richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

writing blogposts

Browse source
This commit is contained in:
Richard Kranendonk 2026-05-13 17:17:19 +02:00
parent da22db5fa2
commit 3857d19335
7 changed files with 71 additions and 53 deletions
Download patch file Download diff file Expand all files Collapse all files

5
Content Factory/Marketing voor ZZP werk/Posts/s01p01en - IT is not going to fix your security.md → Content Factory/Marketing voor ZZP werk/Posts/s01p01en - IT is not going to fix your security problem.md
View file

@ -1,6 +1,5 @@
# IT is not going to fix your security `Posted on 13 May 2026 19:30 CEST to LinkedIn personal stream`
# IT is not going to fix your security problem
POST AT 7:30 PM DUTCH TIME
IT is not going to fix your security. IT is not going to fix your security.

1
Content Factory/Marketing voor ZZP werk/Posts/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md
View file

@ -1,3 +1,4 @@
`posted on 13 May 2026 10:30 CEST to LinkedIn personal stream`
# De IT afdeling gaat jouw beveiliging niet op orde krijgen # De IT afdeling gaat jouw beveiliging niet op orde krijgen
Niet omdat ze dat niet willen. Niet omdat ze technisch niet vaardig zijn. Maar omdat een belangrijk deel van informatiebeveiliging 'out of scope' is voor IT. Niet omdat ze dat niet willen. Niet omdat ze technisch niet vaardig zijn. Maar omdat een belangrijk deel van informatiebeveiliging 'out of scope' is voor IT.

25
Content Factory/Marketing voor ZZP werk/Posts/s01p02en - All security risks start with a decision.md Normal file
View file

@ -0,0 +1,25 @@
`Posted on 14 May 2026 19:15 CEST to LinkedIn personal stream`
# All security risks start with a decision
Most information security risks don't start with a technical problem. They start with someone making a choice.
The HR department gets the green light for implementing new software, without getting confirmation of the state of information security at the vendor's side. The employee deciding to use his private mail account with an online file conversion tool. The employee given access rights while they haven't been formally defined yet for her new function. The project that started without identifying the owner of the new data source.
This is the blind spot of information security: daily decisions in organizations that are in constant flux, taken by employees that are not aware of the risks they are introducing.
The most secure organizations are those, where leadership realizes that every decision touches on security, and you can't make information security the exclusive responsibility of IT?
Strong security is achieved by integrating risk assessments in decision making, and integrating business processes and IT processes. Expensive tools and complex implementations are not required.
Do you want some examples? Here are four simple initiatives:
1) Create a standard information security questionnaire for Purchasing, to hand out to any proposed vendor.
2) Have HR check with IT on access rights when they're writing the new job profile not when the new employee enters the door.
3) Make risk analysis a mandatory part of each project plan.
4) Debrief leaving employees on the tools they actually used and take proper care of transferring accounts and information.
Don't just ask the question: "How will we make this a success?", but also ask: "How do we prevent things going wrong, and who owns that?"
— Security as an organizational challenge — post 2/3
**#managingsecurity**

35
Content Factory/Marketing voor ZZP werk/Posts/s01p02nl - Een beveiligingsprobleem begint met een beslissing.md
View file

@ -1,35 +0,0 @@
# Een beveiligingsprobleem begint met een beslissing
**Post 2 — Perspectief**
*Hier draai je het om. Je laat zien hoe het er anders uit ziet als je het vanuit een andere hoek bekijkt. Dit is waar een praktijkvoorbeeld past, of een concrete vertaling. Geen abstracte theorie — één herkenbare situatie. Doel: de lezer denkt "zo had ik er nog niet naar gekeken."*
---
De meeste beveiligingsincidenten beginnen niet met een technisch probleem. Ze beginnen met een beslissing.
Een inkoper die een contract tekent zonder te vragen hoe een leverancier met jullie data omgaat. Een manager die een nieuwe medewerker alvast toegang geeft voordat HR het inwerkproces heeft afgerond. Een directeur die een project opstart zonder iemand verantwoordelijk te maken voor de informatiestroom.
Gewone beslissingen. Genomen door mensen die gewoon hun werk doen.
Informatiebeveiliging gaat in de kern daarover. De firewalls en XXX komen later. Over de dagelijkse beslissingen, genomen door mensen die niet weten dat ze een risico creëren. Door mensen die niet verantwoordelijk zijn voor informatiebeveiliging.
De organisaties waar ik de meeste impact heb gezien, hadden niet de beste technische infrastructuur. Ze hadden een management dat begreep: elke afdeling neemt beslissingen die raken aan veiligheid. HR bij uitdiensttreding. Inkoop bij nieuwe leveranciers. Projectmanagement bij de inrichting van nieuwe systemen.
Hoe zorg je ervoor dat beslissers vooraf nadenken over de risico's?
Bij de vraag: hoe maken we dit tot een succes? Hoort ook de vraag: hoe voorkomen we dat het mis gaat?
Zodra je dat ziet, verschuift de vraag.
Niet: hoe beveiligen we ons systeem?
Maar: wie is in onze organisatie verantwoordelijk voor welke beslissing?
Dat is de vraag die je vooraf moet stellen.
---
— Security als managementvraagstuk — 2/3 \#managingsecurity

