ID: S202603251336
Status: school
Tags: Avans 2-2 Keuzenmodule, Cybersecurity

avans 2-2 m3w3 gesprekspartner zijn

⇐ les ⇒

Opdrachten

Groepsopdracht

DOEL

Analyseer hoe een security team binnen een organisatie kan bijdragen aan de implementatie van een informatiebeveiligingsbeleid, gebaseerd op een algemeen erkend security framework. Breng advies uit over concrete activiteiten, samenwerking met stakeholders, en het ondersteunen van management en teams bij het veilig werken.

CONTEXT

Je werkt als adviseur voor een organisatie die net begonnen is met de implementatie van een informatiebeveiligingssysteem volgens het gekozen framework. Het hoger management (de directie) heeft jou gevraagd om advies uit te brengen over hoe het security team en andere relevante afdelingen effectief kan bijdragen aan de implementatie van het beveiligingsbeleid en ervoor kan zorgen dat de organisatie voldoet aan de gestelde normen.

Kies één van de volgende frameworks om mee te werken en pas de basisstructuur en -principes toe op je advies.

• ISO27001: Focus op Information Security Management Systems (ISMS).
• NIST Cybersecurity Framework: Richtlijnen voor verbeteren van cybersecurity.
• CIS Controls: Praktische stappen om cyberaanvallen te voorkomen.

Stakeholders en Teams: de focus ligt op het security team, maar ook andere afdelingen spelen een rol in het proces (IT, management, compliance, etc.)

Geef advies over:

• De activiteiten van het security team in elke fase van het managementproces;
• De samenwerking tussen het security team en andere stakeholders om de doelen te bereiken;
• De ondersteuning van management en teams bij het integreren van veilige werkmethoden in hun dagelijkse processen;
• Concrete voorbeelden van implementatie van maatregelen, zoals awareness-trainingen, technische maatregelen en beleidsmatige maatregelen.

Het advies is gericht aan het hoger management (directieniveau) van de organisatie en is opgesteld als een ‘interne memo’ en mag maximaal 3 A4-tjes groot. De inhoud van het advies wordt daarnaast weergegeven op één slide.

Ik moest hiervoor weer eens op zoek naar ISO27001 op xplora databanken.

Recap

Vergader rollen

Voorzitter maakt uiteindelijke keuze, bewaakt de tijd, en zorgt er voor dat het niet off topic gaat. Notulist houdt informatie bij en afspraken.

Urgent vs Belangrijk

	Belangrijk	Niet belangrijk
Urgent	nu aanpakken	deligeren
Niet urgent	uitstellen	niets doen

Andere termen:

• BOBOC-methodiek:
  • Beeldvorming
  • Opties
  • Besluit
  • Opdracht
  • Controle
• Human factors:
  • Illusies
  • Angst
  • Geheugen
  • Druk
  • Confirmation-Bias
  • Coping-Strateriën (Copium / ongeloof / ontkenning)
    • Fight
    • Flight
    • Freeze
  • Percepties
  • Vermoeidheid
  • Aandacht
  • Stress mentions
• Communicatie in crisis:

  • Leidinggeven

    Video 2 mentioned.

    key behaviour components

    • Be transparent
    • Act with urgency
    • Follow your values
    • Sharing power, zorg er voor dat je mensen om je heen hebt die je vertrouwd, die met je mee kunnen denken / dingen kunnen oppakken.

    Situationeel leiderschap

    Situationeel leiderschap is een model van hoe je mensen moet aansturen. Dit is persoonsgericht. wat heeft iemand nodig om een taak uit te voeren. Als iemand duidelijke instructies nodig hebt / een manager nodig heeft reageer je anders dan bij een deskundige.

    

    Hiermee kan je kijken heo je iemand in bepaalde situaties moet aansturen voor het beste resultaat. Bij crisis situaties is het net iets anders maar grotendeels het zelfde. Alleen dan heb je tijdsruk.

    Hiervoor moet je wel de mensen kennen waarmee je moet interacten.

    Best practices

    Video 3 mentioned. Video 4 mentioned. Video 5 mentioned. Video 6 mentioned.

    Onderschat niet wat de impact een crisis kan hebben (en al helemaal als je het verkeerd aan pakt)

    

    Source van het plaatje hierboven + uitleg: link.

    Link to original

• Situationeel leiderschap:
  • 

Lesstof

Adviseren

Een ISO moet goed kunnen adviseren.

• Je moet overtuigen
• Je moet niet twijfelachtig over komen
• Je moet goed uitleggen
• Het moet een gesprek zijn, dat het een dialoog is, en dat je luisterd naar de ander zijn belangen.

Overtuigend adviseren leer je niet in een dag, het is een vaardigheid en eist veel persoonlijke ontwikkeling.:

• Ken je kwaliteiten en valkuilen
• Begrijp je grenzen en verantwoordelijkheden
• Reflecteer op je gedrag en houding
• Heb oog voor een ander zonder verantwoordelijkheid over te nemen.

SCAN acronym on how to convince others is explained in the above video.

• Smile
• Connect
• Accept
• Needs

Formule

$$E=K\ast A$$

Effectiviteit = Kwaliteit van advies X Acceptatie door de geadviseerde

Communiceren met bedrijfsrollen

Directie

• To the point (kernboodschap)
• Simpel taalgebruik
• Benoem de impact

Neem mee:

• Kosten
• Opbrengst
• Tijd

Management

• richt je op practische oplossingen en haalbaarheid
• Tactisch en operationele taal
• focus op integratie

IT / Ethical hacker

• richt je op de technische kant
• technische taal
• focus op samenwerking

Stakeholders

• Klanten
• Management
• Aandeelhouders
• Financiën
• Operations
• HR
• IT

Opdracht CISO stakelholders

Wat zijn de belangen van de interne stakeholders.

• Management
• Financiën
• Operations
• HR
  • Hebben we genoeg mensen
  • Personeels beleid
  • Vacatures
  • Ontslag
  • Hoe houdt je mensen in dienst
• IT

Waarin zijn ze geïntresseerd als het gaat om cybersecurity (denk aan BIV)

• Management
• Financiën
  • geld gestolen wordt (Phishing etc)
  • boekhouding die op straat ligt
• Operations
  • Continuiteit
• HR
  • Gegevens die op straat liggen
• IT

---

References

• dit zijn de slides op Brightspace