richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Content Factory/Scratch file/longlist.md

24 KiB
Raw Blame History

Scratch file long list

Wie IT ziet als een puinruimer, calculeert de schade al in.

Pantone colors

These are the Pantone colors we chose for our Canvases.

Pink is for... yellow is for ... etc. You may notice they resemble the colors of 3M's Post-It notes.

This is no coincidence. We like the playfulness and open-world possibilities they can bring to business environments.

Just as our canvases do. They also introduce a certain playfulness - the possibility for discovery and exchange of ideas, in the stern world of risk management and compliance.

Inviting people to be creative with and develop ownership for the risks that come with being inventive.

  • Call to action

Stukje: informatieveiligheid in projecten

Denkend aan Control 5.8 - Information security in project management:

"To ensure information security risks related to projects and deliverables are effectively addressed in project management throughout the project life cycle".

https://www.ipma.nl/iso-voor-projectmanagement

Keeping projects secure

Risico's op 3 vlakken:

  • Het op te leveren product (vanaf ontwerp via testen tot oplevering)
  • De uitvoering van het project (incl de mensen en tooling)
  • De overdracht aan en borging in de staande organisatie

Mind map van de risico's / kwetsbaarheden

Check ISO 27001 en NIST

NIST CSF 2.0 GV.RR-01

Organizational leadership takes responsibility for decisions associated with cybersecurity risks and establishes a culture that is risk-aware, behaves in an ethical manner, and promotes continuous improvement

Gretzky: I don't skate to where the risks are, I skate to where they gonna be

Accepting posts!

Top Security Awareness startups you should follow

https://voiceofciso.com/top-security-awareness-startups-you-should-follow/

Takeaways of 2023 Data Breach Investigations Report (DBIR)

https://www.verizon.com/business/resources/T547/reports/2023-data-breach-investigations-report-dbir.pdf?utm_source=danielmiessler.com&utm_medium=newsletter&utm_campaign=unsupervised-learning-newsletter-no-386

Takeaways:

  1. Social engineering attacks are up, with Business Email Compromise and ransomware leading the charge.
  2. Most breaches involve human error and external actors, and the primary motives are still financial.
  3. Business Email Compromise (BEC) attacks have almost doubled and represent more than 50% of incidents in the Social Engineering pattern.
  4. 74% of all breaches involve human error; 83% involve external actors.
  5. Financial motives underlie 95% of breaches.

Miessler newsletter

New SEC cyber rules will force ISMS

New SEC cyber rules will force businesses to think beyond IT security | Security Info Watch

https://www.securityinfowatch.com/cybersecurity/article/53061276/new-sec-cyber-rules-will-force-businesses-to-think-beyond-it-security

MEME: If you could just.... Stop presenting your services catalog as a fit-gap analysis. That would be nice. I'm looking at you, MSP's!

The problem with awareness campaigns

They only deal with known risks People are likely already aware

  • They teach a reflex (don't click, pause for 5 secs)
  • They train on answering the question

Informatiebeveiliging blijft beperkt zolang we het een IT probleem maken

Want: Beperkt mandaat Beperkte toolkit/comfort zone Business pakt geen verantwoordelijkheid

Hoe dan wel?

  1. Reken de business ook af op hun efforts rond informatieveiligheid (wel met duidelijke scoping van hun verantwoordelijkheden, instrumentarium en heldere rapportageverpichtingen)
  2. Laat informatiebeveiliging bij IT, maar breng informatieveiligheid in de lijn (kijk welke onderdelen wel bij IT horen en welke daarvan dienend zijn aan de lijn, zoals monitoring en logging) - denkexperiment: named admin accounts: wie is waar verantwoordelijk voor en hoe bewaak je dat?

