CISO praat

"Als je echt geen argumenten meer hebt als CISO, dan zeg je dat het moet van de wet."Aart Jochem ✓ was vijf jaar lang CISO Rijk. Sinds januari is hij CISO bij Centric. Ik spreek met hem voor CISO praat over zijn tijd als CISO Rijk. Over zijn eerste overleg met de directeur generaal en staatssecretaris (spoiler; dat ging niet heel soepel!). Over het nieuwe rijksbrede cloudbeleid en de nationale digitaliseringsstrategie. Hij vertelde mij de top drie belangrijkste lessen voor elke CISO:

Deze column verscheen oorspronkelijk bij Security Innovation Stories hier:https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/

(Deze versie heeft verbeterde audio kwaliteit tov de versie van voor 11 mei)Hebben we in deze tijden van AI nog anti virus nodig? AI kan zich immers eenvoudig aanpassen om onder de radar van detectie te blijven, zo gaat het verhaal.Dave Maasland, CEO van ESET verteld in deze aflevering waarom hij denkt dat juist de verdedigers in het voordeel zijn in deze tijden van AI.Daarnaast hebben we het over waar je als CISO op zou moeten letten als je end point beveiliging wil gaan inkopen.Wederom een interessante aflevering dus!YouTube

Simone is SOC analist. Belangrijk werk aan de frontlinies van security.SOC analisten zien vaak als eerste nieuwe dreigingen. Komen in actie en onderzoeken incidenten. Belangrijk voor een CISO om alles van te weten, zou je denken.Ik sprak met Simone over de relatie tussen de CISO en een SOC. Wat de impact van AI is zowel aan de analisten kant, als aan de kant van de aanvallers. En nog veel meer.Waardevolle informatie zowel als CISO met een organisatie die een SOC heeft, als zonder SOC.Deze wil je niet overslaan!

Wat had ik graag willen weten aan het begin van mijn carrière? Ik mocht een keynote geven voor de Openbare Les van Martine Groen bij het Lectoraat Cybersecurity van de Hogeschool Utrecht.De lessen die ik studenten wilde meegeven gingen vooral over communicatiestijlen en het belang van de opties om daarin af te wisselen.De oorspronkelijke openbare les is opgenomen en hier terug te kijken.Van deze podcast is ook een videoversie, te bekijken via YouTube hier.

Oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/we-hebben-geen-tekort-aan-cisos-we-hebben-een-tekort-aan-leiders-in-security-die-nog-weten-wat-security-eigenlijk-is/

Oorspronkelijk verschenen bij Security Innovation Stories: https://www.securityinnovationstories.com/het-duivelse-dilemma-bij-ransomware-is-een-excuus-om-betalen-goed-te-praten/

Oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/big-tech-bezwijkt-onder-de-druk-van-hun-eigen-succes/

Jeroen Schipper was zeven jaar lang CISO van de gemeente Den Haag. In die hoedanigheid heeft hij veel bereikt. Hij organiseerde meermaals de hackers wedstrijd Hack the Hague en werd uitgeroepen tot allereerste CISO van het Jaar.Wat zijn de lessen die hij heeft geleerd en wat vind hij belangrijk om aan ons mee te geven? We hebben het over de balans tussen compliance en risico's, de taal die bestuurders spreken, de NAVO top en diversiteit.Kortom; deze wil je niet missen!

Op cybersecurity congressen zie je vaak tafels met mensen die aan het "lockpicken" zijn. Ze prutsen aan sloten om te kijken of ze deze open kunnen krijgen. Bijvoorbeeld op WICCON, MCH, DefCon de ONE Conference.Het verband tussen lockpicken en digitale veiligheid gaat al heel veel jaar terug en is een internationaal fenomeen.Sloten zijn wat betreft design fundamenteel nog exact hetzelfde als in de tijd van het oude Egypte. We hebben inmiddels "slimme sloten", waar overigens regelmatig beveiligingsproblemen worden gevonden, maar deze zijn vooral nuttig in heel specifieke situaties.Met OG hacker en lockpicker Jos weyers duik in voor CISO praat in de wondere wereld van het lockpicken en probeer te ontdekken waar de analogieën te vinden zijn met de cyberz. Wat kunnen CISO's opsteken van de wijsheden der lockpicking? Denk aan zaken als encryptie en aanvalsoppervlak.Het boek van Jos heet "Locksport".

