richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

removed emoji from filenames, Obsidian changed all relevant links

Browse source
This commit is contained in:
Richard Kranendonk 2026-05-07 15:01:04 +02:00
parent d316285a74
commit 68f1c38681
638 changed files with 710 additions and 3176 deletions
Download patch file Download diff file Expand all files Collapse all files

BIN
Clients/DAK/20250309 Rapportage security assessment DAK v1.0.pdf Normal file
View file

Binary file not shown.

BIN
Clients/DAK/250128 Business Impact Analyse DAK.docx Normal file
View file

Binary file not shown.

BIN
Clients/DAK/250128 Incident Respons Plan DAK.docx Normal file
View file

Binary file not shown.

89
Clients/DAK/BIA Workshop DAK.md Normal file
View file

@ -0,0 +1,89 @@
Datum: 13 januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- [BIA Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/BIA%20Workshop.md)
[Slide Deck](Presentatie%20BIA%20voor%20DAK%20Kindercentra%2013%20januari%202025.key)
Resultaten:
- [BIA resultaat in MIRO](BIA%20resultaat%20MIRO.pdf)
- [Maximum Down Time systemen per proces](../../Corpus/Attachments/BIA%20resultaten.numbers)
- [Rapportage in Word](250128%20Business%20Impact%20Analyse%20DAK.docx)
## Deelnemers
* Arjan Helmes Medewerker facilitaire zaken (beheer Topdesk)
* Arthur van Straaten Senior medewerker debiteurenbeheer
* Christien Lakwijk Unit manager
* Ellen de Jong Manager HR, Pedagogiek en kwaliteit
* Marianne van Heezik Senior medewerker HR
* Arjan van Gameren - Projectleider IT
* Leon van Heijningen - Kwaliteitsadviseur
* Patricia Danckaerts - Functioneel Beheer
* Fasco Siebelink - IT
* Bert van Heuvel - IT
* Afwezig wegens ziek: Sander Donkers - mgr bedrijfsvoering a.i.
## Uitnodiging
Beste collegas,
IT-security is een van de pijlers onder onze bedrijfsvoering. In een wereld waarin technologie een steeds grotere rol speelt, is het essentieel dat wij voorbereid zijn op eventuele verstoringen en weten hoe we onze organisatie veerkrachtig kunnen houden. Het komende jaar richten we ons op een belangrijke stap in onze IT-strategie: het ontwikkelen van een Incident Response Plan. Dit plan is meer dan een document het is onze blauwdruk voor het omgaan met onvoorziene IT-incidenten, zoals systeemuitval, datalekken of cyberaanvallen. Het helpt ons niet alleen de impact te minimaliseren, maar zorgt er ook voor dat we snel, effectief en gecoördineerd kunnen handelen.
Om dit proces tot een succes te maken, starten we met twee interactieve workshops onder leiding van Richard Kranendonk, een expert op het gebied van IT-security en crisismanagement. Deze workshops bieden een unieke kans om gezamenlijk de fundering te leggen voor een sterk Incident Response Plan dat aansluit bij de behoeften en uitdagingen van Dak kindercentra.
Om deze workshops goed te laten verlopen, hebben we jullie inzichten, expertise en praktijkervaring nodig. Het is cruciaal dat we vanuit verschillende invalshoeken een compleet beeld krijgen van onze behoeften en uitdagingen.
Ik hoop dat iedereen kan en wil deelnemen. Alvast dank daarvoor!
Groet, Sander
## Aanpak
- Voorstelrondje
### Mondelinge introductie
**Waarom een workshop BIA?**
De kans op ernstige verstoringen is groter dan een aantal jaren geleden:
- statelijke actoren die aanvallen plegen op de infrastructuur (internetkabels onder zee)
- ransomware aanvallen (gemiddelde duur 16 dagen)
- grillig politiek en commercieel lands hap
- wetgever en toezichthouders willen een bedrijfscontinuïteitsplan zien
- voor het stellen van prioriteiten tav noodmaatregelen en herstel is het belangrijk te weten waar de prioriteiten moeten liggen dat doe je met een BIA
**Waarom jullie?**
- continuïteit is een business probleem, dat je vanuit verschillende perspectieven moet bekijken. IT kan dat niet voor jullie bepalen.
**Aanpak**
- In deze sessie gaan we vanuit 2 hoofdprocessen ([reis van de medewerker](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Employee%20Journey%20KOV.md) en [reis van het kind](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)[Customer Journey KOV](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)) de afhankelijkheid van systemen bekijken, en de impact op de processen wanneer deze systemen wegvallen. Aan de hand daarvan kunnen we prioriteiten gaan bepalen.
- In de volgende sessie gaan we kijken naar noodmaatregelen en herstel, en hoe we daarvoor voorbereidingen kunnen treffen.
### Instructie
- Op het canvas zien jullie de processtappen, we lopen er doorheen om te kijken of het herkenbaar is en of jullie iets missen.
- We gaan nu per processtap kijken welke systemen uit de [lijst](Hulplijst%20systemen%20voor%20DAK%20kindercentra.md) belangrijk zijn op dat proces uit te voeren.
- Die systemen zetten we onder de processtap, in de verticale baan
- We gaan vervolgens kijken hoe lang die systemen gemist kunnen worden: een uur, een dag, een week of een maand
- Hieruit kunnen we dan 2 dingen afleiden:
- de meest kwetsbare bedrijfsfuncties: dit is voor de business een maat voor de prioriteit van het *activeren* van noodmaatregelen (en wanneer het systemen betreft die alleen die bedrijfsfunctie ondersteunen, voor IT in de prioriteit van herstelmaatregelen)
- de meest kritische systemen: dit is voor IT een maat voor de prioriteit van het preventief treffen van uitwijkmogelijkheden en het activeren van herstelmaatregelen.
### Verwerking
1. In Excel een matrix gemaakt van processtappen en systemen
2. in de cellen een MTD gezet in dagen (1 uur = 0.125 dag)
3. Geclassificeerd als: 1 uur is Rood, 1 tot 2 dagen is Oranje, een week tot een maand is Groen
4. als je er een grafiek van wil maken, kun je de waarde in de cel vervangen door 1/x, dus 1 uur wordt 8 en 1 maand wordt 0.03 dit is dan een maat voor urgentie
- Score 8 is Rood, score 0.5-1.0 is Oranje, 0.03-0.14 is Groen
## Evaluatie van de workshop
- Blinde vlekken / ontbrekende personen:
- De pedagogisch coaches maken gebruik van documenten op de fileservers, die zijn nu niet betrokken. Ze vallen onder de unit-coördinatoren. Leon en Christien kunnen met hen schakelen.
- Voor het bedenken van noodoplossingen in de volgende workshop, is het handig om ook Miriam Eggermond van de boekhouding en Teamleider klantadvies Charlotte van der Weijde te betrekken (voor het kind-deel)
- Wendy Zuiderwijk doet de salarisverwerking.- Handig om de volgende workshop (DRP) te splitsen in een kind-deel en een medewerkers-deel. Verschillende deelnemers geven aan graag bij beide delen aanwezig te willen zijn.
- Er waren teveel processtappen: wel benoemen maar clusteren in minder verticale banen
- De verticale banen waren te lang/hoog, dat geeft veel gescroll. Die hoogte was gedaan, om primaire systemen, secundaire systemen en randvoorwaarden te onderscheiden, maar dat is te ingewikkeld.
- De IT-beheersystemen en platforms zijn niet aan de orde gekomen. Dat is niet iets om in een business workshop te bespreken.
- De personen als SPOF zijn niet aan de orde gekomen
- Van de categorieën voor uitvaltijd (uur, dag, week, maand) schoot dag/week soms te kort: medewerkers wilden dan 2 dagen of 3 dagen toekennen.
- Het is belangrijk het onderscheid te benadrukken tussen 'heel erg onhandig' vs. 'schadelijk voor de organisatie' bij het toekennen van de uitvaltijd gaat het om dat laatste.

