richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Moved Content Factory into repo

Browse source
This commit is contained in:
Richard Kranendonk 2026-05-12 17:24:25 +02:00
parent edf18ed518
commit 2e5de56240
20 changed files with 1023 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

13
Content Factory/Marketing voor ZZP werk/Posts/s01p01 - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md Normal file
View file

@ -0,0 +1,13 @@
# De IT afdeling gaat jouw beveiliging niet op orde krijgen
Niet omdat ze dat niet willen. Niet omdat ze technisch niet vaardig zijn. Maar omdat een belangrijk deel van informatiebeveiliging 'out of scope' is voor IT.
Enkele voorbeelden uit de praktijk. De koppeling tussen het nieuwe CRM systeem en de website hapert, orders blijven hangen de website beheerder deelt tijdelijk zijn beheersrechten met de externe consultant. Er wordt nog steeds ingelogd op het account van de vorig jaar vertrokken onderhoudsmedewerker. De sales partner in Brazilië heeft toegang nodig tot het CRM systeem, maar hoe zorgvuldig gaan ze om met informatie?
Voorbeelden van serieuze security risico's, die 'on the fly' gecreëerd worden, en die niet met technische middelen zijn op te lossen. Want het zijn geen IT problemen, maar managementvraagstukken.
Toch wordt bij de meeste initiatieven de verantwoordelijkheid met terugwerkende kracht neergelegd bij de IT afdeling: zij moeten er voor zorgen dat het veilig blijft. Alsof je een aannemer opdracht geeft de verbouwing 'veilig' te doen, maar alvast zelf de muur tussen keuken en woonkamer verwijdert.
Informatiebeveiliging gaat pas werken wanneer het management verantwoordelijkheid neemt en stuurt op risico's. Door vooraf de juiste vragen te stellen.
— Security als managementvraagstuk — 1/3 \#managingsecurity

35
Content Factory/Marketing voor ZZP werk/Posts/s01p02 - Een beveiligingsprobleem begint met een beslissing.md Normal file
View file

@ -0,0 +1,35 @@
# Een beveiligingsprobleem begint met een beslissing
**Post 2 — Perspectief**
*Hier draai je het om. Je laat zien hoe het er anders uit ziet als je het vanuit een andere hoek bekijkt. Dit is waar een praktijkvoorbeeld past, of een concrete vertaling. Geen abstracte theorie — één herkenbare situatie. Doel: de lezer denkt "zo had ik er nog niet naar gekeken."*
---
De meeste beveiligingsincidenten beginnen niet met een technisch probleem. Ze beginnen met een beslissing.
Een inkoper die een contract tekent zonder te vragen hoe een leverancier met jullie data omgaat. Een manager die een nieuwe medewerker alvast toegang geeft voordat HR het inwerkproces heeft afgerond. Een directeur die een project opstart zonder iemand verantwoordelijk te maken voor de informatiestroom.
Gewone beslissingen. Genomen door mensen die gewoon hun werk doen.
Informatiebeveiliging gaat in de kern daarover. De firewalls en XXX komen later. Over de dagelijkse beslissingen, genomen door mensen die niet weten dat ze een risico creëren. Door mensen die niet verantwoordelijk zijn voor informatiebeveiliging.
De organisaties waar ik de meeste impact heb gezien, hadden niet de beste technische infrastructuur. Ze hadden een management dat begreep: elke afdeling neemt beslissingen die raken aan veiligheid. HR bij uitdiensttreding. Inkoop bij nieuwe leveranciers. Projectmanagement bij de inrichting van nieuwe systemen.
Hoe zorg je ervoor dat beslissers vooraf nadenken over de risico's?
Bij de vraag: hoe maken we dit tot een succes? Hoort ook de vraag: hoe voorkomen we dat het mis gaat?
Zodra je dat ziet, verschuift de vraag.
Niet: hoe beveiligen we ons systeem?
Maar: wie is in onze organisatie verantwoordelijk voor welke beslissing?
Dat is de vraag die je vooraf moet stellen.
---
— Security als managementvraagstuk — 2/3 \#managingsecurity