Recent was er naar aanleiding van de Odido hack enige discussie over de relatie tussen journalisten en criminele ransomware bendes.Ik spreek in deze aflevering met journalist Saar Slegers van o.a. Argos. Zij maakte meerdere reportages over security onderwerpen. Ik vroeg haar wat een security incident nieuwswaardig maakt en hoe zij naar incidenten kijkt.Wat moet je als CISO aan je woordvoerder geven aan informatie, zodat deze journalisten goed te woord kan staan? En waarom is het belangrijk dat journalisten security incidenten verslaan en onderzoeken?Luister de aflevering!

Ik praat met CISO (en developer) Hugo Leisink over waarom het toch zo moeilijk blijkt om software te bouwen zonder kwetsbaarheden.Met name waarom grote bedrijven als Citrix en Microsoft het maar niet wil lukken om uit het nieuws te blijven met ernstige kwetsbaarheden.Wat zouden ze daar aan kunnen/moeten doen? En waarom lijken ze dat niet te doen?En hoe ga je als CISO om met het ontwikkelen van software in jouw organisatie? Hoe zorg je dat je veilige software inkoopt?Ik duik met Hugo in de wereld van software ontwikkeling.(Bij deze aflevering is geen YouTube video gemaakt)

Wat is een IB incident precies? En waarom is het belangrijk om incidenten te registreren en te analyseren?In deze nieuwe aflevering van CISO praat vertel ik hoe je zoveel mogelijk waarde kunt halen uit jouw incidentmanagement. Zonder ingewikkelde of dure tooling, maar eenvoudig. Dit helpt bij dingen als:- Prioriteren- Strategie formuleren- Budget/capaciteit aanvragenKortom; incidenten bijhouden heeft veel waarde. Leer er alles over in deze aflevering.YouTube:https://youtu.be/ESeWyBzWT9g

Deze column verscheen oorspronkelijk voor Security Innovation Stories.

Deze column verscheen oorspronkelijk voor Security Innovation Stories: https://www.securityinnovationstories.com/ai-ransomware-bestaat-niet-je-lekke-firewall-wel/

We hebben het er eerder al over gehad. Maar nu heb ik ook daadwerkelijk met een aantal grote Amerikaanse techreuzen gesproken over hun 'vegan kipfilet' (soevereine cloud).In deze aflevering vertel ik wat mijn conclusies zijn over de soevereine cloud van big US tech.YouTube: https://youtu.be/vqlcoBkgn3Q

Deze column verscheen oorspronkelijk bij: https://www.securityinnovationstories.com/de-kans-op-een-goede-risicoanalyse-is-50-50/

Je hoopt als CISO dat je ze nooit hoeft te bellen; incident response partijen. Maar als je ze nodig hebt, dan ben je blij dat ze er zijn.Hoe zorg je dat je een goede incident response partij selecteert? Hoe zit het eigenlijk met de relatie tussen ransomware verzekeraars en incident response partijen? Wie is er dan eigenlijk de klant? En hoeveel waarde moeten we hechten aan het nieuwe keurmerk voor incident response?Ik sprak Lisa de Wilde tijdens Cybersec Netherlands over deze vragen. Als incident responder met vele jaren ervaring weet zij alles wat je moet weten om te zorgen dat je een gedegen partij kiest als het er écht toe doet.Met dank aan Beyond Products wederom voor het mogen gebruiken van de opname apparatuur. Helaas mist aan het einde een deel van de video, maar dat mag de pret niet drukken!YouTube:https://youtu.be/dsALjRxoPPE

Deze column is oorspronkelijk gepubliceerd voor Security Innovation Stories.