4406
Clients/DAK/BIA resultaat MIRO.pdf Normal file
View file

File diff suppressed because it is too large Load diff

BIN
Clients/DAK/Due Dilligence en Accountantsrapportage DAK.pdf Normal file
View file

Binary file not shown.

36
Clients/DAK/Hulplijst systemen voor DAK kindercentra.md Normal file
View file

@ -0,0 +1,36 @@
# Hulplijst systemen voor DAK kindercentra
Bron: [Uitvraag DAK](Uitvraag%20DAK.md)
**Applicaties (voor eindgebruikers)**
- AFAS-FIN
- AFAS-HR
- CPM
- Datto
- Exchange (on premise)
- Fileserver
- Iris
- Jaamo
- Kokon
- Office 365
- Outlook
- Word/Excel/PP
- OneDrive
- OnGuard
- PowerBI
- SharePoint
- Teams
**Platform**
- Azure
- Citrix
- EntraID
- Intune
- Local AD
- PRTG
- TopDesk
- Veeam
- VMWare
Externe bronnen (portals, websites)
Generieke voorzieningen: wifi, internetverbinding, telefonie/mobiele data, stroom, klimaatvoorzieningen

55
Clients/DAK/IRP Workshop DAK.md Normal file
View file

@ -0,0 +1,55 @@
Datum: 20 januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- [DRP Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/DRP%20Workshop.md)
Resultaten:
- [Notities uit sessie](IRP%20uitwerking.xlsx)
- [Incident Respons Plan](250128%20Incident%20Respons%20Plan%20DAK.docx)
## Deelnemers
* Arjan Helmes Medewerker facilitaire zaken (beheer Topdesk)
* Arthur van Straaten Senior medewerker debiteurenbeheer
* Bert van Heuvel - IT
* Christien Lakwijk Unit manager
* Ellen de Jong Manager HR, Pedagogiek en kwaliteit
* Fasco Siebelink - IT
* Marianne van Heezik Senior medewerker HR
* Arjan van Gameren - Projectleider IT
* Leon van Heijningen - Kwaliteitsadviseur
* Patricia Danckaerts - Functioneel Beheer
* Sander Donkers - mgr bedrijfsvoering a.i.
* Pedagogisch coaches?
* Miriam Eggermond, boekhouding
* Charlotte van der Weijde, Teamleider klantadvies (voor het kind-deel)
- Wendy Zuiderwijk, salarisverwerking
## Aanpak
Voorstelrondje (voor deelnemers die er in de vorige workshop ([BIA](BIA%20Workshop%20DAK.md)) niet bij waren)
### Introductie
In de workshop van vorige week hebben we gekeken hoe lang systemen gemist konden worden, voordat de verschillende bedrijfsprocessen hiervan schade ondervonden (en het dus meer werd dan 'erg onhandig').
Daarvan wil ik de resultaten nu met jullie delen: [Maximum Down Time systemen per proces](../../Corpus/Attachments/BIA%20resultaten.numbers).
In deze sessie gaan we voor de kwetsbaarste processen kijken welke noodmaatregelen we kunnen inzetten als de meest kritische systemen uitvallen, hoe we die noodmaatregelen kunnen voorbereiden, wie we daarvoor nodig hebben, en hoe we gaan communiceren met de verschillende stakeholders over die noodmaatregelen.
Dus:
- Jaamo is niet beschikbaar. Hoe kunnen we er voor zorgen dat we toch de ouders kunnen bereiken vanaf de locaties? Wat hebben we daarvoor nodig?
- Adressenlijst
- Telefoon
- Hoe zorgen we er voor dat die adressenlijst beschikbaar is op de locatie? Waar bewaren we die (want privacy)?
- Hoe vaak moet die uitgeprint worden om hem actueel te houden? Wie gaat dat doen?
- Met wie moeten we communiceren om de noodprocedure in gang te zetten?
- Wie moeten we inlichten over de gewijzigde werkwijze, wanneer, hoe, en wie doet het?
- Welke registraties moeten we handmatig voeren om aan onze verplichtingen te voldoen, en straks de systemen weer bij te kunnen werken?
- Hoe gaan we terug naar normaal?
- aan welke randvoorwaarden moet voldaan zijn voor we de noodtoestand kunnen opheffen? Hoe komen we dat te weten?
- wie moeten we inlichten over het opheffen van de noodmaatregelen, wanneer, hoe, en wie doet het?
- wie gaat wanneer de systemen bijwerken adhv de noodregistraties?

BIN
Clients/DAK/IRP uitwerking.xlsx Normal file
View file

Binary file not shown.

BIN
Clients/DAK/Inventarisatie Toegangsbeheer DAK 2 april 2025.docx Normal file
View file

Binary file not shown.