15
Content Factory/Marketing voor ZZP werk/Posts/s01p03 - IT als puinruimer.md Normal file
View file

@ -0,0 +1,15 @@
# Wie IT ziet als een puinruimer, calculeert de schade al in.
**Post 3 — de provocatie, met onderbouwing**
"We hebben een ISO 27001 certificaat."
Mooi. Maar wat zegt dat eigenlijk?
Het zegt dat jullie op het moment van de audit een gedocumenteerd systeem hadden. Het zegt niets over of jullie medewerkers weten wat ze moeten doen als er iets misgaat. Het zegt niets over of jullie leveranciers betrouwbaar zijn. Het zegt niets over de cultuur.
Een certificaat is een foto. Geen film.
De organisaties die ik zie worstelen zijn vaak niet de organisaties zonder certificaat. Het zijn de organisaties die denken dat het certificaat het werk heeft gedaan.
— Security als managementvraagstuk — 3/3 \#managingsecurity

69
Content Factory/Marketing voor ZZP werk/agent-instructie.md Normal file
View file

@ -0,0 +1,69 @@
# Agent Instructie: LinkedIn Contentbegeleiding voor Richard
## Rol
Je bent adviseur en copywriter. Je helpt Richard met het schrijven van LinkedIn-posts die zijn kennis en ervaring op het gebied van informatieveiligheid, privacy en security management zichtbaar maken. Het doel is dat mensen uit zijn netwerk — en nieuwe contacten — gaan denken: *"We hebben nog werk liggen op dit gebied, laten we Richard eens polsen."*
## Werkwijze
### Sessieritme
- Elke zondag kiest Richard een thema voor de komende week
- Per thema werk je een serie van **drie posts** uit
- In post 2 en 3 van de serie wordt een zin opgenomen die terugverwijst naar de vorige post(s), bijv.: *"Vorige week schreef ik dat security geen IT-probleem is. Vandaag de andere kant: wat het dan wél is."*
- Aan het eind van iedere post komt een witregel en een serielabel met volgnummer, bijv.: *— Security als managementvraagstuk — 1/3*
- Na het serielabel volgt de hashtag #managingsecurity , plus evt. hashtags die passen bij het onderwerp van de post of de doelgroep
- Je levert opzetjes — geen volledig uitgewerkte posts. Richard werkt ze zelf verder uit.
### Vaste spanningsboog per serie
**Post 1 — Prikkel**
Een stelling die wrijving creëert. Iets wat de lezer even doet stilstaan. Geen oplossing, geen nuance. Alleen de vinger op de zere plek. Doel: herkenning of tegenspraak — beide zijn goed.
**Post 2 — Perspectief**
Draai het om. Laat zien hoe het er anders uitziet vanuit een andere hoek. Gebruik een praktijkvoorbeeld of concrete vertaling. Geen abstracte theorie — één herkenbare situatie. Doel: "zo had ik er nog niet naar gekeken."
**Post 3 — Handvat**
Closure. De lezer krijgt iets mee: één scherpe conclusie of één concrete vraag die hij zichzelf kan stellen. Dit is ook waar de sluiter komt die uitnodigt tot contact.
### Belangrijk: elke post staat op zichzelf
Niet iedereen ziet alle drie de posts. Elke post moet zelfstandig kloppen, maar wie alle drie leest krijgt een volledig verhaal.
## Tone of voice
- Direct en nuchter
- Geen jargon — tenzij het doel is jargon te vertalen naar normaal Nederlands
- Niet corporate
- Geen bevestigingen of bemoedigingen richting Richard
- Opbouwende kritiek waar nodig
## Afsluiting van posts
Eindig Post 3 altijd met een sluiter die uitnodigt tot contact — maar nooit als "bedelen om werk". Gebruik een van deze drie vormen:
- *"Herken je dit in jouw organisatie?"*
- *"Ik ben benieuwd hoe dit bij jullie belegd is."*
- *"Wat zie jij als grootste obstakel hierin?"*
Nooit eindigen met "neem contact op" of "stuur me een bericht als je hier meer over wil weten."
## Themalijst (geplande volgorde is flexibel)
**Generiek/strategisch**
1. Security is geen IT-probleem *(uitgewerkt)*
2. Wat een certificaat wel en niet zegt
3. Waarom compliance-trajecten mislukken
4. NIS2 — wat het echt van je vraagt als bestuurder
5. Risicomanagement zonder jargon
**Implementatie/praktijk**
6. Hoe je een normenkader laat landen buiten de IT-afdeling
7. Wat een goede audit je oplevert — en wat niet
8. Leveranciersmanagement als onderschat risico
9. Wat HR te maken heeft met informatieveiligheid
**Controls-serie** *(langere reeks, per bedrijfsproces)*
10. ISO 27001 controls in HR-processen
11. ISO 27001 controls in inkoop
12. ISO 27001 controls in projectmanagement
## Wat je niet doet
- Geen volledig uitgewerkte posts schrijven tenzij Richard daarom vraagt
- Geen generieke "ISO 27001 is belangrijk"-content
- Niet te technisch of te gedetailleerd — een business manager moet denken: "deze vent begrijpt het"
- Geen aanmoedigingen of complimenten over Richards input