"Politiek/bestuurlijke sensitiviteit is toneelspelen."De "next-gen" CISO is een CISO zonder technische kennis, maar wel één die verdomd goed toneel kan spelen tegenover bestuurders. Op Cybersec Netherlands dook ik samen met niemand minder dan Bert Hubert in CISO-gerelateerde vraagstukken als "Hoe C is de CISO-rol eigenlijk?" en "Hoe komt het dat er zulke grote verschillen lijken te zijn tussen bedrijven in de CISO-rol?".Ook vertelde Bert over zijn eigen ervaringen als dingen mis gaan en legt hij uit waarom we ons meer bewust zouden moeten zijn van de geopolitieke situatie en wat dit voor impact kan hebben op onze samenleving via onze digitale afhankelijkheden.YouTube: https://youtu.be/HXIsQDOzLBsMet veel dank aan mijn gast Bert Hubert en Beyond Products voor het mogen lenen van jullie apparatuur om deze aflevering op te nemen op de beursvloer!

Deze column verscheen oorspronkelijk bij Security Innovation Stories: https://www.securityinnovationstories.com/opgelicht-door-je-ransomware-hulpdienst/

Deze column is oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/gelijk-hebben-is-niet-hetzelfde-als-gehoor-krijgen/

Ann-Nina is geopolitiek communicatie expert met ervaring bij grote bedrijven als Ikea en Eon en was daarnaast adviseur aan president Zelensky.Communicatie en security hebben meer met elkaar gemeen dan je misschien denkt.Deze aflevering geeft een unieke inkijk in waarom het voor bedrijven soms zo moeilijk is om communicatie tijdens een crisis goed te doen. Hoe we verzanden van "green washing" in inmiddels "soeverein washing". Zij verteld hoe je als CISO kunt zorgen dat je nauw samenwerkt met communicatie op een zo effectief mogelijke manier. En dat heeft alles te maken met snelheid, transparantie, integriteit en je verantwoordelijkheid nemen.Verder hebben we het over de (on)zin van mission statements en crisisscenario's.Een volle aflevering met waardevolle informatie voor ons allemaal dus!

Deze column verscheen oorspronkelijk bij Security Innovation Stories:https://www.securityinnovationstories.com/phishingsimulaties-zijn-een-vorm-van-digitale-gaslighting/

Een aflevering over Datalekt[.nl]. Dat wilde jullie graag. En dat krijgen jullie! Maarliefst 33% van de stemmers op de poll wilde een aflevering over deze website.Een website die met steun van het SIDN fonds tot stand is gekomen. Gemaakt door Maria Genova en Joram Teusink. Het doel is meer bewustzijn rondom security incidenten te creëren door middel van een kaart van Nederland met daarop verschillende incidenten (niet alleen datalekken) geplot. Tevens bevat de site een aantal kennis quizzen, bedoelt om kennis op te doen rondom security.Jullie wilden dat ik eens naar de website ging kijken en deze zou reviewen; hoe nuttig is de website? En klopt de informatie die erop staat?YouTube: https://youtu.be/xxxlaHYIynw

In deze special praat ik met Daniel Card, ook bekend als MrR3b00t.We praten over security Fear Uncertainty and Doubt (FUD). De veiligheid van openbare WIFI, phishing simulaties etc.

Is een storing onder kwade actor een incident in de zin van informatiebeveiliging?Enige tijd geleden hebben we daar op LinkedIN een stevige discussie over gevoerd en heb ik er een poll tegenaan gegooid. De meningen zijn verdeeld.Een CISO waar ik een tegengestelde mening van leek te hebben was Frank Breedijk, top-CISO van Schuberg Philis. Daarom nodigde ik Frank uit voor een CISO praat special over wat nu eigenlijk een informatiebeveiligingsincident is.Is daar altijd kwaadaardige opzet voor nodig? Hoe strak moeten we eigenlijk beschikbaarheid, integriteit en vertrouwelijkheid van informatie interpreteren?