36
Clients/DAK/Inventarisatie beheer SaaS applicaties DAK.md Normal file
View file

@ -0,0 +1,36 @@
# Inventarisatie beheer SaaS applicaties DAK
![](Inventarisatie%20Toegangsbeheer%20DAK%202%20april%202025.docx)
## Voorgestelde aanpak voor beleidsmatig toegangsbeheer
Solide, risico-gebaseerd toegangsbeheer kent verschillende componenten:
1. inzage in de soorten informatie en de risicos van ongeoorloofde toegang (dataclassificatie)
2. bepalen welke informatie toegankelijk moet zijn, en voor wie (volgens need to know en least privilege principes, op basis van rollen in de organisatie)
3. procedures voor het bepalen, toekennen en ontnemen van toegang tot informatie.
Om dit te bereiken kunnen de onderstaande stappen genomen worden.
### Opstellen dataclassificatie
- Bepaal de belangrijkste risicogebieden en de risicobereidheid van de organisatie
- Kwalificeer de classificatie-niveaus in overeenstemming met de risicobereidheid
- Identificeer documentsoorten en informatietypen en bepaal het classificatie-niveau
- Bepaal risicobeperkende maatregelen en richtlijnen voor de omgang met de verschillende categorieën informatie.
### Bepalen noodzakelijke toegang
- Definieer rollen voor de verschillende omgevingen en applicaties, gekoppeld aan het functiehuis van DAK.
- Stel per omgeving/applicatie een rechtenmatrix op, gebaseerd op deze rollen, rekening houdend met de autorisatiestructuur van de omgeving/applicatie.
- Implementeer deze rechtenmatrices binnen de applicaties.
### Procedures voor toegangsbeheer
- Formuleer beleid voor het toekennen van rechten in overeenstemming met functiebeschrijvingen, gebaseerd op need to know en least privilege principes.
- Maak helder onder welke omstandigheden, en op welk mandaat, hiervan afgeweken mag worden. Doe dit o.b.v. een risicoanalyse en documenteer de afwijkingen.
- Richt een (beschreven) proces in voor het toekennen, wijzigen en ontnemen van rechten bij personeels- en functiewijzigingen.
- Controleer periodiek de uitvoering.
## Informatiebeheer op SharePoint
Hoewel dit strikt gezien niet onder toegangsbeheer valt, wil ik op basis van de inventarisatie toch een aantal aanbevelingen voor het informatiebeheer op SharePoint geven. Waarschijnlijk komt dit aan de orde in het project met IT Value.
- Stel richtlijnen en uitgangspunten op voor de inrichting van SharePoint (cq. Teams) om wildgroei en vervuiling te voorkomen.
- Stel beleid op voor het aanmaken, archiveren en opheffen van sites, kanalen, etc. in SharePoint en Teams.
- Wijs informatie-eigenaren aan voor de verschillende onderdelen van SharePoint en Teams en beschrijf daarvoor taken, bevoegdheden en verantwoordelijkheden.
- Implementeer een rechtenstructuur in overeenstemming met deze rol.
- Veranker dit beleid aan de dataclassificatie.

29
Clients/DAK/LLM destillatie risk interviews DAK.md Normal file
View file

@ -0,0 +1,29 @@
This report outlines security risks and contributing factors discovered through interviews with various personnel at a childcare organization, along with recommendations for remediation.
**Key Security Risks:**
* **Inadequate File Server Management:** The organization acknowledges a long-standing issue with the file server's folder structure and permissions, lacking a clear overview of user access rights. This poses security and data management risks, potentially granting unauthorized access to sensitive information. Contributing factors include the absence of a defined structure, inconsistent adherence to policies, and a reactive approach to requests.
* **Lack of Data Classification and Handling Guidelines:** The organization lacks a formal data classification system and comprehensive guidelines for handling sensitive information. While some departments like HR and Finance demonstrate higher awareness, consistent organization-wide policies and training are absent. This increases the risk of data breaches and non-compliance with data protection regulations.
* **Inefficient System Integration and Automation:** The organization relies on manual processes and workarounds to bridge gaps between its various systems, notably between AFAS (HR and Finance) and Jaamo (child registration). This introduces inefficiencies, increases the potential for human error, and hinders effective data management.
* **Insufficient Security Awareness and Training:** While basic security guidelines exist, awareness and adherence among employees are inconsistent, evidenced by practices like storing passwords on monitors. A robust security awareness program with targeted training is crucial to address these concerns and promote a security-conscious culture.
* **Limited Supplier Management and Oversight:** The responsibility for managing relationships with IT suppliers is fragmented across different departments, hindering consistent oversight and potentially leading to inconsistencies in security practices.
**Contributing Factors:**
* **Lack of Clear Policies and Frameworks:** The absence of a well-defined IT policy and security framework contributes to inconsistent practices and reactive responses to security issues.
* **Capacity and Prioritization Challenges:** Limited IT resources and competing priorities likely delay addressing security concerns, exemplified by the persistent file server access issue.
* **Incomplete Inboarding and Knowledge Management:** New employees lack a comprehensive onboarding program covering essential IT systems, security procedures, and data handling practices. This can lead to knowledge gaps and inconsistencies in applying security measures.
* **Inadequate Control Over External Access:** The organization grants external parties access to its data, such as through the ouderportaal (parent portal), raising concerns about proper access control and data protection.
**Recommendations:**
* **Establish a Robust IT Security Policy and Framework:** Develop and implement a comprehensive IT security policy and framework that encompasses data classification, access control, incident management, supplier management, and security awareness training.
* **Implement a Data Classification System:** Define clear categories for data sensitivity, establish corresponding handling procedures, and integrate this system into the organization's workflows and applications.
* **Prioritize and Address File Server Access Issues:** Conduct a thorough review of file server permissions and implement role-based access control to ensure that users have appropriate access to information.
* **Enhance System Integration and Automation:** Explore options for automating data flows between critical systems (AVAS, Jamo, etc.) to reduce manual processes, improve data accuracy, and streamline workflows.
* **Develop a Comprehensive Security Awareness Program:** Implement regular security awareness training for all employees, covering topics such as password hygiene, phishing awareness, data handling best practices, and incident reporting procedures.
* **Strengthen Supplier Management and Oversight:** Consolidate supplier management responsibilities, establish clear security requirements for all suppliers, and conduct regular audits to ensure compliance.
* **Develop a Business Continuity and Disaster Recovery Plan:** As the organization acknowledges the lack of a plan for system outages, creating and testing these plans is critical. This involves identifying critical systems, establishing recovery time objectives (RTOs), and outlining procedures for restoring operations.
* **Conduct Regular Security Audits and Risk Assessments:** Implement a program of regular security audits and risk assessments to proactively identify vulnerabilities, monitor compliance, and drive continuous improvement.
**By addressing these recommendations, the childcare organization can significantly strengthen its security posture, protect sensitive information, and mitigate potential risks.**