As long as security is not part of business OKR, it won't happen

Increase cyber resilience by empowering employees

Solve your shadow IT Problem

By acknowledging user agency (paradoxically)

MEME: I pity the fool who thinks shadow it can be

Morgan Stanley betaalt 6,5 miljoen dollar wegens datalek door afgedankte servers - Security.NL

https://www.security.nl/posting/818992/Morgan+Stanley+betaalt+6%2C5+miljoen+dollar+wegens+datalek+door+afgedankt?channel=rss

Cybersecurity Is a Social, Policy, and Wicked Problem

https://taosecurity.blogspot.com/2023/06/cybersecurity-is-social-policy-and.html

Guarding Against the Insider Threat: Do Your Employees Pose the Greatest Risk? - Cyber Defense Magazine

https://www.cyberdefensemagazine.com/guarding-against-the-insider-threat-do-your-employees-pose-the-greatest-risk/

Employees breaking security policies just dangerous as being hacked, Kaspersky global study shows

https://www.itsecurityguru.org/2023/11/22/employees-breaking-security-policies-just-dangerous-as-being-hacked-kaspersky-global-study-shows/?utm_source=rss&utm_medium=rss&utm_campaign=employees-breaking-security-policies-just-dangerous-as-being-hacked-kaspersky-global-study-shows

Small Business Cybersecurity Hampered by Fear of Change, Judgement - Security Boulevard

https://securityboulevard.com/2023/11/small-business-cybersecurity-hampered-by-fear-of-change-judgement/

The drawbacks of using video training for your security awareness program - Security Boulevard

https://securityboulevard.com/2023/11/the-drawbacks-of-using-video-training-for-your-security-awareness-program/

How to deal with the risks of shadow it

We'll have shadow it as long as we'll have Excel. Or any other tooling that work teams can use of which the control of functionality is not strictly centralized.

And that is essential to business otherwise we would lose all agility and opportunity for creativity.

Change + Agility = Shadow IT

Changes necessitates shadow IT

Shadow IT is here to stay and that's a good thing. But we have to deal with risks.

Als een kind (filmpje)

Dit is Inge Inge kijkt een filmpje over IB Want dat moet Inge baalt er van, omdat ze wordt aangesproken alsof ze een kind is Ondertussen klikt ze wat mails weg Aan het eind van het filmpje krijgt ze een meerkeuzevraag.

Dit moet iedere week. Van de Security Officer. Die denkt dat ze hierdoor veiliger gaat werken.

SIGRA Opleidingen Privacy & Informatieveiligheid | sigra

https://www.sigra.nl/expertisecentrum-privacy-informatieveiligheid/opleidingen-privacy-informatieveiligheid

People make the best exploits

Quote from Mr Robot season 1 Link to Kevin Mitnick social engineering

Content: voorbereiden op een NEN 7510 implementatie

CMM: hoe kom je van volwassenheidsniveau 0 naar 5?

Wil je ook een IBB dat

Integriteit wordt vaak vergeten

Of alleen geïnterpreteerd als: door technische issues of outsider threats gecompromitteerd Terwijl het vaak in het proces kan ontstaan, zie bijv zaaksysteem Zeeland of urenverantwoording Junis

How do you involve your project team in managing risks?

Content: risico's in nieuwe projecten

Hoort dit thuis onder IT, Kwaliteit of in de lijn? De uitvoering van het risicomanagement moet een lijnverantwoordelijkheid zijn en in de managementcyclus geborgd worden. De verantwoordelijkheid voor het instrument ligt wel bij de Kwaliteitsafdeling.

Moet je niet eerst al je processen beschrijven, vóór je dit gaat doen? Nee, het is complementair. Procesbeschrijvingen leggen achteraf vast wat bekend is, en hoe de dingen zouden moeten gaan. Vanuit een KS-bril zou je het liefst willen dat er bij een verandering in het werk, in systemen, of in de omgeving, eerst een analyse wordt uitgevoerd hoe het proces moet worden aangepast en wat daarbij de risico's zijn, en dat pas daarna het werk verandert. De realiteit is dat het werk wordt aangepast, en pas in de volgende KS cyclus gekeken wordt hoe we de procesbeschrijving moeten aanpassen.

