Interessante casus om een intro mee te beginnen, dan moet je ook de aanname doen dat er bepaalde zaken wel geregeld zijn.
In de basis ga je te werk aan de hand van een incident response plan.
Als je op die term zoekt vind je wel info die je zoekt om deze casus in te vullen.
De SANS geeft je hier wel hulp bij.
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

Een ISMS is uiteindlijk wel goed om uitgeschreven te hebben.

Ik weet dat je, beredeneerd vanuit brandpreventie en Politie de veiligheidsketen hebt, Wikipedia geeft wat meer uitleg, inclusief een koppeling aan de PDCA cyclus (https://nl.wikipedia.org/wiki/Veiligheidsketen).

Onderdelen van de keten zijn:
- Proactie
- Preventie
- Preparatie
- Repressie
- Nazorg

Per fase kun je dan twee maatregelen benoemen.

Twee maatregelen die de directeur meteen moet nemen:
1) Zoek het IR-plan (Incident Response) erbij en geef de in dat plan genoemde personen opdracht om dat plan op te volgen en daar tijd voor vrij te maken (of wijs, als dat niet kan, vervangers aan). In dat plan hoort te staan wat er moet gebeuren, wie dat moet doen en welke fasen er onderkend worden;
2) Controleer persoonlijk dat genoemd plan wordt opgevolgd (waaronder in elk geval dat één persoon toezicht houdt op alle externe communicatie en dat het incident ASAP bij de autoriteit persoonsgegevens en andere relevante stakeholders -waaronder Z-CERT- wordt gemeld).

Dit comment verandert de vraagstelling volledig (de informatiebeveiliging van het ziekenhuis had al moeten voldoen aan NEN7510).

Fase 1: tenzij je met je neus in dat boek zit te kijken en ons met onzin voor jouw karretje spant: steek de kachel aan met dat boek, vraag je geld terug en zoek een betere opleiding.

Aanvulling: ik heb al ernstig bezwaar tegen de titel van genoemd boek, naar verluidt "basiskennis informatie beveiliging" (en feitelijk ook standaarden als ISO27001 en NEN7510): deze gaan allemaal over MANAGEMENT van informatiebeveiliging. De aandachtsgebieden worden erin benoemd, maar per gebied nauwelijks of niet welke concrete maatregelen je moet nemen (de comments in ISO27002 geven hints maar blijven abstract). Dat is, toegegeven, vaak ook heel lastig, omdat de noodzaak van specifieke maatregelen sterk afhangt van de te beveiligen informatie en de "resources" (mensen, gebouwen, hardware, software, verbindingen, ...) die met die informatie "in contact" (kunnen) komen en/of die informatie moeten beveiligen tegen ongeautoriseerde toegang en/of beschadiging/verlies. Persoonlijk ervaar ik vaak een gapend gat tussen deze managementlaag (als die al bestaat) en concreet te nemen effectieve beveiligingsmaatregelen. Voorbeeld: "er moet een password policy (wachtwoordbeleid) zijn" leidt in de meeste gevallen tot een documentje en serverpolicies met door iedereen gehaatte en omzeilde maatregelen die effectief geen extra beveiliging opleveren en zelfs averechts kunnen werken. Maar wellicht is dit voer voor discussie in een nieuwe draad?

@Keystone: wat wil je leren van deze cursus?

Maar de vraag is, met welke schaar knip ik de glasvezel door:-)

Dank allemaal voor de reacties, daar kan ik verder mee. De drie oefenopgaven hiervoor waren duidelijker van vraagstelling in combinatie met de materie uit het boek. De afsluitende oefenopgave blinkt niet uit in duidelijkheid versus de geleerde materie.

Erik: Wat wil ik leren? Als persoon heb ik iedere dag te maken met digitalisering en dat gaat de komen jaren niet minder worden, sterker nog het wordt alleen maar meer. Bijblijven op digitaal gebied en inlezen op de actuele trends op dit gebied is waar ik dit voor doe.
Cybersecurity wordt steeds slimmer en via deze en/of andere cursus wil ik hier meer van weten. Informatiebeveiliging is daar een wezenlijk onderdeel van en wat kan ik als particulier doen om hiervan op de hoogte te blijven. In mijn bedrijf en privé omgeving zie ik dat daar veel te weinig aandacht voor is. Ja we hebben een bedrijf dat voor ons de IT beheert en ervoor zorgt dat we thuis en op kantoor kunnen werken. Maar awareness bijbrengen aan de collega's is een onderbelichte tak en op mijn eigen kantoor hoop ik zo hier een steentje aan te kunnen bijdragen.

Deze cursus is meer gericht op management, wat jij ook aangeeft en als je tips hebt over "betere" opleidingen verneem ik dat graag.

Dat klinkt als "alles". Daar ben ik al tientallen jaren mee bezig, en ik ben nog lang niet klaar (gaat ook niet lukken). Ook ken ik geen opleidingen waarbij je alles over cybersecurity leert. Dit is niet flauw bedoeld: het vakgebied is enorm breed en aan voortdurende verandering onderhevig.

