Oefen challenges Business-laag

Stakeholderanalyse

PSV verzamelt veel informatie van hun spelers (sensoren, videoanalyse enz.). Deze zijn niet met elkaar gekoppeld en staat allemaal op verschillende systemen. De uitdaging is om, in de Cloud, deze data voor meerdere toepassingen beschikbaar te krijgen. Wie zijn de stakeholders in de huidige situatie? Welke stakeholders komen erbij (of verdwijnen)? Beschrijf waarom ze stakeholders zijn. Maak een stakeholderanalyse.

Wie zijn de stakeholders in de huidige situatie?

Ik heb onderzocht welke stakeholder PSV in het algemeen heeft. Hierbij heb ik verschillende bronnen geraadpleegd op het internet. Ook is deze opdracht klassikaal besproken, waar ik veel inspiratie vandaan heb

Bron(en): https://jaarverslag.ajax.nl/algemeen/maatschappij/onze-stakeholders, https://www.psv.nl/foundation/organisatie/missie-en-visie.htm

Stakeholder

Beschrijving stakeholder

Type stakeholder

Invloed op stakeholder

Macht van stakeholder

Belang(en)

Omgang

SH01

PSV Stadium

Slapend

+

Demografisch/ Milieu

Tevreden houden

SH02

Directie

Ultiem

+

++

Politiek/ Economisch

Nauw beheren

SH03

Speler

Afhankelijk

+/-

+

Technologisch

Nauw beheren

SH04

Trainer

Afhankelijk

+

+

Technologisch

Monitoren

SH05

Vrijwilligers

Discreet zwak

+/-

+/-

Technologisch

Monitoren

SH06

Medewerkers

Discreet zwak

+/-

+/-

Technologisch

Monitoren

SH07

Aandeelhouders

Gevaarlijk

++

Demografisch

Informeren

SH08

Sponsor

Gevaarlijk

++

Economisch

Tevreden houden

SH09

Fans

Veeleisend

+

Maatschappelijk

Informeren

SH10

KNVB

Dominant

+

+

Politiek

Tevreden houden

SH11

ECV

Dominant

+

+

Economisch

Tevreden houden

SH12

Scheidsrechter

Dominant

+

Technologisch

Informeren

SH13

Wedspellen

Veeleisend

+

Economisch

Informeren

SH14

Concurrentie

Veeleisend

+

Economisch/ Politiek/ Maatschappelijk

Monitoren

SH15

Samenleving

Veeleisend

+

Maatschappelijk

Monitoren

SH16

Media

Discreet zwak

+

+/-

Maatschappelijk/ politiek

Informeren

SH17

Gemeente

Gevaarlijk

+

+

Maatschappelijk/ Politiek

Monitoren

SH18

Hulpdiensten

Discreet zwak

+/-

Maatschappelijk/ technisch

Informeren

Welke stakeholders komen erbij (of verdwijnen)?

De stakeholder die erbij komt:

Stakeholder

Beschrijving stakeholder

Type stakeholder

Invloed op stakeholder

Macht van stakeholder

Belang(en)

Omgang

SH19

Clouddienst

Discreet zwak

+

Technologisch

Monitoren

Er komt enkel op technologisch vlak een stakeholder bij. De stakeholders hadden voorheen ook al toegang tot de data, echter was het toen lastiger te verkrijgen.

ITIL

Kijk ter inspiratie eens naar de IT-systemen binnen jouw eigen omgeving. Bijvoorbeeld bij een bijbaantje of sportvereniging, misschien ken je wel een IT-professional. Bekijk de theorie over ITIL-processen en bedenk voor 4 van deze een praktische toepassing.

5 ITIL processen:

  • Incident management
  • Request management
  • Probleem management
  • Change management
  • Release management

Incident management + Request management (ticket system)

Hiervoor wordt Meestal een ticketsysteem voor gebruikt. Dit kan gebruikt worden voor ICT. Mar ook voor andere zingen, zoals klantenservice, gezondheidszorg of het beheer van gebouwen/faciliteiten.

Probleem management

Het vastleggen van problemen is belangrijk voor samenwerkingen. Zo kunnen klanten geïnformeerd worden dat het probleem bekend is, met eventueel de status van het probleem. En kan er bijv. een workaround toegepast worden.