Eigenaarschap in de business

Verantwoordelijkheid en eigenaarschap in de business bereik je alleen, als het managen van risico's voor informatieveiligheid in de werkprocessen, onderdeel wordt van het algemene management proces. Dat bereik je door managers verantwoordelijk te maken voor de performance op dat vlak, net zoals ze aangesproken worden op winst en verlies, personeelsmanagement en kwaliteit.

Boek: houding in Workshop

Ja leuk dat we dit doen, maar als wij het prioriteit vinden zegt een CISO, manager of directeur iets anders

  1. is dus de attitude die door de methode veranderd wordt
  2. overtuigen van de ander in AO, maar ook door onderbouwing met risico analyse

Querying for hidden risks

Earlier LinkedIn post on that subject Plus Google questionnaire with McGyver

faalkosten in de bouw - Corporatie branche

https://www.google.com/search?q=faalkosten+in+de+bouw&ie=UTF-8&oe=UTF-8&hl=en-nl&client=safari

ESG (Environmental, Social, and Governance)

Employee participation is crucial to the success of ESG directives for several reasons (the canvas method can be a way to):

  1. Enhanced Implementation and Compliance:
  • Ownership and Accountability: When employees are actively involved, they are more likely to take ownership of ESG initiatives, ensuring better implementation and compliance.
  • Ground-Level Insights: Employees often have valuable insights into operational aspects and can identify practical solutions to meet ESG goals effectively.
  1. Improved Sustainability Practices:
  • Environmental Initiatives: Employees can contribute to reducing waste, improving energy efficiency, and adopting sustainable practices in their daily operations.
  • Social Contributions: Active participation in community engagement, volunteer programs, and diversity and inclusion efforts strengthens the social impact of the company.
  1. Enhanced Governance:
  • Ethical Behavior: Employee participation in governance practices, such as ethical training and whistleblowing mechanisms, helps uphold high standards of integrity and transparency.
  • Feedback and Communication: Open channels for feedback enable employees to report on governance issues and suggest improvements, fostering a culture of continuous improvement.
  1. Increased Engagement and Morale:
  • Purpose and Motivation: When employees are part of ESG initiatives, they feel a sense of purpose and are more motivated, leading to higher job satisfaction and retention.
  • Skill Development: Participation in ESG projects can provide employees with opportunities for skill development and career growth, further enhancing their engagement.
  1. Innovation and Competitive Advantage:
  • Creative Solutions: Engaged employees are more likely to propose innovative solutions for ESG challenges, giving the company a competitive edge.
  • Brand Reputation: Companies with active employee participation in ESG are perceived more positively by customers, investors, and other stakeholders, enhancing their reputation and market position.
  1. Regulatory and Reporting Compliance:
  • Accurate Reporting: Employees who are aware and involved in ESG practices are better equipped to provide accurate data and insights for ESG reporting, ensuring compliance with regulatory requirements.
  • Proactive Adaptation: Active participation helps the company stay ahead of regulatory changes and adapt proactively to new ESG-related laws and standards.
  1. Stakeholder Engagement:
  • Community Relations: Employees can act as ambassadors of the company's ESG initiatives in the community, strengthening relationships with external stakeholders.
  • Investor Confidence: Demonstrating robust employee participation in ESG efforts can build confidence in the company's long-term sustainability and governance practices.

In summary, employee participation is vital for the successful execution and sustainability of ESG directives. It drives better implementation, fosters a culture of ethical behavior, enhances employee morale and engagement and contributes to the overall competitive advantage and reputation of the organization.

Phishing awareness campaigns

Wrongly named, because it's about being aware of one's own gullibility and/or onzorgvuldigheid

Is that web tool safe?

