is risk-aware, behaves in an ethical manner, and promotes continuous improvement
|
||||
|
||||
---
|
||||
**Gretzky:** I don't skate to where the risks are, I skate to where they gonna be
|
||||
|
||||
---
|
||||
|
||||
Accepting posts!
|
||||
|
||||
---
|
||||
|
||||
**Top Security Awareness startups you should follow**
|
||||
|
||||
https://voiceofciso.com/top-security-awareness-startups-you-should-follow/
|
||||
---
|
||||
**Takeaways of 2023 Data Breach Investigations Report (DBIR)**
|
||||
|
||||
https://www.verizon.com/business/resources/T547/reports/2023-data-breach-investigations-report-dbir.pdf?utm_source=danielmiessler.com&utm_medium=newsletter&utm_campaign=unsupervised-learning-newsletter-no-386
|
||||
|
||||
Takeaways:
|
||||
1. Social engineering attacks are up, with Business Email Compromise and ransomware leading the charge.
|
||||
2. Most breaches involve human error and external actors, and the primary motives are still financial.
|
||||
3. Business Email Compromise (BEC) attacks have almost doubled and represent more than 50% of incidents in the Social Engineering pattern.
|
||||
4. 74% of all breaches involve human error; 83% involve external actors.
|
||||
5. Financial motives underlie 95% of breaches.
|
||||
|
||||
---
|
||||
Miessler newsletter
|
||||
|
||||
---
|
||||
|
||||
|
||||
**New SEC cyber rules will force ISMS**
|
||||
|
||||
New SEC cyber rules will force businesses to think beyond IT security | Security Info Watch
|
||||
|
||||
https://www.securityinfowatch.com/cybersecurity/article/53061276/new-sec-cyber-rules-will-force-businesses-to-think-beyond-it-security
|
||||
---
|
||||
**MEME:** If you could just.... Stop presenting your services catalog as a fit-gap analysis. That would be nice. I'm looking at you, MSP's!
|
||||
|
||||
---
|
||||
|
||||
**The problem with awareness campaigns**
|
||||
|
||||
They only deal with known risks
|
||||
People are likely already aware
|
||||
- They teach a reflex (don't click, pause for 5 secs)
|
||||
- They train on answering the question
|
||||
---
|
||||
**Informatiebeveiliging blijft beperkt zolang we het een IT probleem maken**
|
||||
|
||||
Want:
|
||||
Beperkt mandaat
|
||||
Beperkte toolkit/comfort zone
|
||||
Business pakt geen verantwoordelijkheid
|
||||
|
||||
Hoe dan wel?
|
||||
1. Reken de business ook af op hun efforts rond informatieveiligheid (wel met duidelijke scoping van hun verantwoordelijkheden, instrumentarium en heldere rapportageverpichtingen)
|
||||
2. Laat informatiebeveiliging bij IT, maar breng informatieveiligheid in de lijn (kijk welke onderdelen wel bij IT horen en welke daarvan dienend zijn aan de lijn, zoals monitoring en logging) - denkexperiment: named admin accounts: wie is waar verantwoordelijk voor en hoe bewaak je dat?