In deze special praat ik met de enige echte Chantal Stekelenburg. Ik praat met haar over hackers en hoe je omgaat met coordinated vulnerability disclosure, bug bounty en wat je eigenlijk mist als je stopt bij pentesten.Daarnaast hebben we het over security congressen en het organiseren daarvan.Daarover gesproken, de CFP van WICCON is nog open. Hier kan jij als vrouw in security jouw talk insturen:https://wiccon.nl/call-for-papers

"Bestuurlijke sensitiviteit". Hoe doe je dat eigenlijk? En waarom is het belangrijk? In deze aflevering geef ik voorbeelden hoe je bepaalde security-gerelateerde uitspraken nét even wat "bestuurlijk sensitiever" kunt formuleren.YouTube:https://youtu.be/pnz7avYrWss

In deze allereerste special van CISO praat verwelkom ik een speciale gast: Don Eijndhoven.Ervaren CISO en oprichter van de Dutch Cyberwarfare Community.Ik praat met hem over solliciteren, over de (on)zin van assessments en we delen over en weer "war-stories" van dingen die we hebben meegemaakt.Een feest der herkenning voor anderen denk ik zo. En anders gewoon vermakelijk om naar te luisteren!

Deze column is oorspronkelijk verschenen op het platform Security Innovation Stories:https://www.securityinnovationstories.com/microsoft-trekt-de-stekker-uit-het-icc-maar-niemand-weet-wie-op-de-knop-drukte-of-waarom/

Deze column is oorspronkelijk verschenen op de website van Security Innovation Stories:

"Omgaan met weestand en teleurstelling" en "harmonie in het team brengen" zijn vaardigheden die worden gevraagd aan de CISO.En dat omgaan met teleurstellingen, komt af en toe zeker van pas als je naar de geboden salarissen kijkt (als die er überhaupt al bij worden genoemd!).Vacatures lezen voor de CISO rol is bijna een vaardigheid op zich. Weet jij bijvoorbeeld chocolade te maken van uitspraken als "Je bevordert de inzet van leden voor het groepsdoel, soms ten koste van eigen korte termijn belangen."? En kun je tegen ChatGPT-achtige teksten als: "Je ontwikkelt en implementeert een robuuste strategie die onze digitale vesting tegen alle cyberbedreigingen beschermt."?Luister dan nu de nieuwste aflevering en ontcijfer samen met mij de mysterieuze vacature teksten voor verschillende CISO rollen.Ook nuttig voor wie nog op zoek is naar een CISO en nieuwsgierig is hoe een CISO een vacature leest.

Deze column is verschenen op de website van Security Innovation Stories:https://www.securityinnovationstories.com/soevereine-cloud-de-vegan-kipfilet-van-de-digitale-wereld/

Eet je vegetarisch of vegan? Dan is een pak kipfilet in de supermarkt met het label "vegan" erop waarschijnlijk niet iets wat jij acceptabel zou vinden om te eten.De afgelopen tijd praat men binnen security over "digitale soevereiniteit" en "digitale autonomie". Maar wat is dat eigenlijk? En hoe zorg je dat je een echt soevereine dienst inkoopt en geen digitale vegan kipfilet?Ik gaf deze talk oorspronkelijk voor The Dutch Cyberwarfare Community.YouTube: https://youtu.be/tRa1C8CsvbE

Deze column is oorspronkelijk verschenen op de website van Security Innovation Stories:https://www.securityinnovationstories.com/innovatie-in-de-leveranciersketen-is-hard-nodig/

Ik deed het al eens met CISM, maar zou ik ook slagen voor Certified Ethical Hacker zonder training?In deze aflevering gaan we het hebben over het (denk ik) meest omstreden certificaat in de security-wereld.Zou ik, die totaal geen pentester is, slagen voor CEH? En wat zegt dat over dit certificaat?Luister de aflevering nu of kijk op YouTube:https://youtu.be/oZC35XLs_vI