52
Clients/DAK/Opdracht DAK.md Normal file
View file

@ -0,0 +1,52 @@
Zie ook: [Uitvraag DAK](Uitvraag%20DAK.md), [Vervolgopdracht DAK](Vervolgopdracht%20DAK.md)
Getekend 15 november 2024
![](Opdracht%20Dak%20aan%20TSW.docx)
Op basis van de vraagstelling en wat besproken is, bieden wij de volgende interventies aan:
- [Risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- [Business Impact Analyse](BIA%20Workshop%20DAK.md)
- [Incident Respons en Herstelplan](IRP%20Workshop%20DAK.md)
- [Pentest op de IT-omgevingen](Pentest%20DAK.md)
Deze interventies zijn hieronder uitgewerkt.
[Planning per 14 januari 2025](Planning%20DAK%2014012025%201.md)
| **Risico-inventarisatie** | |
| ------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Doel:** | Inzicht krijgen in het actuele risicolandschap van de organisatie m.b.t. de veiligheid van informatie: Beschikbaarheid, Vertrouwelijkheid en Integriteit (BVI) |
| **Hoe:** | Door middel van interviews met IT-medewerkers en applicatiebeheerders worden de bekende risicos in kaart gebracht. |
| **Interviewees:** | - IT-beheerders<br>- Applicatiebeheerders<br>- N.t.b. |
| **Benodigde informatie:** | - Organogram<br>- Systeemlandschap en kroonjuwelen<br>- Overzicht dienstverleners en geleverde diensten (SLAs [[1]])<br>- Relevante bevindingen Due Dilligence onderzoek |
| **Resultaat:** | Risicoregister |
| **Business Impact Analyse** | |
| --------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Doel:** | Inzicht krijgen in de kritische bedrijfsfuncties en hun afhankelijkheid van informatiesystemen en dienstverleners, zodat prioriteiten voor noodoplossingen en herstel kunnen worden bepaald, als basis voor Incident Respons en Herstelplannen. |
| **Hoe:** | In een workshop van 3 uur worden de kritische bedrijfsprocessen en hun onderliggende systemen en afhankelijkheden geïdentificeerd. De impact van het wegvallen van de systemen wordt in kaart gebracht, en er worden doelen bepaald voor maximale downtime en dataverlies. |
| **Deelnemers:** | - Manager bedrijfsvoering<br>- Senior medewerkers Planning & Administratie, HR, Finance (afhankelijk van organogram)<br>- IT-beheerders / Applicatiebeheerders (n.t.b.) |
| **Benodigde informatie:** | - Resultaten workshop risico-inventarisatie<br>- Bedrijfsproces Reis van het Kind (customer journey)<br>- Bedrijfsproces Reis van de Medewerker (employee journey) |
| **Resultaat:** | Analyse van de kritische bedrijfsfuncties en hun afhankelijkheid van informatiesystemen en dienstverleners, samen met prioriteiten voor noodoplossingen en herstel |
| **Incident Respons en Herstelplan** | |
| ----------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Hoe:** | In een workshop van 3 uur worden mogelijke noodoplossingen geïnventariseerd, en welke stappen genomen moeten worden om weer terug te keren naar de normale situatie. Ook worden de daarvoor benodigde mensen, middelen en partijen geïdentificeerd. |
| **Deelnemers:** | - Manager bedrijfsvoering<br>- IT beheerders<br>- Applicatiebeheerders |
| **Benodigde informatie:** | - Resultaten workshop Business Impact Analyse |
| **Resultaat:** | - Incident Respons Plan (continuïteit van kritische bedrijfsfuncties in een noodsituatie)<br>- Herstelplan (terugkeer naar de normale situatie) |
| **Pen-test** | |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| **Hoe:** | Uit te voeren door een gespecialiseerde partij. Uit drie leverancierspresentaties en offertes kiezen we de partij die het beste past. |
| **Benodigde informatie:** | - N.t.b. |
| **Resultaat:** | Inzicht in de kwetsbaarheden van de IT-omgeving, en prioritering van remediërende maatregelen |
| **Bandbreedte kosten:** | €7.500 €35.000, afhankelijk van leverancier en scope<br>+ 1 dag trajectbegeleiding |
---
[[1]] Bedragen en andere concurrentiegevoelige informatie mogen worden weggelakt

BIN
Clients/DAK/Opdracht Dak aan TSW.docx Normal file
View file

Binary file not shown.