|
||||
---
|
||||
As long as security is not part of business OKR, it won't happen
|
||||
|
||||
---
|
||||
|
||||
Increase cyber resilience by empowering employees
|
||||
|
||||
---
|
||||
|
||||
**Solve your shadow IT Problem**
|
||||
|
||||
By acknowledging user agency (paradoxically)
|
||||
|
||||
---
|
||||
|
||||
**MEME:** I pity the fool who thinks shadow it can be
|
||||
|
||||
---
|
||||
|
||||
**Morgan Stanley betaalt 6,5 miljoen dollar wegens datalek door afgedankte servers - Security.NL**
|
||||
|
||||
https://www.security.nl/posting/818992/Morgan+Stanley+betaalt+6%2C5+miljoen+dollar+wegens+datalek+door+afgedankt?channel=rss
|
||||
---
|
||||
**Cybersecurity Is a Social, Policy, and Wicked Problem**
|
||||
|
||||
https://taosecurity.blogspot.com/2023/06/cybersecurity-is-social-policy-and.html
|
||||
---
|
||||
**Guarding Against the Insider Threat: Do Your Employees Pose the Greatest Risk? - Cyber Defense Magazine**
|
||||
|
||||
https://www.cyberdefensemagazine.com/guarding-against-the-insider-threat-do-your-employees-pose-the-greatest-risk/
|
||||
---
|
||||
**Employees breaking security policies just dangerous as being hacked, Kaspersky global study shows**
|
||||
|
||||
https://www.itsecurityguru.org/2023/11/22/employees-breaking-security-policies-just-dangerous-as-being-hacked-kaspersky-global-study-shows/?utm_source=rss&utm_medium=rss&utm_campaign=employees-breaking-security-policies-just-dangerous-as-being-hacked-kaspersky-global-study-shows
|
||||
---
|
||||
**Small Business Cybersecurity Hampered by Fear of Change, Judgement - Security Boulevard**
|
||||
|
||||
https://securityboulevard.com/2023/11/small-business-cybersecurity-hampered-by-fear-of-change-judgement/
|
||||
---
|
||||
**The drawbacks of using video training for your security awareness program - Security Boulevard**
|
||||
|
||||
https://securityboulevard.com/2023/11/the-drawbacks-of-using-video-training-for-your-security-awareness-program/
|
||||
---
|
||||
**How to deal with the risks of shadow it**
|
||||
|
||||
We'll have shadow it as long as we'll have Excel. Or any other tooling that work teams can use of which the control of functionality is not strictly centralized.
|
||||
|
||||
And that is essential to business otherwise we would lose all agility and opportunity for creativity.
|
||||
|
||||
Change + Agility = Shadow IT
|
||||
|
||||
Changes necessitates shadow IT
|
||||
|
||||
Shadow IT is here to stay and that's a good thing. But we have to deal with risks.
|
||||
|
||||
---
|
||||
**Als een kind (filmpje)**
|
||||
|
||||
Dit is Inge
|
||||
Inge kijkt een filmpje over IB
|
||||
Want dat moet
|
||||
Inge baalt er van, omdat ze wordt aangesproken alsof ze een kind is
|
||||
Ondertussen klikt ze wat mails weg
|
||||
Aan het eind van het filmpje krijgt ze een meerkeuzevraag.
|
||||
|
||||
Dit moet iedere week. Van de Security Officer. Die denkt dat ze hierdoor veiliger gaat werken.
|
||||
|
||||
---
|
||||
|
||||
|
||||
**SIGRA Opleidingen Privacy & Informatieveiligheid | sigra**
|
||||
|
||||
https://www.sigra.nl/expertisecentrum-privacy-informatieveiligheid/opleidingen-privacy-informatieveiligheid
|
||||
---
|
||||
**People make the best exploits**
|
||||
|
||||
Quote from Mr Robot season 1
|
||||
Link to Kevin Mitnick social engineering
|
||||
|
||||
---
|
||||
|
||||
**Content: voorbereiden op een NEN 7510 implementatie**
|
||||
|
||||
---
|
||||
|
||||
**CMM: hoe kom je van volwassenheidsniveau 0 naar 5?**
|
||||
|
||||
---
|
||||
|
||||
Wil je ook een IBB dat
|
||||
|
||||
---
|
||||
|
||||
**Integriteit wordt vaak vergeten**
|
||||
|
||||
Of alleen geïnterpreteerd als: door technische issues of outsider threats gecompromitteerd
|
||||
Terwijl het vaak in het proces kan ontstaan, zie bijv zaaksysteem Zeeland of urenverantwoording Junis
|
||||
|
||||
---
|
||||
|
||||
**How do you involve your project team in managing risks?**
|
||||
|
||||
---
|
||||
|
||||
**Content: risico's in nieuwe projecten**
|
||||
|
||||
Hoort dit thuis onder IT, Kwaliteit of in de lijn?
|
||||
De uitvoering van het risicomanagement moet een lijnverantwoordelijkheid zijn en in de managementcyclus geborgd worden.
|
||||
De verantwoordelijkheid voor het instrument ligt wel bij de Kwaliteitsafdeling.
