Risico: Excelsheet, met z'n impliciete conversies en wat dies meer zij
Risico: proprietary formaat (en nee, docx is niet goed genoeg, ondanks dat er iets vergelijkbaars een iso nummertje gekregen heeft)

Dus doe iedereen een lol en zet het even in een leesbaar formaat. Ascii is nog beter dan dit. HTML kan er nog mee door.

Je zou ook gewoon je best kunnen doen om Hugo te helpen. Je reactie slaat werkelijk nergens op. Meeste bedrijven werken gewoon met Office dus het is helemaal niet raar om een bijlage in de voor Office gebruikelijke formaten te ontvangen. Bovendien kan OpenOffice ook gewoon met de 'x' formaten overweg.

Ontopic: Hugo, ben jij toevallig een student aan de HHS?

Zit ik hier in een kantoor? Word ik hiervoor betaald? Regel me een leuk salaris en ik zeur nergens meer over.

Zolang dat niet het geval is kan en mag ik mensen die om mijn onbezoldigde tijd bedelen vragen om een klein beetje moeite te doen die niet te verspillen. Is dat arrogant? Welnee. Verwachten dat ik overal tegen knik en glimlach alsof ik betaald wordt terwijl dat niet zo is, dat is pas arrogant.


Wie zegt er dat ik dat gebruik?

"Assumption is the mother of all fuckups", en keer op keer zie je aannames die eigenlijk nergens op slaan. We hadden het toch over veiligheidsrisicos? Welnu, "iedereen" blijft brakke software gebruiken omdat "iedereen" het ook blijft doen, en dus komen we er nooit aan toe de rotte fundering in onze beveiliging eens door iets soliders te vervangen.

Dat jij denkt dat mijn reactie nergens op slaat ligt puur aan jouw oogkleppen, die je gemeen hebt met een hele hoop anderen. Maar geen van dat alles is justificatie om je aan die oogkleppen vast te houden als ware het je herder en je heiland. Als je vooraf al niet bereid bent wat aan je risicos te doen, dan hoef je ze ook niet te analyseren.

Wanneer heb je precies antwoord nodig? Ik heb tussen Kerst en Nieuwjaar wel tijd om hier naar te kijken, omdat ik dan een paar dagen vrij ben. Voor die tijd zit ik stampvol met deadlines, eindejaarafsluitingen, te sluiten auditpunten en een echtgenote die me af en toe ook nog wil zien.

Je wil zeggen dat je niet om hulp gevraagd hebt aan Jan en alleman?

Nee? Dus ook niet zo: Wie is "jullie" dan? Alleen "ons soort mensen", verschillige kantoorzitters? Mensen die graag de baas zijn tijd aan iemand anders weggeven?

Ik had best even naar vooral ook de kansrekeningen erachter willen kijken, maar als je je verschuilt achter kantoorfatsoen en ondoorzichtige bestandsformaten, ja, dan beperk je natuurlijk vooraf wat je zoal aan input gaat krijgen. Maar kennelijk was dit alweer zo'n verborgen aanname die je niet in je "analyse" terug wilt zien.

Beste Anoniem, het vriendelijke verzoek om te stoppen met het verzieken van dit topic.

Onsterfelijk verklaard door Stapel & Stapel. Wel zo verschillig. Ik geloof dat jullie beiden nog wat te leren hebben.

Goedenmorgen Hugo,

Zou ik als demo voor een onderzoek je tool mogen gebruiken met een eigen login? Dan kan ik gelijk kijken of er nog onderdelen missen in je documenten!

Groet,
Florian

Beste mensen, ik zou de anonieme trol lekker negeren ;-)

Anoniem heeft wel een punt met het bestandformaat. Dit soort bestanden vormen namelijk wel een risico.
We zegt ons dat Hugo wel te vertrouwen is en als Hugo wel te vertrouwen is, we zegt ons, dat zijna account niet gekraakt is.

Dit ter zijde.

Daarnaast is ISO 27002 maar een norm, waar te veel bedrijven zich blind op staren, of niet verder komen dan hun bezemkast certificeren. Om vervolgens te zeggend at zij ISO 27002 certificeerd zijn. Deze conclusie trek ik, na een aantal bedrijven mee gemaakt te hebben die dit traject doorlopen te hebben.

Anyway, suc6 met weer een nieuwe lijst.

Ah en ik heb net je bestandjes opgehaald om er van het weekend eens even rustig naar te kunnen kijken.
Ik ben dezelfde problemen als jij ook al tegen gekomen in het veld en het vereist creativiteit om hier met verschillende opdrachtgevers op een goede manier mee om te kunnen gaan, ik ben dan ook erg benieuwd.
(Ik ben niet erg creatief namelijk :p)

Dat je het als open-source project beschikbaar wil stellen vind ik ronduit nobel.
Zou het daarom misschien een idee zijn om het twee-talig op te zetten?