Hopelijk hebben andere lezers concrete tips over goede en up-to-date opleidingen, maar ik vermoed dat je eerst een interessegebied moet vermelden (webappsec, security awareness, desktop-security (per OS), server-security (per OS en applicatie: mail, AD/LDAP, Sharepoint en andere groupware, VOIP, CRM, ...), virtualisatie, opslagsystemen, authenticatie, cryptografie, devops, databases, mobile apps, inventory systemen/scanners, netwerkapparatuur, back-ups, toegangscontrole, gebouwbeveiliging, ...).

Overigens is het mogelijk om vanuit iteratieve risico-analyses (mits je de juiste mensen aan tafel weet te krijgen) boven tafel te krijgen waar jouw organisatie de grootste risico's loopt en beginnen met je (en hopelijk collega's) te verdiepen in hoe je die specifieke risico's het beste kunt mitigeren.

De vraag is ook of je alle kennis m.b.v. opleidingen moet willen opdoen. Er is op internet veel goede en up-to-date informatie te vinden. Een kip-ei probleem is wel dat je pas kunt weten of informatie "goed"/betrouwbaar is als je enige kennis van zaken hebt; meerdere bronnen raadplegen kan daarbij helpen.

Regelmatig plaats ik tips op deze site over mogelijk interessante en recente documenten (zoals https://www.security.nl/posting/682742/draaiboek+malware+besmetting#posting682751). Laat maar weten als je in een specifiek onderwerp geïnteresseerd bent (soms leidt zo'n posting tot interessante bijdragen van anderen waar ik ook weer van leer :-)

Dat is levensgevaarlijk en je kan er blind van worden! De laserstralen snijden dan in je ogen en vlees en richten onherstelbare schade aan!

Erik

We zijn inmiddels al weer een paar weken verder. Dank je wel voor je aanvullende tips en verwijzingen. Heb ik opgeslagen onder mijn favorieten.

Veel informatie haal ik ook op van internet, maar deze cursus leek mij een goede manier om wat meer informatie te vergaren. Jammer genoeg voldoet deze niet geheel aan de verwachtingen maar we hebben er ook weer van geleerd.

@Keystone: dank voor de update (weinigen doen dat op deze site). Vragen en ervaringen zijn natuurlijk altijd welkom. Veel succes verder!

Erik, nog een interessante update:
Fortinet stelt het volledige Network Security Expert-cursusaanbod voor onbepaalde tijd gratis beschikbaar.

Bron: https://www.fortinet.com/training/cybersecurity-professionals?utm_source=pr&utm_medium=campaign&utm_campaign=Freetraininginitiative
Fortinet®, wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, maakt vandaag bekend dat het zijn volledige aanbod van zelfstudiemogelijkheden op het gebied van netwerkbeveiliging gratis beschikbaar zal blijven stellen tot ver na 2021. Fortinet streeft naar het creëren van diverse security-experts door gratis beveiligingstraining aan te bieden aan mensen in alle delen van de wereld. Het gratis trainingsaanbod van Fortinet biedt hen:

Toegang tot ruim 30 gratis beveiligingscursussen: Deze cursussen beslaan diverse ontwerpen, van secure SD-WAN tot het beveiligen van cloud-omgevingen en het beschermen van operationele technologie (OT). In de loop van 2021 zal het cursusaanbod naar verwachting verder worden uitgebreid. Verder zijn er video’s van laboratoriumdemo’s door security-experts on demand beschikbaar.
Voorbereiding voor NSE Certification-examens: De meeste gratis cursussen maken deel uit van het officiële lesaanbod van het Fortinet NSE Certification Program, dat uit acht niveaus is opgebouwd. Er zijn op basis van dit programma reeds een half miljoen experts in cybersecurity gecertificeerd.
CPE-punten: Dankzij een samenwerking met (ISC)2 komen deelnemers die een van de gratis cursussen of een andere NSE-cursus voltooien in aanmerking voor Continuing Professional Education (CPE)-punten. Als ze voldoende punten verzamelen, kunnen ze die bij (ISC)2 verzilveren om onder meer de status van Certified Information Systems Security Professional te behalen. Cursisten ontvangen één punt voor elk uur aan training dat ze via het NSE Training Institute van Fortinet hebben gevolgd.
Verbeterde toegang tot beveiligingskennis

Wellicht iets voor anderen, maar ik ben geen fan van Fortinet producten - daar worden aan de lopende band blunders in ontdekt (een van de vele voorbeelden: https://www.security.nl/posting/672666/Fortigate+MITM+SSL+VPN+lek; de kwetsbaarheden tot nu toe in de huidige maand zijn wellicht minder blunderig, maar toch: https://www.fortiguard.com/psirt?date=01-2021).

Ik hoop dat ik niet al te negatief overkom als ik schrijf dat FortiNet beter eerst hun ontwerpers en ontwikkelaars een goede security-cursus kan laten doen.