80
Clients/DAK/Pentest DAK rapport Vitaen.md Normal file
View file

@ -0,0 +1,80 @@
# Rapportage Penetratietest DAK Kindercentra
## Scope
- Locatie kinderdagverblijf (Lamgroen 18, 2511 XE Den Haag)
- Locatie Servicekantoor (Maanweg 174, 2516 AB Den Haag)
- Azure omgeving
- Externe componenten DAK
## Gehanteerde richtlijnen
- [OWASP ASVS](https://owasp.org/www-project-application-security-verification-standard/) Application Security Verification Standard
- [OWASP API Security Project](https://owasp.org/www-project-api-security/
- [OWASP Secure Headers Project](https://owasp.org/www-project-secure-headers) )
- NCSC-NL - [ICT-beveiligingsrichtlijnen](https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1) voor Transport Layer Security (TLS)
- [MITRE ATT&CK®](https://attack.mitre.org) Matrix for Enterprise
- [OSSTMM 3](https://www.isecom.org/OSSTMM.3.pdf) Open Source Security Testing Methodology
- [PTES](http://www.pentest-standard.org/index.php/Main_Page) Penetration Testing Execution Standard
- [NIST (SP) 800-115](https://csrc.nist.gov/pubs/sp/800/115/final), Technical Guide to Information Security Testing and Assessment
Kwetsbaarheden gescoord volgens het Common Vulnerability Scoring System ([CVSS versie 3.x](https://nvd.nist.gov/vuln-metrics/cvss)).
## Bevindingen
| Identifcatie | Naam bevinding | Risicoclassificatie |
| ------------ | -------------------------------------------------- | ------------------- |
| ID: F.11 | Kerberoastable Domain Admin Account | Hoog |
| ID: F.1 | WP-Cron beschikbaar | Medium |
| ID: F.8 | Service Accounts met domain admin rechten | Medium |
| ID: F.3 | Users.json beschikbaar voor anonieme gebruikers | Laag |
| ID: F.4 | Toegang tot xml-rpc.php voor anonieme gebruikers | Laag |
| ID: F.10 | Kerberoastable service accounts | Laag |
| ID: F.12 | Web applicatie draaiend op port 80 | Laag |
| ID: F.2 | DMARC: Quarantine/Reject policy niet geconVgureerd | Informatief |
| ID: F.5 | Missende security headers | Informatief |
| ID: F.6 | Default Admin account actief binnen Azure | Informatief |
| ID: F.7 | Applicatiegeheim met te lange einddatum | Informatief |
| ID: F.9 | Verouderde Servers | Informatief |
**Mijn mening**
- F.8, F.10 en F.11 gaan alledrie over Service Accounts met onnodig hoge rechten. Mogelijk een structurele fout in de benadering van Service Accounts beleidsvorming lijkt me verstandig. Zou voor mijn begrip graag uitleg willen waarom de risicoclassificatie van F.8 'medium' is
- F.10 en F.11 draaien beiden om Kerberoasting maar F.10 heeft RC 'Laag' en F.11 heeft RC 'Hoog'. Waarom?
- F12: welke web applicatie is dit? Want als dit gevoelige gegevens betreft vind ik het niet RC 'Laag'
- F1, F4 gerelateerd aan de implementatie van de website is dit door een partner gedaan? Dit is wat betreft informatiebeveiliging een aandachtspunt voor het leveranciersmanagement
- F6: standaard admin account op Azure actief. Zie F1, F4.
- F7: applicatiegeheim Zorgmail met ongebruikelijk lange geldigheidstermijn in Azure. Wie heeft dit ingesteld? Mogelijk zelfde als F1, F4 en F6. Ik weet niet wat de gevolgen kunnen zijn van een kwetsbaarheid op Zorgmail Domeinboek.
### F.11 Kerberoastable Domain Admin Account
Voor het gebruik van de SA_VEEAM backup software is een Domain Administrator account aangemaakt. Dit geeft directe toegang geeft tot de volledige Active Directory-omgeving. Een aanvaller kan hiermee back-ups manipuleren, verwijderen of zelfs de volledige Active Directory overnemen. Het principe van least privilege lijkt niet te zijn toegepast
Volgens Vitaen is dit 'in de meeste gevallen niet noodzakelijk en verhoogt het aanvalsoppervlak aanzienlijk':
>Aangezien dit account vatbaar is voor een [Kerberoasting](../../Corpus/Sparks/Kerberoasting.md) aanval, is het mogelijk gebleken de wachtwoord hash te bemachtigen. Het bleek echter niet mogelijk in de korte tijd dat de opdracht plaatsvond, om hiervan het wachtwoord te brute-forcen.
**Oplossingsrichting**
> Vitaen adviseert om het principe van least privilege toe te passen: service accounts mogen alleen de rechten krijgen die strikt noodzakelijk zijn voor hun functionaliteit. Waar mogelijk moeten alternatieve oplossingen zoals Managed Service Accounts (MSA) of Group Managed Service Accounts (gMSA) worden gebruikt, die automatisch wachtwoorden roteren en minder risicovol zijn. Daarnaast moet het gebruik van service accounts met verhoogde rechten actief worden gemonitord en gelogd, zodat afwijkend gedrag direct wordt opgemerkt.
NOTA BENE: F.10 draait ook om Kerberoasting maar heeft RC 'Laag'. Waarom? Bij de oplossingsrichting aldaar wordt ook het 'monitoren van Kerberos-verzoeken op verdachte activiteiten' genoemd.
### F.1 WP-Cron beschikbaar
WP-Cron.php is een virtueel cron systeem dat wordt gebruikt door WordPress om geplande taken uit te voeren. Dit endpoint is publiekelijk toegankelijk, wat aanvallers in staat stelt om ongeautoriseerde cron-taken uit te voeren wat kan resulteren in een Denial-of-Service (DoS)-aanval.
**Oplossingsrichting**
> Vitaen adviseert om de toegang tot WP-Cron.php door middel van IP-restricties of authenticatie te beperken. Alternatief kan WP-Cron.php uitgeschakeld worden in de WordPress-conVguratie (wpconVg.php) en vervangen worden door de server-gebaseerde cron om geplande taken uit te voeren. Dit voorkomt ongewenste toegang en minimaliseert de kans op misbruik.
### F.8 Service Accounts with domain admin rechten
> Meerdere service accounts beschikken over Domain Admin-rechten. (...) Het toekennen van dergelijke hoge privileges aanzienlijke risicos met zich mee.
Bij compromittering van (deze) account(s) kan een aanvaller:
> volledige controle over de Active Directory kan verkrijgen. Dit opent de deur naar privilege escalation, laterale beweging binnen het netwerk en zelfs volledige overname van de IT-infrastructuur. Bovendien worden service accounts vaak uitgesloten van multi-factor authenticatie (MFA), wat het risico op misbruik verder vergroot.
**Oplossingsrichting**
> Vitaen adviseert om het principe van least privilege toe te passen: service accounts mogen alleen de rechten krijgen die strikt noodzakelijk zijn voor hun functionaliteit. Waar mogelijk moeten alternatieve oplossingen zoals Managed Service Accounts (MSA) of Group Managed Service Accounts (gMSA) worden gebruikt, die automatisch wachtwoorden roteren en minder risicovol zijn. Daarnaast moet het gebruik van service accounts met verhoogde rechten actief worden gemonitord en gelogd, zodat afwijkend gedrag direct wordt opgemerkt.
![](20250309%20Rapportage%20security%20assessment%20DAK%20v1.0.pdf)