25
Content Factory/Marketing voor ZZP werk/Posts/s01p02nl - Een beveiligingsrisico begint met een beslissing.md Normal file
View file

@ -0,0 +1,25 @@
`posted on 14 May 2026 10:15 CEST to LinkedIn personal stream`
# Een beveiligingsrisico begint met een beslissing
De meeste beveiligingsrisico's beginnen niet met een technisch probleem. Ze beginnen met een beslissing.
De afdeling HR die groen licht krijgt om een nieuwe tool aan te schaffen, zonder dat eerst is uitgezocht of de leverancier de beveiliging op orde heeft. De medewerker die met zijn privé account een online tool gebruikt om een bestand te converteren. De medewerker die alvast toegangsrechten krijgt, terwijl die voor zijn nieuwe functie nog bepaald moeten worden. Het project dat opgestart wordt, zonder te bedenken wie eigenaar wordt van de nieuwe informatiestroom.
Dit is de blinde vlek van informatiebeveiliging: dagelijkse beslissingen in organisaties die continu in beweging zijn, genomen door mensen die zich niet bewust zijn van de risico's die ze creëren.
De veiligste organisaties zijn organisaties waarvan het management beseft, dat elke beslissing raakt aan veiligheid, en dat je informatiebeveiliging dus niet een exclusieve verantwoordelijkheid kunt maken van de IT afdeling.
De beste beveiliging bereik je door risicoafweging te integreren in je besluitvorming, en je business processen te integreren met je IT processen. Kostbare tools en complexe implementaties zijn daarvoor geen vereiste.
Wil je voorbeelden? Hier zijn 4 eenvoudige ingrepen die geen grote investering vereisen:
1) Maak voor Inkoop een standaard vragenlijst over beveiliging, voor iedere beoogde leverancier.
2) Laat HR al bij het opstellen van een nieuw functieprofiel overleggen met IT over de toegangsrechten die daarbij horen.
3) Maak risicoanalyse een standaard onderdeel van ieder projectplan.
4) Doe een debriefing met vertrekkende medewerkers over de tools die ze gebruikt hebben en zorg voor goede overdracht.
Stel niet alleen de vraag: "hoe maken we dit tot een succes?", maar vraag ook: "Hoe voorkomen we dat het mis gaat, en wie is daarvoor verantwoordelijk?"
— Security als managementvraagstuk — 2/3
\#managingsecurity

15
Content Factory/Marketing voor ZZP werk/Posts/s01p03nl - IT als puinruimer.md
View file

@ -1,15 +0,0 @@
# Wie IT ziet als een puinruimer, calculeert de schade al in.
**Post 3 — de provocatie, met onderbouwing**
"We hebben een ISO 27001 certificaat."
Mooi. Maar wat zegt dat eigenlijk?
Het zegt dat jullie op het moment van de audit een gedocumenteerd systeem hadden. Het zegt niets over of jullie medewerkers weten wat ze moeten doen als er iets misgaat. Het zegt niets over of jullie leveranciers betrouwbaar zijn. Het zegt niets over de cultuur.
Een certificaat is een foto. Geen film.
De organisaties die ik zie worstelen zijn vaak niet de organisaties zonder certificaat. Het zijn de organisaties die denken dat het certificaat het werk heeft gedaan.
— Security als managementvraagstuk — 3/3 \#managingsecurity

18
Content Factory/Marketing voor ZZP werk/Posts/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md Normal file
View file

@ -0,0 +1,18 @@
`posted on 15 May 2026 10:15 CEST to LinkedIn personal stream`
# Security is geen IT-probleem, maar een managementvraagstuk.
Security is geen IT-probleem, maar een managementvraagstuk. Dat was de kern van de vorige twee posts. De vraag die overblijft: hoe borg je dat in je organisatie?
Losse maatregelen helpen, maar in een organisatie die blijft bewegen, schieten ze al snel tekort. Mensen vertrekken, werkwijzen veranderen, nieuwe tools worden geïntroduceerd, wet- en regelgeving verandert.
Je moet dus een managementproces inrichten dat risico's zichtbaar maakt, eigenaarschap belegt, en bijsturing mogelijk maakt. ISO 27001 biedt daarvoor een leidraad.
ISO 27001 heeft niet bij iedereen een goede reputatie: overbodige bureaucratie, formulierencircus, 14 stempeltjes voor iedere verandering. Dat is onterecht. Het is een raamwerk dat je passend kunt maken op jouw organisatie. Met als kern het managen van risico's, eigenaarschap, en continue verbetering. Groot genoeg voor corporates, flexibel genoeg voor kleinere bedrijven. En de voordelen die het biedt kun je ook genieten zonder certificering.
Stel jezelf de vraag: hoe is er in mijn organisatie voor gezorgd, dat informatiebeveiliging niet afhankelijk is van één persoon, één moment, of één afdeling?
Ik ben benieuwd hoe dat in jouw organisatie geregeld is. Stuur me gerust een bericht als je van gedachten wilt wisselen.
— Security als managementvraagstuk — 3/3
\#managingsecurity