cleaning up Sparks

Content Factory/Marketing voor ZZP werk/Posts/s01p02nl - Een beveiligingsrisico begint met een beslissing.md

@@ -1,4 +1,4 @@
-`posted on 14 May 2026 10:15 CEST to LinkedIn personal stream`
+`posted on 18 May 2026 10:15 CEST to LinkedIn personal stream`
 # Een beveiligingsrisico begint met een beslissing
 
 De meeste beveiligingsrisico's beginnen niet met een technisch probleem. Ze beginnen met een beslissing.

Content Factory/Marketing voor ZZP werk/Posts/s01p03en - Security is a management issue.md

@@ -0,0 +1,18 @@
+`Posted on 15 May 2026 19:30 CEST to LinkedIn personal stream`
+# Security isn't an IT problem, it's a management issue.
+
+That was the core of the previous two posts. The question remains: how do you embed that in your organization?
+
+Individual measures help, but in an organization that keeps moving, they quickly fall short. People leave, ways of working change, new tools are introduced, laws and regulations evolve.
+
+You need to establish a management process that makes risks visible, assigns ownership, and allows for corrections. ISO 27001 provides a framework for exactly that.
+
+ISO 27001 doesn't have the best reputation: unnecessary bureaucracy, paperwork overload, 14 sign-offs for every change. That's unfair. It's a framework you can tailor to your organization. At its core: managing risks, assigning ownership, and continuous improvement. Robust enough for corporates, flexible enough for smaller organizations. And you can reap the benefits without pursuing certification.
+
+Ask yourself: how has my organization made sure that information security doesn't depend on one person, one moment, or one department?
+
+I'd be curious to hear how that's arranged in your organization. Feel free to send me a message if you'd like to compare notes.
+
+— Security as an organizational challenge — 3/3
+
+\#managingsecurity \#iso27001

Content Factory/Marketing voor ZZP werk/Posts/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md

@@ -1,7 +1,7 @@
-`posted on 15 May 2026 10:15 CEST to LinkedIn personal stream`
+`posted on 19 May 2026 10:00 CEST to LinkedIn personal stream`
 # Security is geen IT-probleem, maar een managementvraagstuk.
 
-Security is geen IT-probleem, maar een managementvraagstuk. Dat was de kern van de vorige twee posts. De vraag die overblijft: hoe borg je dat in je organisatie?
+Dat was de kern van de vorige twee posts. De vraag die overblijft: hoe borg je dat in je organisatie?
 
 Losse maatregelen helpen, maar in een organisatie die blijft bewegen, schieten ze al snel tekort. Mensen vertrekken, werkwijzen veranderen, nieuwe tools worden geïntroduceerd, wet- en regelgeving verandert.
 
@@ -15,4 +15,4 @@ Ik ben benieuwd hoe dat in jouw organisatie geregeld is. Stuur me gerust een ber
 
 — Security als managementvraagstuk — 3/3
 
-\#managingsecurity
+\#managingsecurity \#iso27001 

Content Factory/Scratch file/Example of ISO 27001 mystique.md

@@ -0,0 +1,9 @@
+# Example of ISO 27001 mystique
+
+ISO 27001 is a framework, and you cannot successfully implement it by treating the text of the standard as a series of instructions to be followed in the order in which they were printed. If you try that, things will become very confusing very quickly.
+
+For example, the requirement of having an information security policy is first (?) mentioned in [Chapter 5.1](../../Corpus/MoCs/ISO_27001_2022_5.1_MoC%20Leadership%20and%20commitment.md), "Leadership and commitment", where it says that top management must have it established, *together* with information security objectives. Then in [Chapter 5.2](../../Corpus/Standards/ISO27x/OST/27001/EN/c-5.2-Policy.md), 'Policy', it states that these objectives form *part of* the information security policy, referencing forward to  [Chapter 6.2](../../Corpus/MoCs/ISO_27001_2022_6.2_MoC%20Information%20security%20objectives%20and%20planning%20to%20achieve%20them.md), "Information security objectives and planning to achieve them", which demands that organizations should set objectives consistent with the  policy. Of course there's also a corresponding Control called "Policies for information security" ([5.1](../../Corpus/Standards/ISO27x/legacy/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md)), which explains that there will be an information security policy at the highest level of the organization, including objectives "or the framework for setting objectives", and further "topic-specific policies as needed", which of course need their own objectives.
+
+Programmers may love this kind of recursiveness when it's in coding exercises.
+
+

Content Factory/Scratch file/GRC software is geschreven voor domeindeskundigen.md

@@ -0,0 +1,16 @@
+This note relates to the [ISO27DIY Business model](../../Corpus/Standards/ISO27x/legacy/iso27DIY%20mk%20I/ISO27DIY%20Business%20model.md)
+
+Probleem: de GRC software wordt aangekocht om een operationeel probleem van de compliance officer op te lossen.
+
+De software komt meestal pas later (en wordt pas gevuld als de kennis van wat ISO is en van het proces er al is, als het jargon al is ingesleten)
+
+Eerst komt de consultant uitleggen hoe ISO werkt en wordt hulp geboden bij Wat je Waar moet documenteren, en Hoe (denk aan de risico-identificatie en de stakeholder-analyse: wat is een in-scope risico, hoe verwoordt je het precies. Wat is een stakeholder, wat is zijn in-scope belang, etc.).
+Dan ontstaat de documentatie, meestal in Excel en Word documenten.
+Dan de realisering dat het onhandig is en niet schaalt.
+Dan wordt software geselecteerd en geïmplementeerd.
+Pas dan wordt de software daadwerkelijk gebruikt, en meestal door een deskundige staffunctionaris.
+
+Inmiddels staat het dan zover af van de dagelijkse praktijk op de werkvloer, dat de heilige graal van security by design en in de haarvaten van de organisatie, niet gehaald kan worden.
+Voor iedere (interne) audit is extra effort nodig om te graven in de operationele documentatie om de audit documentatie naar boven te krijgen.
+
+Wat nu als je de documentatie kun genereren op het moment dat relevante feiten (identificatie en weging van risico’s, keuze van maatregelen, bewaken van de implementatie, monitoren van de resultaten en bijsturen) plaatsvinden? Door ze voorafgaand aan een SCRUM, Team- of afdelingsoverleg of ontwerpmeeting te agenderen, en ze in de notulen te ‘marken’? Door operationele reports en logs te koppelen naar de ISO-administratie?