|
||||
|
||||
Moet je niet eerst al je processen beschrijven, vóór je dit gaat doen?
|
||||
Nee, het is complementair. Procesbeschrijvingen leggen achteraf vast wat bekend is, en hoe de dingen zouden moeten gaan.
|
||||
Vanuit een KS-bril zou je het liefst willen dat er bij een verandering in het werk, in systemen, of in de omgeving, eerst een analyse wordt uitgevoerd hoe het proces moet worden aangepast en wat daarbij de risico's zijn, en dat pas daarna het werk verandert.
|
||||
De realiteit is dat het werk wordt aangepast, en pas in de volgende KS cyclus gekeken wordt hoe we de procesbeschrijving moeten aanpassen.
|
||||
|
||||
---
|
||||
|
||||
**Eigenaarschap in de business**
|
||||
|
||||
Verantwoordelijkheid en eigenaarschap in de business bereik je alleen, als het managen van risico's voor informatieveiligheid in de werkprocessen, onderdeel wordt van het algemene management proces.
|
||||
Dat bereik je door managers verantwoordelijk te maken voor de performance op dat vlak, net zoals ze aangesproken worden op winst en verlies, personeelsmanagement en kwaliteit.
|
||||
|
||||
---
|
||||
|
||||
**Boek: houding in Workshop**
|
||||
|
||||
Ja leuk dat we dit doen, maar als wij het prioriteit vinden zegt een CISO, manager of directeur iets anders
|
||||
1) is dus de attitude die door de methode veranderd wordt
|
||||
2) overtuigen van de ander in AO, maar ook door onderbouwing met risico analyse
|
||||
---
|
||||
**Querying for hidden risks**
|
||||
|
||||
Earlier LinkedIn post on that subject
|
||||
Plus Google questionnaire with McGyver
|
||||
|
||||
---
|
||||
|
||||
**faalkosten in de bouw - Corporatie branche**
|
||||
|
||||
https://www.google.com/search?q=faalkosten+in+de+bouw&ie=UTF-8&oe=UTF-8&hl=en-nl&client=safari
|
||||
---
|
||||
**ESG (Environmental, Social, and Governance)**
|
||||
|
||||
Employee participation is crucial to the success of ESG directives for several reasons (the canvas method can be a way to):
|
||||
|
||||
1. **Enhanced Implementation and Compliance**:
|
||||
- Ownership and Accountability: When employees are actively involved, they are more likely to take ownership of ESG initiatives, ensuring better implementation and compliance.
|
||||
- Ground-Level Insights: Employees often have valuable insights into operational aspects and can identify practical solutions to meet ESG goals effectively.
|
||||
|
||||
2. **Improved Sustainability Practices**:
|
||||
- Environmental Initiatives: Employees can contribute to reducing waste, improving energy efficiency, and adopting sustainable practices in their daily operations.
|
||||
- Social Contributions: Active participation in community engagement, volunteer programs, and diversity and inclusion efforts strengthens the social impact of the company.
|
||||
|
||||
3. **Enhanced Governance**:
|
||||
- Ethical Behavior: Employee participation in governance practices, such as ethical training and whistleblowing mechanisms, helps uphold high standards of integrity and transparency.
|
||||
- Feedback and Communication: Open channels for feedback enable employees to report on governance issues and suggest improvements, fostering a culture of continuous improvement.
|
||||
|
||||
4. **Increased Engagement and Morale**:
|
||||
- Purpose and Motivation: When employees are part of ESG initiatives, they feel a sense of purpose and are more motivated, leading to higher job satisfaction and retention.
|
||||
- Skill Development: Participation in ESG projects can provide employees with opportunities for skill development and career growth, further enhancing their engagement.
|
||||
|
||||
5. **Innovation and Competitive Advantage**:
|
||||
- Creative Solutions: Engaged employees are more likely to propose innovative solutions for ESG challenges, giving the company a competitive edge.
|
||||
- Brand Reputation: Companies with active employee participation in ESG are perceived more positively by customers, investors, and other stakeholders, enhancing their reputation and market position.