Binnen ICT kan dit bijvoorbeeld zijn:

  • Bugs in software
  • Storingen die niet snel kunnen worden opgelost

Buiten ICT kan dit zijn:

  • Een losse stoeptegel
  • Een kapotte lantaarnpaal

Change management

Het is belangrijk om vast te leggen wat er verandert in een omgeving. Zo weet een ander hoe het systeem in elkaar zit. En loopt niet tegen onverwachtse dingen aan, die niet zijn gedocumenteerd. Een praktische toepassing hiervan binnen de ICT is het bijhouden van systeemdocumentatie. Maar dit kan ook buiten ICT zijn. Zoals bijv. een onderhoudslogboekje voor een auto.

Release management

Release management is het bijhouden en uitrollen van nieuwe versies van software of hardware. Dit wordt gebruikt voor het instrueren/informeren van medewerkers en/of gebruikers op changes of downtime. Praktische toepassingen hiervan zijn bijvoorbeeld een stakeholderanalyse en risicoanalyse.

(Gaat verder op volgende pagina)

Proces tekening

Privacy

Ga eens na wat er gebeurt met jou persoonsgegevens, wat doen Facebook, google en LinkedIn met jou gegevens? Heeft de lokale voetbalvereniging een website met userdatabase? Misschien sta je wel geregistreerd bij een gehackte website. Onderzoek wat er gebeurt met jou gegevens en hoe kun je voorkomen dat er misbruik van gemaakt wordt?

Sociale media

Sociale media platformen gebruiken jouw data voor marketing.

  • Gepersonaliseerde advertenties
  • Gepersonaliseerde content om je zo lang mogelijk op het platform te houden

Op die manier kunnen ze meer geld verdienen met advertenties, omdat er minder advertenties geplaatst hoeven te worden voor hetzelfde bereik.

Het voordeel daarvan is dat deze platformen vaak gratis kunnen worden aangeboden, omdat adverteerders betalen.

Eigen ervaring

Omdat ik na de documentaire ‘The Social Dilemma’ erachter ben gekomen hoe bedrijven je kunnen manipuleren met data die ze van je hebben, probeer ik personalisatie zo vaak mogelijk uit te schakelen. Zo heb ik bijvoorbeeld in mijn browser een adblocker, en een cookie-blocker. En heb ik dit in facebook en google expliciet uitgeschakeld.

Het aanbieden van gepersonaliseerde content heb ik niet uitgeschakeld. Dit is ook een bewuste keuze, zodat ik makkelijker kan vinden wat ik nodig heb. En mijn ervaring meestal leuker is.

En om misbruik te voorkomen zijn er binnen de EU strenge regels m.b.t. gegevensbescherming. Deze wetten beschermen jou tegen het verhandelen van gegevens, en manipulatie d.m.v. de gegevens.

Facebook

Facebook heeft na het opvragen 73,4 MB aan data van mij

Via whatsapp weet facebook o.a. Mijn telefoonnummer, naam, profiel-foto en apparaat gegevens.

Op facebook heb ik mijn profiel zo ver mogelijk aangepast, zodat ik facebook normaal kan blijven gebruiken, echter met zo min mogelijk personalisatie

Google

Google heeft na het opvragen 13,42 GB aan data van mij in ZIP bestanden

Google weet mijn tijdlijn. Dit vind ik niet erg, omdat ik het zelf ook interessant bind om te weten waar ik ben geweest in mijn leven.

Google is ook mijn standaard zoekmachine, en weet dus wat ik opzoek. Deze dat gebruiken ze waarschijnlijk om gericht te adverteren

Vanaf Google Play installeer ik apps, dus weet google welke apps ik gebruik

Eigenlijk weet google dus het meeste van mij af. Echter denk ik dat google goed met mijn data omgaat. En ik beschermd word door wetgevingen

LinkedIn

Heeft na het opvragen ca. 148 kB aan data van mij

LinkedIn weet eigenlijk het minst van mij af. Dat is voor al omdat ik het platform niet vaak gebruik, en dit enkel gebruik als een soort CV.

Gegevenslek

Via haveibeenpwned.com heb ik opgezocht of ik ben betrokken in een Datalek

  1. GameSalad: gelekte gegevens: E-mailadressen, IP-adressen, Wachtwoorden, Gebruikersnamen
  2. Nitro: gelekte gegevens: e-mailadressen, naam, wachtwoorden
  3. 500px: gelekte gegevens: Geboortedatums, E-mailadressen, Geslachten, Geografische locaties, Namen, Wachtwoorden, Gebruikersnamen

Wat opvalt is dat dit accounts zijn waarvan ik niet meer wist dat ik ze heb

Ik ben niet bang dat een van mijn belangrijke accounts gehackt wordt, aangezien ik doormiddel van een passwordmanager random en sterke wachtwoorden gebruik.