Just found this great tool through SANS Security Awareness Community https://web.universiteitleiden.nl/assets/toolpicker/?lang=en

Waarom werkt de implementatie van uw GRC Tooling zo slecht?

gebrek aan volwassenheid geen business risico's "2 reasons why your GRC Tool implementation is failing"

SANS forum: maturity for SMEs

Announce FortMesa partnership

Blogpost: Guidance for high-risk individuals on protecting your accounts and devices

https://www.ncsc.gov.uk/collection/defending-democracy/guidance-for-high-risk-individuals

RAM-systeem van de Belastingdienst

https://www.nrc.nl/nieuws/2025/03/12/van-prostituees-tot-belgische-pensionados-in-het-privacyschendende-ram-systeem-van-de-belastingdienst-heerste-de-willekeur-a4886148

Mapgood en andere risico inventarisaties vergelijken met de CM voor blogpost

Er wordt veel gezocht op MAPGOOD

hockey protective gear laid out on the floor - Google Search

https://www.google.com/search?client=safari&sca_esv=d777291650d83160&hl=en-nl&channel=30&udm=2&fbs=ABzOT_CWdhQLP1FcmU5B0fn3xuWpA-dk4wpBWOGsoR7DG5zJBtmuEdhfywyzhendkLDnhcrGv0bvsF02PE9wAganQ-f1_Kd4P04qA1S-9-QK1sT3LFPxW3X361XTv82H1htWdFiwBZR9R_VbvGWkRViaCElk48nz55PwPeAVreb4dptjjtuT30PIHN2GvNJUTuypmttyCzXHSO6L-KCNAXWZ_7sIHaNMCpoQtKgLegQIExAB&biw=393&bih=656&dpr=3

Buying a security solution unprepared? You're probably in violation of ISO 27001 clause 8.1

On labeling email

https://www.reddit.com/r/ISO27001/s/kOPJtzxOtM

'Eigenaarschap' is een populair begrip onder managers. Maar wat is het? En hoe krijg je het? - NRC

https://www.nrc.nl/nieuws/2025/09/24/eigenaarschap-is-een-populair-begrip-onder-managers-maar-wat-is-het-en-hoe-krijg-je-het-a4907321

Publish control sets for selected business processes (Gerard Blokdyk approach)

  • Reviewing GDPR Processing Agreements? These are the relevant ISO 27002 controls:
  • Business Continuity Plan? Apply the following controls to stay compliant: These are the relevant ISO 27002 controls:
  • etc.
  • Writing a policy on Remote Working?
  • Posture management?
  • Vendor selection and due dilligence?
  • Auditing HR security:
  • Supporting remote work
  • Supply Chain Security
  • Secure Software Development
  • Outsourcing development
  • Preventing data breaches (termination of cloud services + configuration management)
  • Checklist for Cloud Services agreement - 27002:2022 5.23 Information security for use of cloud services

#iso27001 #compliant_working <- this needs a better hashtag

Create a list of Weird hacker words:

  • Burp attacks
  • Smurf attacks
  • Digital Dumpster Diving and google dorking.

Publish about Stop Ransomware

https://www.cisa.gov/stopransomware

NIST Seeks Information on Chinese Participation in the International Standards Development Process

https://www.nist.gov/news-events/news/2021/11/nist-seeks-information-chinese-participation-international-standards

Software risks in private equity buyouts | Synopsys

https://www.synopsys.com/blogs/software-security/software-risks-private-equity-buyouts/

How safe is it to use a Github Action contributed by a third party?

https://security.stackexchange.com/questions/256790/how-safe-is-it-to-use-a-github-action-contributed-by-a-third-party