|
||||
|
||||
6. **Regulatory and Reporting Compliance**:
|
||||
- Accurate Reporting: Employees who are aware and involved in ESG practices are better equipped to provide accurate data and insights for ESG reporting, ensuring compliance with regulatory requirements.
|
||||
- Proactive Adaptation: Active participation helps the company stay ahead of regulatory changes and adapt proactively to new ESG-related laws and standards.
|
||||
|
||||
7. **Stakeholder Engagement**:
|
||||
- Community Relations: Employees can act as ambassadors of the company's ESG initiatives in the community, strengthening relationships with external stakeholders.
|
||||
- Investor Confidence: Demonstrating robust employee participation in ESG efforts can build confidence in the company's long-term sustainability and governance practices.
|
||||
|
||||
In summary, employee participation is vital for the successful execution and sustainability of ESG directives. It drives better implementation, fosters a culture of ethical behavior, enhances employee morale and engagement and contributes to the overall competitive advantage and reputation of the organization.
|
||||
|
||||
---
|
||||
**Phishing awareness campaigns**
|
||||
|
||||
Wrongly named, because it's about being aware of one's own gullibility and/or onzorgvuldigheid
|
||||
|
||||
---
|
||||
**Is that web tool safe?**
|
||||
|
||||
Just found this great tool through SANS Security Awareness Community
|
||||
https://web.universiteitleiden.nl/assets/toolpicker/?lang=en
|
||||
---
|
||||
**Waarom werkt de implementatie van uw GRC Tooling zo slecht?**
|
||||
|
||||
gebrek aan volwassenheid
|
||||
geen business risico's
|
||||
"2 reasons why your GRC Tool implementation is failing"
|
||||
|
||||
SANS forum: maturity for SMEs
|
||||
|
||||
---
|
||||
Announce FortMesa partnership
|
||||
|
||||
---
|
||||
**Blogpost: Guidance for high-risk individuals on protecting your accounts and devices**
|
||||
|
||||
https://www.ncsc.gov.uk/collection/defending-democracy/guidance-for-high-risk-individuals
|
||||
---
|
||||
**RAM-systeem van de Belastingdienst**
|
||||
|
||||
https://www.nrc.nl/nieuws/2025/03/12/van-prostituees-tot-belgische-pensionados-in-het-privacyschendende-ram-systeem-van-de-belastingdienst-heerste-de-willekeur-a4886148
|
||||
---
|
||||
Mapgood en andere risico inventarisaties vergelijken met de CM voor blogpost
|
||||
|
||||
Er wordt veel gezocht op MAPGOOD
|
||||
|
||||
---
|
||||
hockey protective gear laid out on the floor - Google Search
|
||||
|
||||
https://www.google.com/search?client=safari&sca_esv=d777291650d83160&hl=en-nl&channel=30&udm=2&fbs=ABzOT_CWdhQLP1FcmU5B0fn3xuWpA-dk4wpBWOGsoR7DG5zJBtmuEdhfywyzhendkLDnhcrGv0bvsF02PE9wAganQ-f1_Kd4P04qA1S-9-QK1sT3LFPxW3X361XTv82H1htWdFiwBZR9R_VbvGWkRViaCElk48nz55PwPeAVreb4dptjjtuT30PIHN2GvNJUTuypmttyCzXHSO6L-KCNAXWZ_7sIHaNMCpoQtKgLegQIExAB&biw=393&bih=656&dpr=3
|
||||
---
|
||||
Buying a security solution unprepared? You're probably in violation of ISO 27001 clause 8.1
|
||||
|
||||
---
|
||||
On labeling email
|
||||
|
||||
https://www.reddit.com/r/ISO27001/s/kOPJtzxOtM
|
||||
---
|
||||
**'Eigenaarschap' is een populair begrip onder managers. Maar wat is het? En hoe krijg je het? - NRC**
|
||||
|
||||
https://www.nrc.nl/nieuws/2025/09/24/eigenaarschap-is-een-populair-begrip-onder-managers-maar-wat-is-het-en-hoe-krijg-je-het-a4907321
|
||||
---
|
||||
**Publish control sets for selected business processes (Gerard Blokdyk approach)**
|
||||
|
||||
- Reviewing GDPR Processing Agreements? These are the relevant ISO 27002 controls:
|
||||
- Business Continuity Plan? Apply the following controls to stay compliant: These are the relevant ISO 27002 controls:
|
||||
- etc.
