Fear, Uncertainty and Doubt: mensen bang maken voor niet-realistische risico's is schadelijk. Hierdoor zullen mensen ons minder snel serieus nemen als er echt iets aan de hand is. Baad het niet, dan schaad het niet; gaat hierbij zeker niet op. Het schaadt namelijk wel degelijk. Om wat voor soort risico's gaat het dan? De random USB stickjes op park…

Je ziet regelmatig de rollen CISO/Privacy Officer gecombineerd worden. Ik heb het zelf ook een tijd lang gecombineerd gedaan.Ondanks dat de twee onderwerpen overlap met elkaar hebben, zijn zij ook heel verschillend.Doordat de belangen (betrokkenen vs organisatie) uit elkaar liggen en tevens de reikwijdte verschilt van elkaar. De AVG gaat alleen ove…

Hackers zijn van onschatbare waarde voor jouw organisatie. Zij hebben de tijd en motivatie om oneindig lang aan een draadje te frutselen, tot de gehele trui is gereduceerd tot een hoopje garen. Waar pentesters maar beperkt de tijd hebben en per uur worden betaald, rekenen melders bij een CVD vaak helemaal niets. Ze willen alleen graag een T-shirt e…

Oorspronkelijk een talk die ik heb gehouden tijdens een lunchbijeenkomst met verschillende zbo's. ZBO staat voor zelfstandig bestuursorgaan. Dit zijn overheidsorganisaties die een onafhankelijk bestuur hebben, maar wel horen bij een ministerie. Dat dit een complexe constructie is, zal je al begrijpen. Maar hoe werk je nou constructief samen met een…

"Wij zijn ISO gecertificeerd en dus 100% cyberveilig!" Een uitspraak die denk ik weinig beveiligingsexperts zullen onderschrijven. En toch is compliance een belangrijk en soms handig middel binnen informatiebeveiliging. Je ontkomt er ook eigenlijk niet aan met de huidige wet en regelgeving om voor een deel met compliance bezig te zijn. Maar complia…

Logging en monitoring. Een gouden duo. Maar wat is dat eigenlijk... logging? En hoe doe je dat goed? Ik hoor veel gepraat over de "next gen" oplossingen als XDR en het "SIEM is dood". Maar is dat wel zo? Als de meeste organisaties hun logging niet eens op orde hebben, hoe kan je dan verwachten dat ze gaan nadenken over iets als XDR? In deze aflever…

"Geeft gevraagd en ongevraagd advies" staat vaak in onze functieomschrijving. Advies geven is een vaardigheid. Een welke relevant is voor een scala aan rollen binnen informatiebeveiliging. Zowel voor (C)ISOs als consultants als pentesters. Maar hoe geef je een goed advies? Waar moet een goed advies minimaal aan voldoen? Bereik meer met jouw advieze…

Een kwalitatief goede risico analyse is er een waar jij als expert achter staat. Jij moet de uitkomst kunnen uitleggen en verdedigen. Risico analyses gebruik je om risico's in kaart te brengen, maatregelen te bepalen en verantwoordelijkheid te kunnen leggen waar deze hoort. Maar na de rapportage ben je als (C)ISO nog niet klaar. In deze aflevering …

"Openbare WIFI is onveilig" en "Wachtwoordenboekjes zijn een slecht idee!". Deze mythes en nog 8 andere ontmasker ik in deze aflevering. Niet geheel zonder controversie (#OPHEF?!) naar mijn vermoeden, maar dat mag de pret niet drukken. PDF: https://drive.google.com/file/d/1k7KWtDOWJQ3luye62AHujfLpkTvAyuwT/view?usp=sharing YouTube: https://youtu.be/…

Systeemverantwoordelijk, procesverantwoordelijk, eindverantwoordelijk, lijnverantwoordelijk...Hoe zorg je dat verantwoordelijkheid rondom informatiebeveiliging in de organisatie goed geregeld is? In deze podcast alles rondom verantwoordelijkheid over informatiebeveiliging en hoe je dit als (C)ISO goed borgt.PDF:https://drive.google.com/file/d/1ZgsD…