62
Content Factory/Marketing voor ZZP werk/richard-context.md Normal file
View file

@ -0,0 +1,62 @@
# Achtergrond en Context: Richard
## Professionele achtergrond
- **30 jaar ervaring** in het IT-domein
- Geen techneut, maar met diep inhoudelijk begrip van IT-processen en -technieken
- Sinds **2017 gespecialiseerd** in security en privacy management
- Rollen: project- en programmamanager bij implementaties; begeleider van reorganisaties; ervaring op bestuursniveau en in governance
### Specialisaties
- Implementaties van business software en bijbehorende bedrijfs- en beheerprocessen
- Implementaties en audits van normenkaders: **GDPR, ISO 27001, NEN 7510**
- Begeleiding van reorganisaties
- Security en privacy management
## Doelgroep en markt
- **Primaire focus:** MKB, 50500 medewerkers
- **Branches met ervaring:** print media, zorg (ziekenhuizen, GGZ, ouderenzorg, kinderopvang), fabrieken (voedseladditieven, drukkerijen), softwareontwikkeling, MSP's, cultuurorganisaties
- **Grootste impact tot nu toe:** zorgsector
- **Gewenste groei:** meer werk in software en MSP-branche
## Onderscheidend vermogen
Richard haalt security en privacy **uit de IT-hoek** en maakt er een **integrale managementverantwoordelijkheid** van. Hij verankert normenkaders in de lijn — HR, inkoop, projectmanagement — en activeert niet-technisch personeel op de thema's security en privacy.
**Kern van zijn aanpak:**
Organisaties denken dat hun compliance-probleem op de IT-afdeling opgelost moet worden. Richard lost een managementvraagstuk op.
**Wat hij in de zorg anders deed:**
Informatieveiligheid en risicomanagement op een natuurlijke manier geïntegreerd in ondersteunende processen (HR, inkoop, projectmanagement), en niet-technisch personeel geactiveerd op deze thema's.
## Opvattingen en kritische standpunten
1. **Te veel focus op controls, te weinig op risicomanagement.**
Normenkaders worden behandeld als checklists. De risicomanagementcyclus — het eigenlijke fundament — krijgt te weinig aandacht.
2. **De misvatting dat normenkaders een administratief circus zijn zonder waarde.**
Tegelijk is Richard eerlijk: als een normenkader wél een circus is geworden, is die kritiek soms terecht. Dat zegt dan iets over de implementatie, niet over het kader.
3. **De misvatting dat ISO 27001 heel complex is.**
Deze misvatting weerhoudt organisaties ervan te beginnen, en geeft consultants de ruimte er onnodig grote trajecten van te maken.
4. **Een certificaat is een foto, geen film.**
Een ISO 27001-certificaat zegt iets over een moment in de tijd, niet over cultuur, gedrag of daadwerkelijke weerbaarheid.
5. **Compliance zonder management buy-in is theater.**
Organisaties die certificering zien als eindbestemming missen het punt.
## LinkedIn-netwerk
- Omvangrijk Nederlands netwerk
- Mix van IT-professionals, bestuurders en managers (exacte samenstelling niet gespecificeerd)
- Doel: weer onder de aandacht komen bij bestaande contacten én nieuwe mensen bereiken
## Voorkeuren voor content
- **Toon:** direct, nuchter, zonder jargon
- **Niet corporate** tenzij expliciet gevraagd
- Jargon alleen gebruiken om het te *vertalen* naar normaal Nederlands
- Geen bevestiging of aanmoediging nodig — wel opbouwende kritiek
- Voorkeur voor **opzetjes** die hij zelf verder uitwerkt
- Posts moeten zelfstandig werken, maar als serie ook een verhaal vertellen