|
||||
- Writing a policy on Remote Working?
|
||||
- Posture management?
|
||||
- Vendor selection and due dilligence?
|
||||
- Auditing HR security:
|
||||
- Supporting remote work
|
||||
- Supply Chain Security
|
||||
- Secure Software Development
|
||||
- Outsourcing development
|
||||
- Preventing data breaches (termination of cloud services + configuration management)
|
||||
- Checklist for Cloud Services agreement - 27002:2022 5.23 Information security for use of cloud services
|
||||
|
||||
#iso27001 #compliant_working <- this needs a better hashtag
|
||||
|
||||
---
|
||||
Create a list of Weird hacker words:
|
||||
- Burp attacks
|
||||
- Smurf attacks
|
||||
- Digital Dumpster Diving and google dorking.
|
||||
---
|
||||
Publish about Stop Ransomware
|
||||
|
||||
https://www.cisa.gov/stopransomware
|
||||
---
|
||||
NIST Seeks Information on Chinese Participation in the International Standards Development Process
|
||||
|
||||
https://www.nist.gov/news-events/news/2021/11/nist-seeks-information-chinese-participation-international-standards
|
||||
---
|
||||
Software risks in private equity buyouts | Synopsys
|
||||
|
||||
https://www.synopsys.com/blogs/software-security/software-risks-private-equity-buyouts/
|
||||
---
|
||||
How safe is it to use a Github Action contributed by a third party?
|
||||
|
||||
https://security.stackexchange.com/questions/256790/how-safe-is-it-to-use-a-github-action-contributed-by-a-third-party
|
||||
|
||||
---
|
||||
|
||||
# Content Scratch File
|
||||
|
||||
`Write to Express, not to Impress`
|
||||
`Write like you Speak`
|
||||
|
||||
#TSW
|
||||
|
||||
|
||||
|
||||
[[Risk analysis is useless]]
|
||||
|
||||
[KuppingerCole’s practical implications of NIS2](bear://x-callback-url/open-note?id=4DC76555-BF6E-4B99-8260-EF99344D5F3F)
|
||||
|
||||
Seven Dimensions of Security Culture - see Obsidian note
|
||||
|
||||
- Illuminated by awareness
|
||||
- The CISO’s blind spot: Actual human behaviour
|
||||
- What happens on the workfloor, stays on the workfloor
|
||||
- Ransomware is the boogie man – als je over bewustzijn en gedrag praat, begint men meestal over phishing links en ransomware. Maar het echte gevaar zit in de werkprocessen
|
||||
- En hoeveel incidenten of bijna incident zijn er niet gemeld? Bij CM bespreek je dat in de geborgenheid van je eigen team
|
||||
- Driehoek patiëntveiligheid, medewerkerveiligheid, informatieveiligheid
|
||||
- De effectiviteit / het rendement van het ISMS vergroten
|
||||
* Security: making it chefsache (met Gilbert van Z.)
|
||||
* Cybersecurity requires behavioral change
|
||||
* How CMIS works with ISO 27001
|
||||
* Risk Management under ESG/CSRD - see [note](bear://x-callback-url/open-note?id=9EFE612A-3AE3-4AA5-B7EC-016573722C21)
|
||||
* Working with multiple teams
|
||||
* Integrating CMIS with existing management systems and frameworks
|
||||
* Bridging the gap with non-technical departments
|
||||
* Risk based vs control driven
|
||||
* Build in Public/Indiehackers: I was going to build software and now it’s a set of PDF’s
|
||||
* Build in Public/Indiehackers: Restrictive domain names and pivoting
|
||||
* My Risk, Your Control / Now it’s your risk / Bystander effect and IS
|
||||
* Theory of Planned Behavior
|
||||
* Pushing Security Management to the Left
|
||||
* Security should be a basic hygiene factor in every team
|
||||
* [Theory of Planned Behavior](https://en.wikipedia.org/wiki/Theory_of_planned_behavior)
|
||||
* Twee blinde vlekken: de CISO maakt zich zorgen over de blinde vlek van de medewerkers (ze kennen de risico’s niet), maar heeft zelf een blinde vlek voor risico’s in de operatie.