Het is niet mogelijk om je bedrijf of onderelen daarvan IEC/ISO 27002 te laten certificeren. IEC/ISO 27002 zijn best practices maatregelen die je zou kunnen gebruiken om te komen tot een certificeerbaar niveau van IEC/ISO 27001. Er zijn maar een handvol bedrijven die daadwerkelijk gecertificeerd zijn op IEC/ISO 27001. De scope bepaald uiteindelijk de waarde van het certificaat.

Ik denk daarom dat je andere trajecten hebt doorlopen waarbij men mogelijk conform de ISO wil werken maar niet gecertificeerd is. Mogelijk heb je daarom een totaal verkeerd beeld van het onderwerp

Wat betreft het bestandformaat, kan dit inderdaad risico's met zich mee brengen. Maar is dit niet met alles wat je doet op internet? zelfs het bezoek aan deze pagina brengt risico's met zich mee. Het is aan jou zelf om te bepalen welke risico's jij acceptabel vind en welke niet. daar waar de risico's onacceptabel zijn is het aan jou om maatregelen te nemen zodat deze risico's worden beperkt tot een acceptabel niveau. En deze maatregelen kan bijv. zijn door de bestanden van Hugo niet te openen (beleid)...... dit is geheel aan jou.

on-topic: goeie opzet Hugo, inhoudelijk heb ik nog niet alles bekeken maar het ziet er goed uit. Natuurlijk kan pas een nuttige inhoudelijke reactie geven als ik alles heb doorgenomen. Echter stoorde ik me een beetje aan het feit dat sommige mensen reageren op alles behalve jou vraag en voelde ik me genoodzaakt hierop te reageren.

Voor het uitvoeren van een risico analyse gebruik ik zelf meestal de A&K-analyse aangevuld met een dreiging- en maatregelanalyse. Hierin behandel ik soortgelijk overizichten met dreigingen. Gezien de ontwikkelingen in de maatschappij en technologie lijkt het me een goed plan om kritisch te blijven kijken naar bestaande documenten om zo elke keer naar verbetering te streven. ik zou zeggen; ga zo door!

Leuk als je je werk 'via via' weer terug ziet komen.

Even wat achtergrond informatie. Ik heb gewerkt bij een groot accountantskantoor en daar hanteerden we voor risicoanalyses een zeer zwaar product waardoor we bij MKB of bij beperkt budget geen aanbod hadden. Op basis van een publicatie van The British Standards Institure (BSI, de originele uitgever van BS7799, later ISO27001 geworden) heb ik de dreigingen en de maatregelen gekoppeld aan die dreigingen, uit die publicatie (PD3005, nog wel te koop) ooit in een spreadsheet gezet en daar een quick 'n dirty risicoanalyse tool gemaakt waarmee je in enkele uren een richtingbepalende risicoanalyse kan uitvoeren. Geen rocket science maar wel bruikbaar, mits goed gebruikt.

Dat spreadsheet is vrij verspreid o.a. op NEN cursussen met mij als docent. En is dus gaan rondzingen in het veld. En komt mij via allerlei wegen altijd weer tegemoet. Leuk.

En in een ISO27001 certificatie project is het een bruikbaar tool, nogmaals mits juist gebruikt. Bij hoge risico's is het te kort door de bocht.

En ja; de lijst van dreigingen behoeft uitleg; vandaar o.a. de .docx waarin van elke dreiging een uitleg staat. En ik heb ze nooit willen aanpassen omdat ze simpelweg uit die publicatie van de BSI komen. En de koppeling tussen dreiging en mitigerende maatregel is cruciaal; daar moet je niet aan sleutelen. Ik ken de mensen die daar bij de BSI aan gewerkt hebben en die koppeling is goed.

Daarom geloof ik wel in je initiatief - dit met een aantal mensen beter of opnieuw doen - maar niet op deze wijze. Via dit forum met een aantal professionals maar ook mensen die liever de sfeer verpesten kom je echt niet tot je doel; een duidelijk en onderbouwde koppeling tussen dreigingen en maatregelen. Daar moet je uit alle disciplines professionals voor bij elkaar zetten die gemodereerd en goed gefaciliteerd dit werk doen. Deze community - hoe spijtig ook - krijgt dit hier echt niet voor elkaar.

Overigens heb ik in 2005 de oorspronkelijke tabellen uit PD3005 (BS7799, dus ISO17799 uit 2000) wel aangepast aan de nieuwere ISO27001 uit dat jaar. Zelfs dat proces was niet zo makkelijk maar is met een aantal consultants informatiebeveiliging uit het veld uitgevoerd. Maar dan wel mensen wiens vakkennis ik vertrouw. Want elke klant die over dit proces een vraag stelt kun je niet geruststellen als je moet zeggen dat je dat met die 'excusez le mot' zeikerds hier gedaan hebt :-)

Hoi Hugo, ik ben absoluut van plan naar jouw doc te gaan kijken maar ben de afgelopen tijd waanzinnig druk. De redactie zit ook nog steeds op een security tip van mij te wachten (schaam schaam).