Misbruik voorkomen bedrijven

4 steps to protecting against data misuse Om misbruik van gegevens in een bedrijf te voorkomen is het volgende belangrijk:

Beheer de gegevenstoegang

Door het niet toegankelijk te maken voor andere gebruikers om jouw data in te kunnen zien.

Het verifiëren van een gebruiker is belangrijk om integriteit te beheren. En vaak is dan enkel een gebruikersnaam en wachtwoord niet genoeg. Het is daarom ook sterk aangeraden om MFA of 2FA te gebruiken, zodat accounts niet per ongeluk, of expres gedeeld worden.

Ook is het belangrijk de toegang tot data nauwkeurig te beheren. Dit wordt vaak gedaan door gebruikersgroepen toegang te geven voor de data die ze nodig hebben.

Monitor de gegevens

Een eenvoudige manier om te monitoren met een activiteitenlogboek. Zo kan als er misbreuk wordt gemaakt van gegevens de dader snel worden opgespoord.

Blijf geïnformeerd

Voor (middel)grote bedrijven, en bedrijven die gevoelige informatie verwerken is het aangeraden om een systeem te hebben met aanpasbare waarschuwings- en meldingsfunctionaliteit. Waarmee je verdachte acties kan onderscheppen.

Medewerkers opleiden

Door medewerkers op te leiden kan je het probleem bij de bron aanpakken. Uit onderzoek blijk dat 60% van de medewerkers niet weet welke gegevens vertrouwelijk zijn. En worden er dus door gebruikersfouten data gelekt. Het opleiden van medewerkers is dus zeer aangeraden voor alle soorten bedrijven.

Bron: https://www.ekransystem.com/en/blog/4-ways-detect-and-prevent-misuse-data

Back-up strategie

Onderzoek welke back-up strategie je ‘oude’ school gebruik en bedenk een back-up strategie voor jouw persoonlijke data t.b.v. je huidige opleiding

Volledige back-up

  • Eens per week, om de week of een keer per maand
  • Langer bewaard
  • 3-2-1 regel
    • 3 Back-ups
    • 2 lokaal (on-Premise) (1 op het apparaat, 1 op een extern apparaat)
    • 1 off-site (Cloud en/of kluis bij bank)

Incrementele back-up

  • Minimaal Elke dag
    • Liefste meerdere keren per dag
  • Alleen bestanden die zijn gewijzigd na de vorige incrementele back-up
  • Sneller dan een Volledige back-up
  • Verreisd minder ruimte als volledige back-up

Differentiële back-up

  • Elke dag
    • Liefste meerdere keren per dag
  • Alle bestanden die zijn gewijzigd na de vorige volledige back-up
  • Sneller dan een Volledige back-up
  • Verreisd minder ruimte als volledige back-up, maar meer als een incrementele back-up

Testen

  • Back-ups moeten regelmatig worden getest’
  • 1x per week

Wetten MBT back-ups

  • Persoonsgegevens
    • Huisarts mag gegevens niet langer dan 15 jaar na laatste behandeling bewaren
    • Werkgever mag gegevens na uitdiensttreding niet langer als 2 jaar bewaren
    • Loonbelastingverklaring moet minimaal 5 jaar bewaard blijven
  • Administratie (Basisgegevens) moet minimaal 7 jaar bewaard blijven bijv.:
    • Het grootboek
    • De debiteuren- en crediteurenadministratie
    • De voorraadadministratie
    • De in- en verkoopadministratie
    • De loonadministratie
  • Uitzonderingen
    • Voor onroerende zaken moet het minimaal 10 jaar bewaard blijven
    • Bij het leveren van elektronische diensten moet de administratie ook 10 jaar bewaard blijven
  • AVG
    • Als het nodig is, moeten persoonsgegevens ook worden verwijderd uit een back-up

Voorbeeld back-up plan bedrijf

Ik ga uit van een Retail bedrijf met 100 werknemers, over 5 locaties. Die een centraal beheerde ICT-omgeving hebben

  • Elke maand een back-up die in een kluis wordt gedaan bij een bank
  • Elke week een 3 volledige back-ups.
    • 2 daarvan lokaal, waarvan 1 op de lokale machine, en 1 op een andere machine.
    • En 1 off-site back-up die in een Cloud-omgeving wordt bewaard
  • Een keer per dag, in de nacht een incrementele back-up
  • 1 keer per week testen, door back-up terug te zetten.

Persoonlijke data voor opleiding

Alle documenten die ik voor school maak, staan in OneDrive.