|
||||
|
||||
“Het is voor mensen gemakkelijk kwetsbaarheden te veroorzaken waarvan wij niet op de hoogte zijn. Je moet een manier vinden om goede input te verzamelen, om te weten dat alles procesmatig OK is”. Marco Biekaert (?), Belastingdienst BCM:
|
||||
|
||||
Cyber from cybernetics, a scientific field studying systems with a feedback- and control-loop in which technology and human work together towards a goal.
|
||||
# What is wrong in InfoSec?
|
||||
* Mensen noemen risico en verwachten vervolgens dat iemand anders het oplost
|
||||
* Informatie veiligheid is het probleem van de IT afdeling, Of: daar zorgt de IT afdeling toch voor
|
||||
* De compliance afdeling is een beleidsfabriek
|
||||
* Richtlijnen worden niet gevolgd omdat het risico veel lager wordt ingeschat of de middelen tussen de persoon en zijn doel staan: ze werken beperkend
|
||||
* We weten dat het speelt maar toch niet bij ons
|
||||
* Ja dat zeggen wij al jaren
|
||||
|
||||
|
||||
Typical InfoSec awareness training
|
||||
|
||||
That guy from IT during your onboarding class:
|
||||
|
||||
#
|
||||
|
||||
---
|
||||
|
||||
**Risk analysis is useless**
|
||||
|
||||
the cornerstone metrics for actuary modelers — the Annual Loss Expectancy and Annual Rate of Occurrence — with a high degree of accuracy is beyond the current capabilities -> are historical and says little about the future.
|
||||
|
||||
|
||||
The traditional actuary models do not apply well to an environment where highly motivated, creative, and intelligent attackers are dynamically pursuing actions that cause insurable events.
|
||||
|
||||
The problem is with the nature of the threat. Cyber attackers escalate and adapt quickly, which undermines the historical-based models that insurance companies rely on. Attackers are continually shifting their maneuvers that identify victims, cause increasing loss, and rapidly shift to new areas of impact.
|
||||
Denial of service attacks were once popular but were superseded by data breaches, which cause much more damage. Recently, attackers expanded their repertoire to include ransomware-style attacks that increased the insurable losses ever higher.
|
||||
|
||||
|
||||
---
|
||||
|
||||
# Human Error Breaches Incidents
|
||||
|
||||
### NL Healthcare / Orthopedium
|
||||
- Orthopedium: sinds software update kunnen de röntgenscanner en het EPD niet meer met elkaar overweg: het patiëntnummer moet opgezocht worden in het EPD en handmatig worden ingegeven in de software van de röntgenscanner
|
||||
- Orthopedium: de werkstations in de OK starten heel traag op. De afdelingssecretaresse heeft de inloggegevens van alle artsen in haar agenda, en logt ze ‘s ochtends alvast in. & de operatieploegen rouleren gedurende de dag over de OK’s, maar loggen niet opnieuw in. De verrichtingen zijn daardoor gekoppeld aan de verkeerde arts. Dit wordt achteraf handmatig gecorrigeerd aan de hand van de planning van die dag.
|
||||
|
||||
### NZA
|
||||
- NZA: de onbeheerde netwerkmap voor de vakantiefoto’s, waar iedereen met een NZA-account bij kon, werd al snel ontdekt als plek om gemakkelijk grote dossiers en bestanden met elkaar te delen. Meestal werden die daarna niet verwijderd.
|
||||
|
||||
### Prestige Data Breach
|
||||
- [Prestige Data Breach](https://rkranendonk.medium.com/learning-points-from-the-prestige-data-breach-eac454b577d3)
|
||||
- Slechte architectuur: manipulatie van tekstbestanden op een file systeem i.p.v. een robuuste database
|
||||
- Publieke / te ruime toegang AWS Bucket door slechte configuratie of Free Tier (bijv. Miro)
|
||||
- Niet toepassen encryptie
|
||||
- Gegevens langer bewaren dan nodig
|
||||
- Meer gegevens verwerken dan nodig
|
||||
- In productie nemen van PoC oplossing
|
||||
|
||||
### Junis
|
||||
- Versleuteld mailen werkt niet bij alle ketenpartners – het beleid is om gegevens over kinderen en ouders alleen versleuteld naar de samenwerkingspartners te mailen. Bij sommige ontvangers werkte het ontsleutelen van de mail niet goed, door een afwijkende configuratie van de mailserver.