Nee, lijkt me vrij basale IT beveiliging. Welke nodig is, in een ziekenhuis. Wat is je bezwaar, is de materie te complex ?

Dat is geen IT beveiliging, ISMS is administratie van beveiligingsprotocollen.

Bij cybersecurity denken veel organisaties dat het gaat om richtlijnen, tabellen met risico's, etc. Dit is denk ik waar de poster tegen aanloopt. Wat is nu eigenlijk cybersecurity?

Een kabeltang/stripper. Maar zorg wel voor oogbeschermers.

Inmiddels zijn de vragen de module aangepast en zijn dit de nieuwe vragen?
Casus Berkel Medisch Centrum
Berkel Medisch Centrum is een groot ziekenhuis in het noorden van het land. Deze organisatie heeft te maken met veel gevoelige en vertrouwelijke informatie, zoals medische gegevens, gegevens van personeel en patiëntendossiers. Een goede beveiliging is daarbij essentieel.
Vraag 5 van 5(max. 4 punten)
Voor het bepalen van het budget van beveiligingsmaatregelen voor het personeelsinformatiesysteem wil de directeur eerst weten wat de omvang van het risico per specifieke gebeurtenis is. Er is een werkgroep gevormd die een kwantitatieve risicoanalyse heeft uitgevoerd en schattingen heeft gemaakt met betrekking tot een incident met de urenregistratie als onderdeel van het personeelsinformatiesysteem waarbij de informatie hiervan enkele dagen niet toegankelijk is. De werkgroep kwam met de volgende conclusies:
• Asset value (AV) van het personeelsinformatiesysteem: 60.000 euro.
• Exposure factor (EF) is 15%.
• De kans op het manifesteren van dit incident is eenmaal per twee jaar.
Aan u wordt gevraagd de single loss expectancy (SLE) en de annualized loss expectancy (ALE) van dit type incident te berekenen.
Casus Berkel Medisch Centrum
Berkel Medisch Centrum is een groot ziekenhuis in het noorden van het land. Deze organisatie heeft te maken met veel gevoelige en vertrouwelijke informatie, zoals medische gegevens, gegevens van personeel en patiëntendossiers. Een goede beveiliging is daarbij essentieel.
Vraag 4 van 5(max. 6 punten)
De poli van de afdeling Orthopedie heeft een nieuwe medewerkster in dienst genomen voor het maken en afhandelen van afspraken met patiënten. Voordat zij kan werken met het informatiesysteem voor het maken van afspraken, moet de IT-afdeling eerst het een en ander qua toegang regelen voor een bevoegde en juiste toegang tot de data. Als dat gedaan is, kan zij ermee werken.
Om daadwerkelijk toegang te krijgen tot de voor haar noodzakelijke gegevens, moet zij eerst inloggen. Hierbij worden drie stappen doorlopen voordat zij toegang krijgt. Welke stappen zijn dat? Geef bij elke stap een korte toelichting.

Casus Berkel Medisch Centrum
Berkel Medisch Centrum is een groot ziekenhuis in het noorden van het land. Deze organisatie heeft te maken met veel gevoelige en vertrouwelijke informatie, zoals medische gegevens, gegevens van personeel en patiëntendossiers. Een goede beveiliging is daarbij essentieel.
Vraag 3 van 5(max. 20 punten)
De directeur wil weten wat voor typen maatregelen er genomen kunnen worden in de verschillende stadia van de incidentcyclus. Benoem de stadia van de incidentcyclus en geef aan welk type maatregel daarbij van toepassing is, met een voorbeeld.
Casus Berkel Medisch Centrum
Berkel Medisch Centrum is een groot ziekenhuis in het noorden van het land. Deze organisatie heeft te maken met veel gevoelige en vertrouwelijke informatie, zoals medische gegevens, gegevens van personeel en patiëntendossiers. Een goede beveiliging is daarbij essentieel.
Vraag 1 van 5(max. 8 punten)
1. Berkel Medisch Centrum overweegt om het IT-beheer te gaan uitbesteden aan Care-IT. In de regio heeft Care-IT al vele ziekenhuizen als klant. De IT-systemen zijn van Berkel Medisch Centrum en blijven op locatie van Berkel Medisch Centrum. Een deel van het IT-beheer kan remote uitgevoerd worden en voor een ander deel zullen medewerkers van Care-IT regelmatig op de locatie van Berkel Medisch Centrum aanwezig moeten zijn. Aan u wordt gevraagd om aan te geven welke onderwerpen in het uitbestedingscontract met Care-IT moeten worden opgenomen ten aanzien van het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatiesystemen.
2. Wiens informatiebeveiligingsbeleid prevaleert in deze situatie (Care-IT of Berkel Medisch Centrum) en waarom?
Uitwerking


Als iemand goede aanzetten heeft om hier de juiste antwoorden op te geven zou ik dat niet erg vinden.

Zie de nieuwe vragen hierboven en deze is vraag 3.