68
Clients/DAK/Pentest DAK.md Normal file
View file

@ -0,0 +1,68 @@
## Uitgenodigde partijen:
- [Vitaen](https://vitaen.nl) (v/h [Cocoon](https://www.cocoon.nl/))
- [Holm Security](bear://x-callback-url/open-note?id=DAAF7921-CB06-4007-8C65-F75014A65786)
- [Inducem](bear://x-callback-url/open-note?id=91504CCE-FCE4-4F36-A3E9-CE7B67EE182A)
- [SecuResult](https://securesult.nl)
De keuze is gevallen op Vitaen.
De [rapportage](Pentest%20DAK%20rapport%20Vitaen.md) is opgeleverd op 19 maart 2025.
## Uitvraag
Beste <naam>,
namens mijn opdrachtgever, DAK Kindercentra (Den Haag) wil ik jullie uitnodigen deel te nemen aan het selectietraject voor het uitvoeren van een pen-test.
De hoofdvragen waar we een antwoord op zoeken, zijn:
1. hoe makkelijk/moeilijk is het om bij informatie/resources van DAK te komen?
2. wat zijn de meest urgente risicos?
3. met welke praktisch implementeerbare maatregelen kunnen deze risicos gemitigeerd worden?
Om deze vragen te beantwoorden stelt DAK een budget van max. 5 factureerbare dagen beschikbaar voor het uitvoeren van de testen en het opstellen van de rapportage.
Onze vragen aan jullie:
1. Hoe willen jullie dit aanpakken?
2. Wat hebben jullie daarvoor nodig van DAK?
3. Wat gaan jullie hiervoor in rekening brengen?
4. Wanneer kan de test uitgevoerd worden?
5. Welke referenties en kwalificaties kunnen jullie overleggen?
**Scope**
Binnen de scope van deze scan vallen:
1. Het uitvoeren van een test op/vanaf het Servicekantoor te Voorburg
2. Het uitvoeren van een test op/vanaf één van de eigen kinderopvang locaties
3. Het uitvoeren van een test op/vanaf één van de IKC locaties
De lokale infrastructuur op de eigen locaties is in opdracht van DAK geïmplementeerd door Informatel. De lokale infrastructuur op de IKC locaties is onder beheer van derden (hier wordt de kinderopvang geboden vanuit een school met een eigen infrastructuur).
De belangrijkste informatie-assets zijn:
- On-premise op het Servicekantoor te Voorburg:
- Citrix
- Fileserver
- SQL server
- Applicatieservers
- As a Service van externe leveranciers:
- MS365, incl. en Azure, EntraID en Intune (door Eshgrow)
- Jaamo
- AFAS
- TopDesk
- Collaboration VoIP
Jaamo, AFAS, Topdesk en Collaboration zijn zelf geen onderwerp van de pentest, de door Eshgrow geleverde Microsoft omgeving is dat wèl. We noemen deze systemen omdat bijvangst hierover wel interessant is (login informatie die jullie op onze systemen aantreffen bijvoorbeeld).
**Nadere afstemming**
Als het voor de beantwoording van de vragen zinvol is om nader contact te hebben, kunnen we hiervoor een Teams call plannen in week 4.
Jullie antwoorden op de hierboven gestelde vragen ontvangen wij graag uiterlijk eind week 5.
Voordat nadere informatie verstrekt wordt, zullen we jullie vragen een NDA te ondertekenen.

30
Clients/DAK/Planning DAK 14012025 1.md Normal file
View file

@ -0,0 +1,30 @@
∏Tabel
| **Activiteit** | Wk01 | Wk02 | **Wk03** | Wk04 | Wk05 | Wk06 | Wk07 | Wk08 | Wk09 | Wk10 | Wk11 | Wk12 | Wk13 | Wk14 | Wk15 | Wk16 | Wk17 | Wk18 | Wk19 | Wk20 | |
|-------------------------------------|------|------|----------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|---|
| **Risico-inventarisatie** | | | | | | | | | | | | | | | | | | | | | |
| Interviews | | | | | | | | | | | | | | | | | | | | | |
| Opleveren rapportage | | | | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Business Impact Analyse** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | X | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Incident Respons en Herstelplan** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | | X | | | | | | | | | | | | | | | | | |
| Opleveren concept IR-plan | | | | | | X | | | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren IR-plan | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken herstelprocedure IT | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren concept Herstelplan IT | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | | | 0 | X | | | | | | | | | | | |
| Opleveren Herstelplan IT | | | | | | | | | | | X | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Pentest** | | | | | | | | | | | | | | | | | | | | | |
| Bepalen scope | | | X | | | | | | | | | | | | | | | | | | |
| Uitsturen uitvraag | | | X | | | | | | | | | | | | | | | | | | |
| Presentatie leveranciers | | | | | X | | | | | | | | | | | | | | | | |
| Offertes | | | | | | X | | | | | | | | | | | | | | | |
| Opdrachtverlening | | | | | | | X | | | | | | | | | | | | | | |
| Uitvoeren Test | | | | | | | | | X | X | | | | | | | | | | | |
| Rapportage | | | | | | | | | | | X | | | | | | | | | | |
| Realiseren hoge prio bevindingen | | | | | | | | | | | X | X | X | X | X | X | X | X | X | X | |

30
Clients/DAK/Planning DAK 14012025.md Normal file
View file

@ -0,0 +1,30 @@
Tabel
| **Activiteit** | Wk01 | Wk02 | **Wk03** | Wk04 | Wk05 | Wk06 | Wk07 | Wk08 | Wk09 | Wk10 | Wk11 | Wk12 | Wk13 | Wk14 | Wk15 | Wk16 | Wk17 | Wk18 | Wk19 | Wk20 | |
| ----------------------------------- | ---- | ---- | -------- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | --- |
| **Risico-inventarisatie** | | | | | | | | | | | | | | | | | | | | | |
| Interviews | | | | | | | | | | | | | | | | | | | | | |
| Opleveren rapportage | | | | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Business Impact Analyse** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | X | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Incident Respons en Herstelplan** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | | X | | | | | | | | | | | | | | | | | |
| Opleveren concept IR-plan | | | | | | X | | | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren IR-plan | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken herstelprocedure IT | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren concept Herstelplan IT | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | | | 0 | X | | | | | | | | | | | |
| Opleveren Herstelplan IT | | | | | | | | | | | X | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Pentest** | | | | | | | | | | | | | | | | | | | | | |
| Bepalen scope | | | X | | | | | | | | | | | | | | | | | | |
| Uitsturen uitvraag | | | X | | | | | | | | | | | | | | | | | | |
| Presentatie leveranciers | | | | | X | | | | | | | | | | | | | | | | |
| Offertes | | | | | | X | | | | | | | | | | | | | | | |
| Opdrachtverlening | | | | | | | X | | | | | | | | | | | | | | |
| Uitvoeren Test | | | | | | | | | X | X | | | | | | | | | | | |
| Rapportage | | | | | | | | | | | X | | | | | | | | | | |
| Realiseren hoge prio bevindingen | | | | | | | | | | | X | X | X | X | X | X | X | X | X | X | |

BIN
Clients/DAK/Presentatie BIA voor DAK Kindercentra 13 januari 2025.key Normal file
View file

Binary file not shown.