Content Scratch File

Write to Express, not to Impress Write like you Speak

#TSW

Risk analysis is useless

KuppingerColes practical implications of NIS2

Seven Dimensions of Security Culture - see Obsidian note

  • Illuminated by awareness
  • The CISOs blind spot: Actual human behaviour
  • What happens on the workfloor, stays on the workfloor
  • Ransomware is the boogie man als je over bewustzijn en gedrag praat, begint men meestal over phishing links en ransomware. Maar het echte gevaar zit in de werkprocessen
  • En hoeveel incidenten of bijna incident zijn er niet gemeld? Bij CM bespreek je dat in de geborgenheid van je eigen team
  • Driehoek patiëntveiligheid, medewerkerveiligheid, informatieveiligheid
  • De effectiviteit / het rendement van het ISMS vergroten
  • Security: making it chefsache (met Gilbert van Z.)
  • Cybersecurity requires behavioral change
  • How CMIS works with ISO 27001
  • Risk Management under ESG/CSRD - see note
  • Working with multiple teams
  • Integrating CMIS with existing management systems and frameworks
  • Bridging the gap with non-technical departments
  • Risk based vs control driven
  • Build in Public/Indiehackers: I was going to build software and now its a set of PDFs
  • Build in Public/Indiehackers: Restrictive domain names and pivoting
  • My Risk, Your Control / Now its your risk / Bystander effect and IS
  • Theory of Planned Behavior
  • Pushing Security Management to the Left
  • Security should be a basic hygiene factor in every team
  • Theory of Planned Behavior
  • Twee blinde vlekken: de CISO maakt zich zorgen over de blinde vlek van de medewerkers (ze kennen de risicos niet), maar heeft zelf een blinde vlek voor risicos in de operatie.

“Het is voor mensen gemakkelijk kwetsbaarheden te veroorzaken waarvan wij niet op de hoogte zijn. Je moet een manier vinden om goede input te verzamelen, om te weten dat alles procesmatig OK is”. Marco Biekaert (?), Belastingdienst BCM:

Cyber from cybernetics, a scientific field studying systems with a feedback- and control-loop in which technology and human work together towards a goal.

What is wrong in InfoSec?

  • Mensen noemen risico en verwachten vervolgens dat iemand anders het oplost
  • Informatie veiligheid is het probleem van de IT afdeling, Of: daar zorgt de IT afdeling toch voor
  • De compliance afdeling is een beleidsfabriek
  • Richtlijnen worden niet gevolgd omdat het risico veel lager wordt ingeschat of de middelen tussen de persoon en zijn doel staan: ze werken beperkend
  • We weten dat het speelt maar toch niet bij ons
  • Ja dat zeggen wij al jaren

Typical InfoSec awareness training

That guy from IT during your onboarding class:

#

Risk analysis is useless

the cornerstone metrics for actuary modelers — the Annual Loss Expectancy and Annual Rate of Occurrence — with a high degree of accuracy is beyond the current capabilities -> are historical and says little about the future.

The traditional actuary models do not apply well to an environment where highly motivated, creative, and intelligent attackers are dynamically pursuing actions that cause insurable events.

The problem is with the nature of the threat. Cyber attackers escalate and adapt quickly, which undermines the historical-based models that insurance companies rely on. Attackers are continually shifting their maneuvers that identify victims, cause increasing loss, and rapidly shift to new areas of impact. Denial of service attacks were once popular but were superseded by data breaches, which cause much more damage. Recently, attackers expanded their repertoire to include ransomware-style attacks that increased the insurable losses ever higher.

Human Error Breaches Incidents

NL Healthcare / Orthopedium

  • Orthopedium: sinds software update kunnen de röntgenscanner en het EPD niet meer met elkaar overweg: het patiëntnummer moet opgezocht worden in het EPD en handmatig worden ingegeven in de software van de röntgenscanner
    • Orthopedium: de werkstations in de OK starten heel traag op. De afdelingssecretaresse heeft de inloggegevens van alle artsen in haar agenda, en logt ze s ochtends alvast in. & de operatieploegen rouleren gedurende de dag over de OKs, maar loggen niet opnieuw in. De verrichtingen zijn daardoor gekoppeld aan de verkeerde arts. Dit wordt achteraf handmatig gecorrigeerd aan de hand van de planning van die dag.

NZA

  • NZA: de onbeheerde netwerkmap voor de vakantiefotos, waar iedereen met een NZA-account bij kon, werd al snel ontdekt als plek om gemakkelijk grote dossiers en bestanden met elkaar te delen. Meestal werden die daarna niet verwijderd.