Is een CISO niet constant bang voor een aanval of een incident? Wat voor ISMS gebruik ik? En belangrijker: Hoeveel selfies neem ik op een dag? Luister naar het antwoord op jouw brandende vragen in deze speciale aflevering van CISO Praat! Bekijk deze aflevering met beeld via YouTube: https://youtu.be/zSXE5x1kV5E…

We gebruiken steeds meer SaaS applicaties. Onze data raakt hierdoor verspreid en de beveiliging is anders dan een lokaal netwerk. Hoe beveilig je SaaS (cloud) applicaties? Waar moet je op letten als je een leverancier kiest? Wat zijn de belangrijkste risico's?Bekijk deze aflevering om hier achter te komen!Gerelateerde info (volgt, moet eerst verifi…

In dit nieuwe seizoen ga ik meer in op onderwerpen waar ik zelf over wil vertellen, maar waar niet perse een talk bij hoort die ik ergens heb gegeven. Deze extra lange aflevering gaat over wat CISOs doen, waar ze veelal tegenaan lopen en tips en tricks voor aspirant CISO's. Wat zijn 'red flags' van organisaties waar je als CISO's hard voor moet weg…

Een talk gegeven op WICCON 2023. De talk gaat over hoe het alleen toepassen van regels binnen informatiebeveiliging in de meeste gevallen onvoldoende is om risico's daadwerkelijk naar beneden te brengen. Waarom maatregelen veelal effectiever zijn, maar het zo aantrekkelijk blijft om in plaats van maatregelen, alleen beleid of regels op te stellen. …

Deze presentatie is oorspronkelijk gegeven in 2023 aan FM Haaglanden. Het doel was om reguliere medewerkers iets mee te geven op het gebied van informatiebeveiliging wat zij zowel op werk als thuis konden gebruiken. Het gaat in op wat de drie klassieke pijlers zijn van informatiebeveiliging en hoe je als medewerker zelf kunt bijdragen aan een beter…

Deze presentatie geef ik op de 2023 editie van de ONE Conference namens de Kiesraad. De presentatie gaat over het digitale deel van het verkiezingsproces en hoe je als burger kunt zien dat de verkiezingen correct verlopen aan de hand van de beschikbare data. Ik noem in de presentatie een aantal links: Informatie over de EML_NL standaard: https://ww…

Deze talk heb ik oorspronkelijk gegeven op Beercon in oktober 2022. De oorspronkelijke talk is nog te zien op YouTube (Engelstalig) hier: https://youtu.be/YyN9OlP8ujo?feature=shared Het onderwerp is het omgaan met de werkdruk en stress die veelal gepaard gaat met het werken in de security industrie. Ik geef een aantal voorbeelden van situaties die …

[note: ik zeg in het begin "MCH, May Contain Hacking, dat moet uiteraard "hackers" zijn.] Deze presentatie heb ik oorspronkelijk gegeven op het May Contain Hackers (MCH) kamp in 2022. Het gaat over hoe je als CISO en als pentester kwalitatief betere testen en rapportages kunt maken, om zo het meeste uit je pentesten te halen. De slide staan hier te…

Deze talk gaat over waarom IT-ers vooral IT-ers aardig vinden en wij soms worstelen met het communiceren met andere teams en afdelingen. Daarbij leg ik uit dat wij een goede redenen hebben voor onze communicatiestijl. Ik geef tips en advies hoe wij soms onze stijl iets kunnen aanpassen, om effectiever te zijn binnen onze organisatie, zonder dat wij…

Een talk die oorspronkelijk in het Engels is gegeven op de ONE Conference in 2021 door mij. De talk behandelt de onzin van het versturen van nep phishing mails in het kader van awareness campagnes rondom informatiebeveiliging en wat we beter zouden kunnen doen om phishing te lijf te gaan. Als je de powerpoint erbij wilt hebben kan je deze via deze …