20
Clients/DAK/Risico-inventarisatie DAK.md Normal file
View file

@ -0,0 +1,20 @@
Datum: XX januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- XXX
Resultaten:
- RI rapport
- RI Excel
Zie ook:
[Vervolgopdracht DAK](Vervolgopdracht%20DAK.md)

39
Clients/DAK/Uittreksel Due Dilligence en Accountantsrapportage DAK.md Normal file
View file

@ -0,0 +1,39 @@
![](Due%20Dilligence%20en%20Accountantsrapportage%20DAK.pdf)
## Accountantsrapportage
De belangrijkste applicaties "zijn standaard softwareoplossingen en worden afgenomen op basis van Software as a Service. Dit betekent dat Dak Kindercentra voor deze oplossingen grotendeels wordt ontzorgd met betrekking tot IT-beheersmaatregelen, waaronder ontwikkeling en uitrol van updates, back-up & recovery en beveiliging van deze online oplossingen.
"adviseren wij Dak Kindercentra zelf de monitoring van deze oplossingen en bijbehorende diensten van de leveranciers aan te scherpen. (...) "Dit kan onder andere door het jaarlijks opvragen van derdenverklaringen (AFAS isae3402), uitoefenen van het recht op audit en/of het periodiek laten rapporteren over de diensten en prestaties (vb. SLR)."
(cyber)weerbaarheid te vergroten door:
- periodieke risicoanalyse
- uitgangspunten en randvoorwaarden vastleggen in een informatiebeveiligingsbeleid.
- invoeren van een Plan-Do-Check-Act cyclus
- beheersmaatregelen formaliseren en documenteren
- cf ISO 27001 en NIS 2
Zorgen over continuïteit van leverancier Jaamo.
Hoge prio bevindingen:
- operationele gebruikers hebben admin richten in AFAS, Jaamo en Factuur+
## Due Dilligence
Gebrek aan structuur (van de ICT organisatie) en documentatie vergroot de kans op inconsistenties, inefficiencies en beveiligingsrisico's. Om deze problematiek het hoofd te bieden, is het van belang om beleid en procedures te standaardiseren en een duidelijke documentatiestructuur te creëren.
Geen aantoonbare naleving van relevante beveiligingsnormen en wet- en regelgeving.
Integraties tussen software applicaties zijn niet gedocumenteerd. Voor ontwikkeling en beheer wordt vertrouwd op de leveranciers.
Hoog risico:
- gebrek aan systematische risicobeheersprocessen
- onvoldoende disaster recovery planning
- Gebruikersautorisatie niet op orde inloggen met een gedeeld locatie-account dat ook toegang geeft tot de Exchange accounts, zonder MFA of SSO
- DD: backup systeem is niet imuun
- implementeer een roterend systeem van wisselende externe harde schijven, opslag extern
- overweeg een clouddienst voor 'immutable backups' (kunnen niet gewijzigd worden, geeft extra bescherming tegen ransomware-aanvallen)
Medium risico:
- zorg voor continue netwerkmonitoring (niet alleen PRTG) maar ook SIEM [RK: uitbesteden]
- onboarding is niet geautomatiseerd (HR->AAD), doe regelmatige audits op gebruikersrechten
- training van personeel

1
Clients/DAK/Uitvraag DAK.md Normal file
View file

@ -0,0 +1 @@
![](Uitvraag%20DAK.xlsx)

BIN
Clients/DAK/Uitvraag DAK.xlsx Normal file
View file

Binary file not shown.

19
Clients/DAK/Vervolgopdracht DAK.md Normal file
View file

@ -0,0 +1,19 @@
In de afgelopen 2 maanden hebben we belangrijke stappen gezet in het verbeteren van de informatieveiligheid voor DAK Kindercentra, door het uitvoeren van een risico inventarisatie, een business impact analyse, en het opstellen van een incident respons plan. We staan op het punt een pentest te laten uitvoeren om de kwaliteit van de bescherming tegen externe dreigingen te toetsen.
Uit de risico inventarisatie is onder andere naar voren gekomen, dat het bij DAK ontbreekt aan beleid voor informatiebeveiliging, iets dat ook al is gesignaleerd in de due dilligence- en accountantsrapportage.
Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.
De risico inventarisatie laat zien dat 3 gebieden in het bijzonder aandacht behoeven: het managen van toegangs- en beheersrechten, het managen van leveranciers, en het sturen op informatieveiligheid met een PDCA cyclus voor risicomanagement.
Met deze notitie doe ik een voorstel voor het opstellen en borgen van beleid op de gebieden die op dit moment de meeste aandacht nodig hebben.
![](Voorstel%20beleidsvorming%20informatiebeveiliging%20voor%20Dak%20kindercentra.docx)
### Bronnen voor deze notitie
- [](Voorstel%20vervolg%20DAK.bike)
- [Dataclassificatie volgens TLP](../../Corpus/Standards/ISO27x/Implementation%20Products/Dataclassificatie%20volgens%20TLP.md#Introductietekst)
- [Selectie en implementatie van Technologie bij Humankind](../Humankind/Selectie%20en%20implementatie%20van%20Technologie%20bij%20Humankind.md) maar niet alle details
- management overzicht ISO 27001 / [NIS 2](../Humankind/NIS%202%20voor%20Humankind.md)
- Gebruik [NIS 2 Directive and ISO 27001-2022](../../Corpus/Standards/NIS%202/NIS%202%20Directive%20and%20ISO%2027001-2022.md), dit bevat een mooie gebiedsindeling en link naar de ISO
- Maatregelen Excel met groen gemarkeerde artikelnummers

BIN
Clients/DAK/Voorstel beleidsvorming informatiebeveiliging voor Dak kindercentra.docx Normal file
View file

Binary file not shown.