Voor Alle documenten die (per ongeluk) niet op OneDrive staan opgeslagen. Staan ook nog in ‘windows FileHistory’

Elke dag wordt er ook een volledige systeemkopie gemaakt via ‘Back-up maken en terugzetten (Windows 7)’

‘Windows FileHistory’ en ‘Back-up maken en terugzetten (Windows 7)’ staan beide op de ingebouwde D: Schijf.

Risico Analyse

De risicoanalyse heb ik samen met Kyle Lutters gedaan

ICT & Business Risico analyse 

Risico strategy

Nr. 

Bedreiging 

Kans 

Schade 

Risico 

Risicostrategie 

1. 

Softwarematige fout: BSOD. Herstel niet mogelijk. 

M/ H 

L  

Laag 

Hoog 

3 of 4 

Risicomijdend 

Risicodragend 

Risiconeutraal 

2. 

Telefoonlijnen ligt eruit (studenten aan huis) 

Zeer laag 

Medium/ leunend naar hoog 

Risiconeutraal 

3. 

E-mailserver ligt eruit 

Zeer laag 

Medium/ leunend naar hoog 

Risiconeutraal 

4. 

Website ligt eruit 

Zeer laag 

Medium/ leunend naar hoog 

Risiconeutraal 

5. 

Datalek met persoonlijke gegevens. 

Erg Laag 

Hoog 

Risicomijdend/ risicodragend 

Kans:

Zeer laag

Laag

Medium

Hoog

Zeer hoog

1x per 5 jaar

1x per 2 jaar

1x per jaar

2x per jaar

5x per jaar

Schade:

Zeer laag

Laag

Medium

Hoog

Zeer hoog

< 5.000

< 10.000

< 50.000

< 100.000

> 100.000

Kostenberekening

Nr. 

Bedreiging 

Risico 

Maatregel 

Kosten zonder maatregel 

Directe kosten 

Indirecte kosten 

Rest risico 

Besparing 

1. 

BSOD 

3 of 4 

Back-ups 

300,- 

Harde schijf: 160,- 

40,- (afschrijving) 

40,- 

Risico 1ste jaar: 100,-; Tweede jaar: 260,- 

2. 

Telefoonlijnen dood 

Back-up lijn.  

13.200, -/ dag 

500,-/ jaar 

100,-/ jaar 

6.600, -/ dag 

Risico per jaar: 6.000, -; 

3. 

E-mailserver eruit 

Fallback server 

9.240, -/ dag 

1.000, – 

100,-/ jaar onderhoudt 

0,- 

Risico per jaar: 8.140, – 

4. 

Website eruit 

Fallback server 

10.560, -/ dag 

1.000, – 

100,-/ jaar onderhoudt 

0,- 

Risico per jaar: 11.460, – 

5. 

Datalek 

Inhuren securityspecialist. 

33.000, -/ jaar 

4.600, – p/m 

50,- Recruitment kosten. 

16.500, -/ jaar 

Risico per jaar: 11.850, – 

Binnen twee jaar een nettowinst maken weer. 

2. 500 afspraken per dag. 200 afspraken via de telefoon. 
11,00 per kwartier, gemiddeld 1 ½ uur bezig = 66,- 
Een dag eruit, geld misgelopen: 13200,- 

Met maatregelen van back-up telefoonlijnen: 100 klanten helpen. 
Een dag eruit, alsnog misgelopen: 100 klanten * 66,- = 6600,- 

3. 140 afspraken via de e-mail. 
Een dag eruit, geld misgelopen: 9240,- 

4. 160 afspraken via de website. 
Een dag eruit, geld misgelopen: 10560,- 

Informatie-/datastromen

Maak een grafisch overzicht van de informatie-/datastromen van het systeem van de proftaak.

MoSCoW Methode

Kijk eens naar de requirements van de proftaak. Doe een inschatting van minimaal 3 aanvullende (klant) requirements en beargumenteer waarom deze belangrijk kunnen zijn. Prioriteer de requirements met behulp van de MoSCoW methode.