Wel kwam ik net iets tegen dat jou wellicht ook zal interesseren: https://isc.sans.edu/diary/Risk+Assessment+Reloaded+thanks+PCI+/14560 (ook zelf nog niet bekeken, maar als Rob VandenBrink zegt dat het goed is, heb ik daar alle vertrouwen in!

"Anoniem heeft wel een punt met het bestandformaat. Dit soort bestanden vormen namelijk wel een risico. We zegt ons dat Hugo wel te vertrouwen is en als Hugo wel te vertrouwen is, we zegt ons, dat zijna account niet gekraakt is."

Iedere weblink vormt wat dat betreft een risico, of het nou gaat om een website, een Office document, een PDF bestand, en ga zo maar door. Daarnaast kan iemand ook de werkelijke extensie verbergen d.m.v. een redirect ofzo. Dit is echt weer spijkers op laag water zoeken, analyseer een link indien je die niet vertrouwt zou ik zeggen. Daar heb je meer aan dan een discussie beginnen over een bestandsformaat.

goed initiatief hugo


wel de bronnen vermelden. Verder vooral doorgaan met informatie delen dat maakt internet en info.bev sterk

@Hugo;

Ik ben helaas niet opgeleid om een toegevoegde waarde te leveren, maar ik heb met belangstelling je documenten gelezen. (Ik heb ook gezien dat dit forum een zekere mate van zelfreinigend vermogen heeft.{-:))
Heel leerzaam.

Ook de reactie van slartibartfast; "Leuk als je je werk 'via via' weer terug ziet komen. Even wat..."
Met belangstelling gelezen.

"...Daar moet je uit alle disciplines professionals voor bij elkaar zetten die gemodereerd en goed gefaciliteerd dit werk doen. Deze community - hoe spijtig ook - krijgt dit hier echt niet voor elkaar...."
Ik ervaar zijn argumenten als overtuigend.

Neemt niet weg dat ik vanuit mijn gezichtspunt als volger van dit forum je topic leerzaam vindt voor mij.
Het heeft mij weer eens aan het googelen gebracht.

Laat je niet intimideren Hugo.

Lekker bezig!

hugo in januari help ik je verder. hoe kunnen we met elaar even in contact komen?

Hallo Hugo,

Interessant stuk.
Ga je ook nog aanbevelingen toevoegen voor de aanwezige risico's hoe deze gemitigeerd kunnen worden?

Lol, mooie aanvalsvector. Geef je ip prijs: login nu in op onze website via demo, demo. En oh,ja download ook ff deze bestanden met extra malware.

Beste Hugo,

Ik heb je post gelezen en niet de onderstaande replies maar hopelijk kan ik je wat informatie verschaffen.
Voor mijn bedrijf ben ik een tijdje bezig geweest met de ISO27001. Hierbij deed ik in inventarisatie van de ICT zaken met de relatie van de ISO maatregelen binnen het bedrijf.

Als afstudeerproject ben ik bezig geweest met Disaster recovery (punt 14 uit de iso 27001 als het goed is) Het is inderdaad nodig om een risico analyse uit te voeren. Ik heb gebruik gemaakt van ITILv3 en CISSP. Het analyseren van risico's gaat met de formule: Risico = impact x kans.

Een organisatie kiest zelf hoe uitgebreid punten worden uitgewerkt binnen ISO. Voor Disaster recovery heb ik 4 of 5 groepen gemaakt waar disasters invallen. Zoals natuurrampen en nutsvoorziening.

Ik heb even ingelogd op je website en zag RPO en RTO terugkomen, wat ook bij mij terug kwam. Echter heb ik ook de MTD (maximum tolerable downtime) toegevoegd. Overweeg of je die ook wilt gebruiken......

Ik vind de website erg mooi en leuk gedaan. Ik weet niet of je beschikt over het document: "Nederlandse norm
NEN-ISO/IEC 27001" hierin staan alle punten beheersdoelstellingen en beheersmaatregelen.
Als ik op jou website kijk, zie ik onder ISO maatregelen een mooie lijst, wanneer ik een item open klap mis ik toch wat informatie. Bijvoorbeeld 5.1.1 is erg beperkt, Het eerdere genoemde document beschijft bij 5.1.1: Beheersmaatregel:

Een document met informatiebeveiligingsbeleid moet door de directie worden goedgekeurd en gepubliceerd en kenbaar worden gemaakt aan alle werknemers en relevante externe partijen.

Succes en ik zal regelmatig je post bekijken.

groet,
Dennis V