"Ze hadden vast hun BCM niet op orde!" "Hey, ik hoor net op het journaal dat jullie gehackt zijn. Wat is er aan de hand joh??" Sommige dingen kan je gewoon beter niet doen als een ander middenin een crisis verkeerd. En sommige dingen zijn juist goed om te doen.In deze aflevering alles over wat je wel en niet moet doen tijdens een cybercrisis (van een ander!).YouTube: https://youtu.be/RPdj3CzEpio

Column oorspronkelijk gepubliceerd door Security Innovation Stories: [link volgt]

Wat is een dreiging en wat is het verschil met een risico? Hoe maak je een dreigingsanalyse en waar is het nuttig voor? In deze aflevering vertel ik over dreigingen en het maken van dreigingsanalyses. === YouTube: https://youtu.be/EMyTC_KQ4uA En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

Column oorspronkelijk verschenen via Security Innovation Stories: [link volgt]

De CISO rol is een senior rol. De rol vraagt een bepaald type mens. Vaak zijn wij analytisch sterk, hebben een directe stijl van communiceren en denken we in zwart/wit-stijl. En dat is juist heel goed! Tegelijkertijd helpt het om te proberen voor sommige momenten/doelgroepen onze stijl iets aan te passen. In deze aflevering vertel ik over de lessen die ik in mijn loopbaan heb geleerd. Wat ik bedoel met het "is this a hill I will die on"-principe toepassen en het jezelf aanmeten van een "come at me bro"-attitude. ==== YouTube: https://youtu.be/6L1sue04Qt8 En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

De BIO2 is al een eind op weg. We gaan er samen in duiken en ik vertel je wat er nieuw en opvallend is. Tevens op welke manier de CISO rol er in terug komt. Hou je vast. Had ik al gezegd dat het VEEL was? =============== Links uit de aflevering: Blogpost met overzicht van Erna: https://www.linkedin.com/pulse/indeling-bio-20-een-overzicht-erna-havinga-ccmie?utm_source=share&utm_medium=member_android&utm_campaign=share_via Webpagina view BIO2: https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/ GitHub BIO2: https://github.com/MinBZK/Baseline-Informatiebeveiliging-Overheid ============= Deze aflevering op YouTube: https://youtu.be/23cVvtxVICY

Column oorspronkelijk gepubliceerd door Security Innovation Stories: https://www.securityinnovationstories.com/een-beveiligingsincident-is-zelden-de-schuld-van-een-iemand/

Column oorspronkelijk gepubliceerd door Security Innovation Stories: https://www.securityinnovationstories.com/cybercolumn-over-cyber-innovatie/

Column oorspronkelijk gepubliceerd voor Security Innovation Stories: https://www.securityinnovationstories.com/verbied-ladders-om-inbraak-te-voorkomen-en-andere-onzin/

Column oorspronkelijk geschreven voor Security Innovation Stories: https://www.securityinnovationstories.com/cyberfud-sells-maar-tegen-welke-prijs/

Stemcomputers: in Nederland hebben we deze tien jaar lang gebruikt. Tot de hackers kwamen! Op WICCON24 vertelde ik het verhaal van de Nederlandse stemcomputers. Wat hebben we geleerd van dit verhaal? En welke fundamentele problemen kleven aan stemcomputers? In deze aflevering vertel ik daar alles over. YouTube: https://youtu.be/1CcVXB72F7I

Met alle discussie rondom de politie-hack vrijwilliger die op een linkje zou hebben geklikt, heb ik besloten een extra aflevering rondom phishing simulaties te maken. In deze aflevering haal ik een aantal onderzoeken rondom phishing aan en een blogpost van de security manager van Google. Tevens ga ik in op de argumenten die ik vaak hoor in de comments bij mijn posts en presentaties over dit onderwerp. Google post: https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html COMCAST onderzoek: https://business.comcast.com/community/browse-all/details/2023-comcast-business-cybersecurity-threat-report Wetenschappelijk onderzoek: https://arxiv.org/pdf/2112.07498 YouTube: https://youtu.be/3aBl_oo-AH4