Must have

  • Support (dit is belangrijk, als er (onderdelen van) het systeem niet meer werken. Of er veranderingen moeten worden aangebracht)

Should have

  • Bereikbaar vanaf het internet (dit is een should have, omdat het zeer fijn zou zijn als het vanaf het internet beschikbaar zou zijn. Maar is geen must have, omdat het niet nodig is voor de werking van het systeem)

Could have

  • Televisieschermen R10 (het zou fijn zijn als een heat map van de drukte realtime kan worden geprojecteerd op de schermen die hangen in R10)

Won’t have

  • Zelf beheren en aapassen van systemen (dit zou een mooie functie zijn, echter kost het te veel werk om de systemen op een simpele manier aanpasbaar te maken)

Schrijf een onderbouwing van gegevensverwerking

Bedenk een mogelijke toepassing van het FIND3-systeem en schrijf een onderbouwing t.b.v. de AVG. Volgens de AVG moet er voor elke gegevensverwerking een onderbouwing voor het legitiem belang zijn. Bij de analyse van het legitiem belang – dus de uitkomst – bepaal je allereerst wat de reden/ het belang is om die persoonsgegevens te willen verwerken. Daarna kijk je als tweede welke privacybelangen van de betrokken mensen daarmee in het gedrang komen, en als derde verzin je maatregelen om die privacybelangen te beschermen en/of de inbreuk daarop te beperken.

Gegevens die wij verwerken:

Unique Identifiers (UID) van apparaten die Wifi gebruiken

Waarom verwerken wij deze gegevens?

Wij verwerken deze gegevens voor het nauwkeurig bepalen van drukte binnen gebouw Fontys R10, Rachelsmolen 5612, 5623 PE Eindhoven.

Dit is nodig om de verspreiding van COVID-19 te voorkomen.

Als er te veel apparaten, te dicht op elkaar worden waargenomen. Zal er een “corona coach” naar deze plek gaan, en passende acties ondernemen.

Ook kunnen studenten en docenten met een heat map zien op welke plekken in het gebouw het rustig is, om betere verspreiding van personen in het gebouw te bevorderen (UID’s zullen niet worden gedeeld)

Komen mijn gegevens in het gedring?

De gegevens die wij verzamelen zijn niet persoonsgebonden, je gegevens zullen dus niet in het gedring komen.

Informatiebeveiliging

Kies een bedrijf dat je kent of interessant vindt en beschrijf in een paar zinnen wat voor soort informatie dat bedrijf verwerkt. Beschrijf vervolgens in 1 zin per item uit de CIA/BIV-matrix wat dat item betekent voor jouw gekozen bedrijf. Je mag ook op een andere manier uitleggen wat BIV betekent (bijvoorbeeld a.d.h.v. een project)

Bron: https://www.ns.nl/binaries/_ht_1614583388914/content/assets/ns-nl/privacy/ns-privacy-statement.pdf

Het bedrijf dat ik gekozen heb is NS. Omdat deze een goed te begrijpen privacy statement hebben. Ze verwerken data die van belang is voor de dienst die ze je verlenen.

Ik heb niet elke soort data, omdat dat te veel is om te beschrijven in dit document

Reishistory:

Vertrouwelijkheid (Exclusiviteit): alleen jijzelf, en medewerkers van NS kunnen dit inzien. Jijzelf voor persoonlijke redenen, en de NS voor drukte e.d. te meten.

Integriteit (Betrouwbaarheid): de betrouwbaarheid van de informatie is zeer belangrijk, omdat werkgevers dit kunnen gebruiken voor het uitkeren van reiskostenvergoeding.

Beschikbaarheid (Continuïteit): reizigers kunnen op een later moment ook deze informatie inzien/opvragen.

Email adres:

Vertrouwelijkheid (Exclusiviteit): het is belangrijk dat je email-adres niet wordt gelekt, echter zullen bepaalde medewerkers hier wel inzicht op hebben, om personen te kunnen contacteren

Integriteit (Betrouwbaarheid): het is belangrijk dat ze het juiste e-mailadres hebben, als er contact opgenomen moet worden voor bijv. facturen

Beschikbaarheid (Continuïteit): het is voor de NS belangrijk dat deze gegevens beschikbaar blijft, anders kunnen ze personen niet contacteren

Pasfoto:

Vertrouwelijkheid (Exclusiviteit): elke uitvoerede NS-medewerker kan vragen naar jouw OV-chipkaart met pasfoto

Integriteit (Betrouwbaarheid): het is belangrijk dat deze foto niet kan worden vervangen, omdat de ov-chipkaart persoonlijk is, en geen fraude gepleegd kan worden.

Beschikbaarheid (Continuïteit): deze foto moet altijd in goede staat zijn, anders kan de persoon niet worden geïdentificeerd.

Wat voor bedreigen zijn realistisch voor jouw gekozen voorbeeldbedrijf? En wat voor maatregelen kun je bedenken tegen die bedreigingen (preventief, detectie, repressief, correctief)?

Deze opdracht heb ik gedaan in Risicostrategie