225
Clients/DAK/Voorstel vervolg DAK.bike Normal file
View file

@ -0,0 +1,225 @@
<?xml version="1.0" encoding="UTF-8"?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta charset="utf-8"/>
</head>
<body>
<ul id="_fBuF2-D">
<li id="ww" data-type="heading">
<p>Beleid voor toegangs- en beheersrechten</p>
<ul>
<li id="AQ">
<p>3.1c, 4.3a, 4.3c, 4.3d, 5.1d</p>
</li>
<li id="Fce">
<p>Formuleer beleid voor het toekennen van rechten in overeenstemming met functiebeschrijvingen</p>
</li>
<li id="Dv">
<p>Voor toegang tot applicaties, fileservers en mappen/kanalen op SharePoint / Teams</p>
</li>
<li id="0v">
<p><span>obv </span><em>dataclassificatie-schema</em></p>
<ul>
<li id="yAS">
<p>3.1a</p>
</li>
<li id="fEf">
<p>rekening houdend met de risk appetite van de organisatie</p>
</li>
</ul>
</li>
<li id="Ch">
<p>in overeenstemming met het functiehuis van DAK</p>
</li>
<li id="tF">
<p>Rekening houdend met rechtenmatrices binnen de applicaties</p>
</li>
<li id="zp">
<p>Incl. proces voor toekennen, wijziging, ontnemen van rechten, periodieke controles</p>
</li>
<li id="9F">
<p>Inclusief bijbehorende rollen TBV</p>
</li>
<li id="qc">
<p>Beleid voor de omgang met geclassificeerde data door medewerkers</p>
<ul>
<li id="Xbe">
<p>3.1b, 3.1c</p>
</li>
</ul>
</li>
</ul>
</li>
<li id="nq" data-type="heading">
<p>Leveranciersmanagement</p>
<ul>
<li id="PF">
<p>5.2a, 4.7c (koppelingen)</p>
</li>
<li id="Q_3">
<p>Voor de gehele cyclus (zie Obsidian) - zit patch management daar ook bij?</p>
</li>
<li id="lIH">
<p>met duidelijke verantwoordelijkheden, heldere veiligheidseisen, en audits op naleving van afspraken</p>
</li>
</ul>
</li>
<li id="4mX" data-type="heading">
<p>Informatiebeveiligingsbeleid</p>
<ul>
<li id="BeE">
<p>5.4a, 5.5a</p>
</li>
<li id="mst">
<p>voor het inrichten van (de sturing op) informatieveiligheid </p>
</li>
<li id="dZq">
<p>Sturen op IV door een PDCA cyclus voor RM</p>
</li>
<li id="OXe">
<p>Met ISO 27001 als kapstok</p>
</li>
<li id="ITM">
<p>Eerst voor de meest pregnante onderwerpen HH en MH</p>
</li>
<li id="c6">
<p>Rolbeschrijvingen m.b.t. informatieveiligheid</p>
<ul>
<li id="_Aj">
<p>5.1 a-d</p>
</li>
<li id="Nap">
<p>Asset ownership</p>
</li>
<li id="Pz">
<p>Risk ownership</p>
</li>
<li id="XG">
<p>RACI voor Security Management</p>
</li>
</ul>
</li>
<li id="wV-">
<p>Implementeren risicomanagement voor informatieveiligheid</p>
<ul>
<li id="j9X">
<p>5.3 a-c</p>
</li>
</ul>
</li>
</ul>
</li>
<li id="m0a">
<p/>
</li>
<li id="cdw">
<p><strong>Bovenstaande zijn de meest pregnante; missende beleidsonderwerpen zijn:</strong></p>
<ul>
<li id="zpX">
<p>Onboarding medewerkers en tijdelijk personeel</p>
<ul>
<li id="xe_">
<p>Training en instructie m.b.t. informatieveiligheid</p>
</li>
<li id="Xdw">
<p>Bruikleen- en geheimhoudingsovereenkomst</p>
</li>
<li id="gOV">
<p>Gebruik van apparatuur en omgang met informatie</p>
</li>
<li id="UG5">
<p>Gebruik VPN en Anti-Malware</p>
</li>
<li id="5uG">
<p>Whitelisting/blacklisting van apps en services</p>
</li>
</ul>
</li>
<li id="tni">
<p>Richtlijnen en procedures voor informatieveiligheid in projecten</p>
</li>
<li id="Sq4">
<p>Melden van risico's en incidenten (intern)</p>
</li>
<li id="Ow">
<p>Detectie en rapportering van incidenten (SOC)</p>
</li>
<li id="UmX">
<p>Backup &amp; Restore</p>
</li>
<li id="RT">
<p>Patch management</p>
</li>
<li id="id">
<p>Devicemanagement</p>
</li>
<li id="Ey">
<p>Noodvoorzieningen en redundantie</p>
</li>
<li id="vbf">
<p>Toegang tot gebouwen en ruimtes</p>
</li>
<li id="U_9">
<p/>
</li>
</ul>
</li>
<li id="74g">
<p/>
</li>
<li id="3C" data-type="heading">
<p>Begeleiding pentest</p>
<ul>
<li id="8b">
<p>2.1b</p>
</li>
<li id="yX">
<p/>
</li>
<li id="_k">
<p/>
</li>
</ul>
</li>
<li id="nK">
<p/>
</li>
<li id="V7">
<p/>
</li>
<li id="cr">
<p>Use Bike to record and process your ideas. You'll need to spend a little time learning Bike to get the most out of it.</p>
</li>
<li id="Omp">
<p/>
</li>
<li id="95Q" data-type="task">
<p><a href="https://www.hogbaysoftware.com/bike">Watch intro movie</a></p>
</li>
<li id="-5Z" data-type="task">
<p><a href="https://bikeguide.hogbaysoftware.com">Browse the User's Guide</a></p>
</li>
<li id="do-" data-type="task">
<p><a href="https://bikeguide.hogbaysoftware.com/keyboard-shortcuts">Learn the keyboard shortcuts</a></p>
</li>
<li id="Bp" data-type="task">
<p><a href="https://www.hogbaysoftware.com/posts/bike-rich-text/">Learn Bike's innovative rich text editing</a></p>
</li>
<li id="b1D">
<p/>
</li>
<li id="um">
<p>Feel free to delete this text. Uncheck "Show Welcome in new documents" in Bike's preferences to stop including this text in new outlines.</p>
</li>
<li id="Sd">
<p/>
</li>
<li id="lg">
<p>Thanks,</p>
</li>
<li id="Ca">
<p>Jesse</p>
</li>
</ul>
</body>
</html>

24
Clients/DAK/_Project DAK Kindercentra.md Normal file
View file

@ -0,0 +1,24 @@
**Projectoverzicht**
- Intake gesprek
- [Opdracht](Opdracht%20DAK.md)
- [Risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- Uitvraag in Excel obv [Uitvraag](../../Corpus/Standards/ISO27x/Implementation%20Products/Uitvraag.md)
- Risk Interviews:
- Debbie en Leon
- Bert en Fasco
- Eric
- Patricia en Charlotte
- [Uittreksel Due Dilligence en Accountantsrapportage DAK](Uittreksel%20Due%20Dilligence%20en%20Accountantsrapportage%20DAK.md)
- [LLM destillatie risk interviews](LLM%20destillatie%20risk%20interviews%20DAK.md)
- [Rapport risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- [Business Impact Analyse](BIA%20Workshop%20DAK.md)
- [Incident Respons en Herstelplan](IRP%20Workshop%20DAK.md)
- [Pen-test](Pentest%20DAK.md)
- [Inventarisatie beheer SaaS applicaties](Inventarisatie%20beheer%20SaaS%20applicaties%20DAK.md)
- [Vervolgopdracht DAK](Vervolgopdracht%20DAK.md) (voorstel)
- Opdracht Collectief Kinderopvang