|
||||
- Communicatie met ouders via WhatsApp – want het lukt niet alle ouders om de speciale app te installeren
|
||||
- Deurcodes pand worden aan ouders gegeven
|
||||
- Sleutels worden meegegeven aan externe onderhoudsmonteurs
|
||||
- Werken met beperkt aantal voorkeursleveranciers vergroot de afhankelijkheid
|
||||
- Ontbrekende of onvolledige verantwoording subsidieaanvraag onder tijdsdruk
|
||||
- Onvoorziene consequenties van eigen veranderingen en handelen voor andere afdelingen
|
||||
- Onvoorziene consequenties van veranderingen en handelen andere afdelingen voor ons
|
||||
- Minder mogelijkheden voor handmatig ingrijpen door toegenomen integratie
|
||||
- Niet tijdige of incorrecte mutatie in AFAS betekent geen toegang tot de juiste informatie op Intranet voor medewerker cluster
|
||||
- Verkeerde mdw/locatie in Quebble door onjuiste KP in AFAS/HR; kwaliteit roostering gaat omlaag
|
||||
- Makkelijk bestellen zonder verder gedoe Verantwoordelijkheid correcte invoer verschuift: risico op foute invoer
|
||||
- Kinderopvangtoeslag Problemen door ontbreken noodzakelijke kennis bij ouders
|
||||
- Ondersteuning te weinig beschikbaar, onduidelijkheid waar je terecht moet (IT of FAB)
|
||||
- Verzenden cadeaus gastouders door derden vraagt om verstrekking NAW-gegevens
|
||||
- Indeling gegevens in verschillende bronsystemen matchen niet
|
||||
- Gevoelige informatie publiceren op verkeerde plek op SharePoint (wegens onduidelijke structuur en ontbreken aan instructies
|
||||
- Onvoldoende bewustzijn bij mdws over de toegankelijkheid van verschillende sites op Intranet en SharePoint
|
||||
- Weekberichten worden niet opgeslagen in Groepssites, maar in Clustersites, waar ook gevoelige informatie kan staan zoals ontruimingsplannen
|
||||
- PM’ers hebben privé telefoons en geen Office365 licentie. Hoe moeten ze Teams Chat gebruiken als WhatsApp niet mag? En communicatie met ouders kan ook niet via Teams.
|
||||
- Alle medewerkers met privemail-adres in CC personeelsnieuwsbrief
|
||||
- Gevoelige informatie wordt verstuurd naar privé adressen, bijv. in Weekbericht
|
||||
- Op een telefoon kun je Teams openen zonder in te loggen – unlock telefoon is genoeg
|
||||
- Gebruik beelden van kinderen niet mogelijk door niet aanleveren toestemmingsformulieren door PM'ers
|
||||
- Werken met iPads: invullen formulieren online werkt n iet goed, dan maar mailen naar huisadres en terug.
|
||||
- Zeer groot dienstverleners-landschap!
|
||||
- Gevoelige info besprekingen op vergaderbordjes / Onderwerp bespreking uit Outlook kan gevoelige info bevatten
|
||||
- PM’er maakt WhatsApp groepje aan voor ouders – niet alle ouders zijn er blij mij dat hun tel.nr. nu voor iedereen zichtbaar is
|
||||
- Secretariaat: Kans op insluipers wegens ontbreken sluitronde door beveiligingsfirma
|
||||
|
||||
|
||||
### Parnassia groep
|
||||
- In EPD kan niet gezocht worden op BSN, daardoor wordt gezocht op andere kenmerken. Gevolg is dat patiënten dubbel worden ingeschreven, en behandelingen/afspraken aan de verkeerde patient gekoppeld worden
|
||||
Loading…
Add table
Add a link
Reference in a new issue