Prestige Data Breach

  • Prestige Data Breach
  • Slechte architectuur: manipulatie van tekstbestanden op een file systeem i.p.v. een robuuste database
  • Publieke / te ruime toegang AWS Bucket door slechte configuratie of Free Tier (bijv. Miro)
  • Niet toepassen encryptie
  • Gegevens langer bewaren dan nodig
  • Meer gegevens verwerken dan nodig
  • In productie nemen van PoC oplossing

Junis

  • Versleuteld mailen werkt niet bij alle ketenpartners het beleid is om gegevens over kinderen en ouders alleen versleuteld naar de samenwerkingspartners te mailen. Bij sommige ontvangers werkte het ontsleutelen van de mail niet goed, door een afwijkende configuratie van de mailserver.
  • Communicatie met ouders via WhatsApp want het lukt niet alle ouders om de speciale app te installeren
  • Deurcodes pand worden aan ouders gegeven
  • Sleutels worden meegegeven aan externe onderhoudsmonteurs
  • Werken met beperkt aantal voorkeursleveranciers vergroot de afhankelijkheid
  • Ontbrekende of onvolledige verantwoording subsidieaanvraag onder tijdsdruk
  • Onvoorziene consequenties van eigen veranderingen en handelen voor andere afdelingen
  • Onvoorziene consequenties van veranderingen en handelen andere afdelingen voor ons
  • Minder mogelijkheden voor handmatig ingrijpen door toegenomen integratie
  • Niet tijdige of incorrecte mutatie in AFAS betekent geen toegang tot de juiste informatie op Intranet voor medewerker cluster
  • Verkeerde mdw/locatie in Quebble door onjuiste KP in AFAS/HR; kwaliteit roostering gaat omlaag
  • Makkelijk bestellen zonder verder gedoe Verantwoordelijkheid correcte invoer verschuift: risico op foute invoer
  • Kinderopvangtoeslag Problemen door ontbreken noodzakelijke kennis bij ouders
  • Ondersteuning te weinig beschikbaar, onduidelijkheid waar je terecht moet (IT of FAB)
  • Verzenden cadeaus gastouders door derden vraagt om verstrekking NAW-gegevens
  • Indeling gegevens in verschillende bronsystemen matchen niet
  • Gevoelige informatie publiceren op verkeerde plek op SharePoint (wegens onduidelijke structuur en ontbreken aan instructies
  • Onvoldoende bewustzijn bij mdws over de toegankelijkheid van verschillende sites op Intranet en SharePoint
  • Weekberichten worden niet opgeslagen in Groepssites, maar in Clustersites, waar ook gevoelige informatie kan staan zoals ontruimingsplannen
  • PMers hebben privé telefoons en geen Office365 licentie. Hoe moeten ze Teams Chat gebruiken als WhatsApp niet mag? En communicatie met ouders kan ook niet via Teams.
  • Alle medewerkers met privemail-adres in CC personeelsnieuwsbrief
  • Gevoelige informatie wordt verstuurd naar privé adressen, bijv. in Weekbericht
  • Op een telefoon kun je Teams openen zonder in te loggen  unlock telefoon is genoeg
  • Gebruik beelden van kinderen niet mogelijk door niet aanleveren toestemmingsformulieren door PM'ers
  • Werken met iPads: invullen formulieren online werkt n iet goed, dan maar mailen naar huisadres en terug.
  • Zeer groot dienstverleners-landschap!
  • Gevoelige info besprekingen op vergaderbordjes / Onderwerp bespreking uit Outlook kan gevoelige info bevatten
  • PMer maakt WhatsApp groepje aan voor ouders niet alle ouders zijn er blij mij dat hun tel.nr. nu voor iedereen zichtbaar is
  • Secretariaat: Kans op insluipers wegens ontbreken sluitronde door beveiligingsfirma

Parnassia groep

  • In EPD kan niet gezocht worden op BSN, daardoor wordt gezocht op andere kenmerken. Gevolg is dat patiënten dubbel worden ingeschreven, en behandelingen/afspraken aan de verkeerde patient gekoppeld worden